2
A
回答
5
我找不到任何抱怨這樣的行爲,花了一整天的時間來找出問題。最後,它彈出,原因是錯誤在Tomcat中,可用的版本從6.0.20到6.0.28(Bug 49598)
問題在於Tomcat的基本授權和Spring安全性在授權請求期間會替換會話。會話,在同一個請求處理期間觸發兩個會話替換之後的直接登錄請求。但是,在錯誤的結果中,響應中的Set-Cookie頭仍然指向由Tomcat給出的會話ID(由Spring安全,因爲它的工作ER)。所以,下一個請求會發送已經被銷燬的會話的cookie。 Spring創建的會話(包含簽名用戶)仍然未被聲明。
最好的解決方案是Tomcat 6.0.29 :-)。 如果有人有Tomcat的升級問題,有3種可能性,以避免故障:
禁用會話更換的Tomcat。您可以在context.xml中做配置閥門
<Valve className="org.apache.catalina.authenticator.BasicAuthenticator" changeSessionIdOnAuthentication="false"/>
禁用會話更換春季安全配置的security.xml的。
<http ... session-fixation-protection="none"> ..... </http>
註銷後提供額外的重定向。通過這種方式,Tomcat將在登錄請求期間在會話中緩存一條原則。
也許這可以保護越來越瘋狂像我昨天:)
與問候, 埃德加有人
相關問題
- 1. 基於標準的授權與春季安全檢查?
- 2. 春季安全jdbc配置授權用戶與多個角色
- 3. 春季安全HTTP基本認證
- 4. 春季安全預授權的重新驗證
- 5. 春季和中間件衝突?
- 6. 春季安全。授權對JSP不工作
- 7. 春季安全saml SSO - 授權多種資源
- 8. 春季安全3 - 未授予任何權威
- 9. 春季安全方法授權不起作用
- 10. 春季安全
- 11. 春季URL映射衝突
- 12. 基於春季安全權限的api訪問
- 13. 春季安全4. JSON REST與自定義身份驗證和授權
- 14. AccessDeniedException;春季安全
- 15. 春季安全badcredentials
- 16. Vaadin春季安全
- 17. BCryptPasswordEncoder春季安全
- 18. 春季3.5安全
- 19. 從春季安全
- 20. 春季安全:基於角色
- 21. 基地URI春季啓動安全
- 22. 春季安全春季啓動4.x
- 23. 春季開機+春季安全:如何取消基本身份驗證表格
- 24. 春季安全4.x的JavaConfig與Hawtio
- 25. HTTP 404:春季安全網址過濾器和調度服務器URL映射之間的衝突
- 26. 春季安全的OAuth 2
- 27. 我的春季基本安全計劃中出現錯誤?
- 28. 在春季調用控制器方法之前基於Cookie的授權
- 29. 春季安全3與LDAP和TokenBasedRememberMeServices
- 30. 春季安全與支柱整合
您應該在「消息」下半年變成一個答案,上半年的問題。那麼你可以獲得一些聲譽! – 2011-02-18 11:03:13
感謝您的建議! :) – Edgar 2011-03-01 06:05:27
你走了。 :-) – 2011-03-01 09:19:01