2
A
回答
5
我找不到任何抱怨这样的行为,花了一整天的时间来找出问题。最后,它弹出,原因是错误在Tomcat中,可用的版本从6.0.20到6.0.28(Bug 49598)
问题在于Tomcat的基本授权和Spring安全性在授权请求期间会替换会话。会话,在同一个请求处理期间触发两个会话替换之后的直接登录请求。但是,在错误的结果中,响应中的Set-Cookie头仍然指向由Tomcat给出的会话ID(由Spring安全,因为它的工作ER)。所以,下一个请求会发送已经被销毁的会话的cookie。 Spring创建的会话(包含签名用户)仍然未被声明。
最好的解决方案是Tomcat 6.0.29 :-)。 如果有人有Tomcat的升级问题,有3种可能性,以避免故障:
禁用会话更换的Tomcat。您可以在context.xml中做配置阀门
<Valve className="org.apache.catalina.authenticator.BasicAuthenticator" changeSessionIdOnAuthentication="false"/>
禁用会话更换春季安全配置的security.xml的。
<http ... session-fixation-protection="none"> ..... </http>
注销后提供额外的重定向。通过这种方式,Tomcat将在登录请求期间在会话中缓存一条原则。
也许这可以保护越来越疯狂像我昨天:)
与问候, 埃德加有人
相关问题
- 1. 基于标准的授权与春季安全检查?
- 2. 春季安全和Tomcat
- 3. 春季安全与CAS认证和定制授权
- 4. 春季安全jdbc配置授权用户与多个角色
- 5. 与春季安全
- 6. 春季安全HTTP基本认证
- 7. 春季安全 - 基本身份验证
- 8. 春季安全Kerberos链接基本
- 9. 春季自定义用户组的安全授权
- 10. 春季安全预授权的重新验证
- 11. 春季和中间件冲突?
- 12. 春季安全 - 基于时间的URL与认证令牌
- 13. 春季安全与JSF
- 14. 春季安全3 - 未授予任何权威
- 15. 春季安全测试返回401(未授权)
- 16. 秒:授权不工作在春季安全4
- 17. 春季安全。授权对JSP不工作
- 18. 如何在春季安全中授权系统调用
- 19. 春季安全方法授权不起作用
- 20. 春季安全只限于授权。外部认证
- 21. 春季安全saml SSO - 授权多种资源
- 22. 春季安全授权检查不起作用
- 23. 安全REST与春季安全
- 24. 春季安全
- 25. 春季安全
- 26. 春季URL映射冲突
- 27. 春季安全acl管理权限
- 28. 春季安全http基本auth与Java配置休息api
- 29. 基于春季安全权限的api访问
- 30. 春季安全3.1.4的taglib授权/认证不与角色层次工作在JSF 2.2在Tomcat 7
您应该在“消息”下半年变成一个答案,上半年的问题。那么你可以获得一些声誉! – 2011-02-18 11:03:13
感谢您的建议! :) – Edgar 2011-03-01 06:05:27
你走了。 :-) – 2011-03-01 09:19:01