spring-security不会使http会话无效

Question

我有一个soap web服务，并且我实现了一个spring安全认证。

我生成了一个用于前端的客户端。

我的问题是，每次客户端发出请求时，Web服务都会生成一个会话，并且会话只会停留在那里，会话永远不会失效。

这里是我的web.xml文件的一部分：

<session-config> <session-timeout>1</session-timeout> </session-config>

我需要的是，本次会议应在每次请求后得到无效。

Answer 1

Spring security http元素有一个属性'create-session'，可以设置为'无状态'，之后永远不会创建会话。

E.g.

<http pattern="/restful/**" create-session="stateless"> 
    <intercept-url pattern='/**' access='ROLE_REMOTE' /> 
    <http-basic /> 
</http> 

文档浏览：

• http://static.springsource.org/spring-security/site/docs/3.2.x/reference/security-filter-chain.html