我对以下领域有疑问：spring-session 和 spring-security。

春季会议

我有一个应用程序通过示例示例中提供的基本内存身份验证受 Spring Security 保护。

我看到 spring 正在创建会话 ID，即使身份验证不成功，这意味着x-auth-token即使我没有提供基本的身份验证凭据详细信息，我也会在我的响应标头中看到 Redis DB。我们如何避免为身份验证失败创建会话？

春季安全

假设 spring session 只为受保护的资源创建 session，想要使用 spring security 来保护资源。

假设 Signin API (/signin - HTTP Post) 针对第三方 REST API 验证（用户名和密码）凭据。

外部 API 验证凭据后，如何在成功验证时更新 spring 安全上下文？

x-auth-token应提供对需要验证的其他受保护资源的访问，并基于对受保护资源的信息的访问。

在这种情况下我们需要使用 Spring Security 还是应该使用基本过滤器和 Spring 会话？推荐什么？

我想我遇到了一个错误，spring-session但我只想在这里问一下它是否真的是一个错误。在我忘记之前

https://github.com/paranoiabla/spring-session-issue.git

这是一个重现问题的 github 存储库。基本上我有 2 个控制器和 2 个 jsps，所以流程是这样的：

• 用户打开http://localhost:8080/，流程通过HomepageController，将 1 个属性放入 spring-session 并返回homepage.jsp渲染会话 id 和属性数 (1)
• homepage.jsp里面有这一行： 它 ${pageContext.include("/include")} 调用IncludeController要调用的。
• 从会话存储库中IncludeController找到会话并记录属性的数量（现在它们被记录为 0 绝对奇怪）并返回include.jsp呈现会话 ID 和会话属性的数量 (0)。两个 jsps 中的会话 id 是相同的，但是在pageContext.include调用之后属性被重置为一个空映射！！！有人可以确认这是否是一个错误。

谢谢你。

我有一个 Spring 4.1 web 应用程序，我使用 spring-security 和 spring session，只要 websocket 工作，我想与 websockets 一起使用 spring session 来保持会话没有超时。

一切正常，但我发现我显然有两个会话正在运行，一个用于春季安全，一个用于春季会议。

这是我的 session.xml：

这是我的security.xml：

如何让 spring security 使用 spring-session 创建的会话？

I'm using spring-session and I really like it. However I think I'm missing something. In my application the flow goes like this: 1) User requests HomepageController and that controller tries to put an attribute in the request:

As you can see it will try to get the sessionID from the request-cookie, and if there's a session with that ID in the repository than use it (add attribute). This is perfect, but only after the second request. Why? Because if I restart the server than the cookie is left with the old value, and then the first request will not find the session in the repository. After the response is committed though the cookie will be updated, so the second request will be correct. And here's the question: what is wrong with my logic and how should one develop the application in order to support the first request too?

BTW, here's a sample application that demonstrates the problem:

https://github.com/paranoiabla/spring-session-issue

1. 我使用这些技术开发了一个项目：
   a）容器：Glashfish；
   b) 弹簧安全；
   c) Java 服务器端；
   d) MySQL。

2. 使用的代码：

@WebListener 公共类 HazelcastInitializer 实现 ServletContextListener {

}

3. 我看到这段代码连接到 Hazelcast 服务器但没有持久化会话。我做错了什么？

我已经建立了一个redis服务器，我想知道我是否可以让spring-session使用现有的redis服务器而不是嵌入它的redis服务器？

我有一个使用 Spring Boot + OAuth2 + Login through Google 的 Auth Server 实现。以及用于我的后端数据服务的资源服务器。我使用了 JDBC 令牌存储。一切都很好。但是我很难理解注销的实现。目前，每当用户单击注销时，我只是从浏览器本地存储中删除令牌，但会话在 Auth 服务器中保持活动状态，因此我不需要再次登录。我想要的是每当使用注销时点击我想使会话无效并强制他再次登录。

有什么好方法可以做到这一点吗？我的 Spring Boot Auth 服务器配置中目前没有任何注销配置。

谢谢

探索了春季会议和redis，它看起来非常好。

想解决一个问题很久了，如何根据哈希中的spring session token值从redis db中获取session token列表。

我知道它不是关系数据库，也没有直接的方法可以实现，但这是一种解决问题的方法，这对我们解决问题非常重要

我在博客中读到我们需要保持一组跟踪，在使用 spring session 时有什么方法可以实现这一点。我什至不知道该怎么做

非常感谢任何帮助。

谢谢

我正在使用 Spring Sessions 的 v1.0.1。我已经使用 XML 配置设置了我的应用程序。我现在需要根据某些属性从默认的“SESSION”更改 cookie 名称。例如到myApp_SESSION，其中 myApp 将从属性文件中读取。

我注意到SessionRepositoryFilter只有一个构造函数，它采用sessionRepository和带有 CookieHttpSessionStrategy 的httpSessionStrategy使用默认值。

我当前的 XML 配置如下。

是否可以通过将 CookieHttpSessionStrategy 注入 springSessionRepositoryFilter bean 来更改 cookie 名称？

我有一个项目想要支持 android,ios,pc web。我尝试使用 https://github.com/spring-projects/spring-session，是否可以仅在应用程序中配置以支持 HttpSession 和休息令牌？

如果可以，我该如何配置？