现在有一项目中使用了spring security3,因项目的特殊要求需要在同一浏览器页面中始终使用同一个session.而查阅spring security有关资料后,得知ss有防止session固定攻击的做法,默认会在用户登陆时创建一个新的session,
这样在用户开启系统登陆页面时是使用的一个session,而登陆系统后会由ss创建一个新的session.例如开启登陆页面login.jsp时是使用的:sessionId:272B4352F9E75846156A3EC7E3242A6C
而当用户登陆后(请求/j_spring_security_check后),session由ss改为了:sessionId:09AE96898D9BD34A1A6BF087E38865A7这种情况可以通过使用<http>中的session-fixation-protection属性来配置它的行为,将其配置为:<s:session-management session-fixation-protection="none"/>这样便在登陆后可以继续使用原来的session。这样配置虽然解决了登陆前与登陆后使用相同的session,
但是在注销后(请求/j_spring_security_logout后)session值还是被改变了.请熟悉spring security的兄弟姐妹帮忙看看,怎样在注销后保持原session呢?
这样在用户开启系统登陆页面时是使用的一个session,而登陆系统后会由ss创建一个新的session.例如开启登陆页面login.jsp时是使用的:sessionId:272B4352F9E75846156A3EC7E3242A6C
而当用户登陆后(请求/j_spring_security_check后),session由ss改为了:sessionId:09AE96898D9BD34A1A6BF087E38865A7这种情况可以通过使用<http>中的session-fixation-protection属性来配置它的行为,将其配置为:<s:session-management session-fixation-protection="none"/>这样便在登陆后可以继续使用原来的session。这样配置虽然解决了登陆前与登陆后使用相同的session,
但是在注销后(请求/j_spring_security_logout后)session值还是被改变了.请熟悉spring security的兄弟姐妹帮忙看看,怎样在注销后保持原session呢?
解决方案 »
- linxu下报JasperRunManager cannot be resolved错误
- java Junit测试的问题,请高手来帮忙!
- NickLee.Framework2.0.0.3
- 关于struts标签的问题
- Hibernate可以完成多条件查询吗?可以复杂查询吗?
- 通过JDBC建立连接
- [原创]我采用jsp+javabean+sessionbean+entitybean做的一个实例,希望与大家共享
- 救命,各位EJB高手
- weblogic7.0部署JavaBean和Servlet问题
- Java jdk 自带的httpserver使用场景是什么?
- 用cxf或者AXIS2生成的JAVA客户端,必须要导入相关的包才能使用嘛?
- ibatis +spring基础问题
<s:logout invalidate-session="false"/>
这样配置可使注销后原session仍然有效.
然而这几个参数现在存储在session中,为了保证系统注销后仍然可以同步登录桌面软件,所以需要在注销后仍然使用同一session.我说得可能不是很明白~~,结账去了。