2
A
回答
5
我找不到任何抱怨这样的行为,花了一整天的时间来找出问题。最后,它弹出,原因是错误在Tomcat中,可用的版本从6.0.20到6.0.28(Bug 49598)
问题在于Tomcat的基本授权和Spring安全性在授权请求期间会替换会话。会话,在同一个请求处理期间触发两个会话替换之后的直接登录请求。但是,在错误的结果中,响应中的Set-Cookie头仍然指向由Tomcat给出的会话ID(由Spring安全,因为它的工作ER)。所以,下一个请求会发送已经被销毁的会话的cookie。 Spring创建的会话(包含签名用户)仍然未被声明。
最好的解决方案是Tomcat 6.0.29 :-)。 如果有人有Tomcat的升级问题,有3种可能性,以避免故障:
禁用会话更换的Tomcat。您可以在context.xml中做配置阀门
<Valve className="org.apache.catalina.authenticator.BasicAuthenticator" changeSessionIdOnAuthentication="false"/>
禁用会话更换春季安全配置的security.xml的。
<http ... session-fixation-protection="none"> ..... </http>
注销后提供额外的重定向。通过这种方式,Tomcat将在登录请求期间在会话中缓存一条原则。
也许这可以保护越来越疯狂像我昨天:)
与问候, 埃德加有人
相关问题
- 1. 基于标准的授权与春季安全检查?
- 2. 春季安全jdbc配置授权用户与多个角色
- 3. 春季安全HTTP基本认证
- 4. 春季安全预授权的重新验证
- 5. 春季和中间件冲突?
- 6. 春季安全。授权对JSP不工作
- 7. 春季安全saml SSO - 授权多种资源
- 8. 春季安全3 - 未授予任何权威
- 9. 春季安全方法授权不起作用
- 10. 春季安全
- 11. 春季URL映射冲突
- 12. 基于春季安全权限的api访问
- 13. 春季安全4. JSON REST与自定义身份验证和授权
- 14. AccessDeniedException;春季安全
- 15. 春季安全badcredentials
- 16. Vaadin春季安全
- 17. BCryptPasswordEncoder春季安全
- 18. 春季3.5安全
- 19. 从春季安全
- 20. 春季安全:基于角色
- 21. 基地URI春季启动安全
- 22. 春季安全春季启动4.x
- 23. 春季开机+春季安全:如何取消基本身份验证表格
- 24. 春季安全4.x的JavaConfig与Hawtio
- 25. HTTP 404:春季安全网址过滤器和调度服务器URL映射之间的冲突
- 26. 春季安全的OAuth 2
- 27. 我的春季基本安全计划中出现错误?
- 28. 在春季调用控制器方法之前基于Cookie的授权
- 29. 春季安全3与LDAP和TokenBasedRememberMeServices
- 30. 春季安全与支柱整合
您应该在“消息”下半年变成一个答案,上半年的问题。那么你可以获得一些声誉! – 2011-02-18 11:03:13
感谢您的建议! :) – Edgar 2011-03-01 06:05:27
你走了。 :-) – 2011-03-01 09:19:01