1. Accueil
  2. Question et réponse
  3. Pourquoi Spring Security va-t-il à la dernière page avant de se déconnecter lorsque je me déconnecte et que je me reconnecte?

Pourquoi Spring Security va-t-il à la dernière page avant de se déconnecter lorsque je me déconnecte et que je me reconnecte?

2009-12-17 11 views
0

J'ai une application web fonctionnant sur Spring Webflow avec Spring Security. J'ai un problème de déconnexion car mon application se souvient un peu de la dernière page après la déconnexion. Lorsque j'appuie sur ou colle directement l'URL à la barre d'adresse, il peut diriger la page vers la page de connexion, mais si je me connecte, il ira directement à la dernière page que je suis allé avant de se déconnecter. Il a tendance à se souvenir de son dernier état. Voici mon extrait de configuration d'application.Pourquoi Spring Security va-t-il à la dernière page avant de se déconnecter lorsque je me déconnecte et que je me reconnecte?

<security:logout logout-url="/logout.do" invalidate-session="true" 
     logout-success-url="/logoutSuccess.do" />

lien dans ma page

 <a href="logout.do">#{label.labellogout}</a>

Source

2009-12-17 cedric

Répondre

1

L'attribut expiré-url

L'URL d'un utilisateur sera redirigé vers si elles tentent d'utiliser une session qui a été « expiré » par le contrôleur de session en même temps que l'utilisateur a dépassé le nombre de sessions autorisées et s'est à nouveau connecté ailleurs. Doit être défini à moins qu'une exception-if-maximum-passed soit définie. Si aucune valeur n'est fournie, un message d'expiration sera simplement écrit directement dans la réponse.

On dirait que votre session est toujours valide après une déconnexion. essayez de le rendre invalide après la déconnexion.

texte est de: Spring Doc

Source

2009-12-17 08:03:44 bastianneu

+0

Thnx.This a fonctionné pour moi – cedric

0

Je ne sais pas ce que je comprends bien votre problème, mais:

B.1.1.4. session-fixation-protection Indique si une session existante doit être invalidée lorsqu'un utilisateur s'authentifie et qu'une nouvelle session est démarrée. Si "none" est sélectionné, aucun changement ne sera effectué. "newSession" va créer une nouvelle session vide. "migrateSession" créera une nouvelle session et copiera les attributs de session dans la nouvelle session. Par défaut, "migrateSession". Si activé, ceci ajoutera un SessionFixationProtectionFilter à la pile. Les options de protection de fixation de session sur les instances créées dans l'espace de noms de AbstractProcessingFilter seront également définies de manière appropriée.

peut être lu ici link

Source

2009-12-17 08:01:33 Tomas

 Questions connexes

  • Aucun problème connexe^_^