JsessionId在URL中没有显示？

Question

我将我的spring-security.xml从3.2转换为4.0。如果我继续3.2，则显示JsessionId。当它来到4.0它不显示JsessionId.With，我不能限制多个登录与同一用户（并发控制）。

这是我在弹簧security.xml文件配置： -

<security:session-management invalid-session-url="/login" session-fixation-protection="newSession" > 
    <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login"/> 
</security:session-management> 

我使用相同的代码aboue两个弹簧安全3.2和4.0。 我如何获得JsessionId。

Answer 1

在Spring 4.X中，url-rewriting被默认切换为禁用，意味着JSESSIONID由cookie而不是URL来管理。

如果你需要回在短期内，你应该能够设置：禁用-URL重写=“假”

来源： http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#nsa-http-disable-url-rewriting

编辑 春天已禁用此功能故意作为OWASP列为“破坏的认证和会话管理”您应该考虑使用与春季安全会话控制功能相结合的Cookie： http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#ns-concurrent-sessions