我正在使用Apache Ignite来群集Web会话,并使用Spring安全性来执行基于表单的身份验证。我使用的软件有:Apache Ignite似乎会导致会话固定
- JDK 1.8.0_60
- 的Apache Tomcat 7.0.68
- 阿帕奇点燃1.5.0.final
- 春季安全3.1.3.RELEASE
(没有Apache Ignite,基于表单的身份验证可以正常工作,并且JSESSIONID cookie会在验证成功后进行更改,以防止会话修复攻击,如预期的那样)。
与Apache点燃,我不能登录,我得到以下警告:
2016-04-18 16:49:07,283 WARN org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy/onAuthentication 102 - Your servlet container did not change the session ID when a new session was created. You will not be adequately protected against session-fixation attacks
如果我在Spring配置关闭会话固定保护如下:
<http>
...
<session-management session-fixation-protection="none" />
...
</http>
它的工作原理。 (但是作为一个结果,JSESSIONID cookie不经认证的成功而改变。)
你可以尝试每晚构建并检查问题是否在那里复制?自1.5起,Ignite有几个相关的修复程序。构建可以在这里下载:https://builds.apache.org/view/HL/view/Ignite/job/Ignite-nightly/lastSuccessfulBuild/ –