如何解决在Spring Security 3.1上限制为1后,会话仍处于活动状态
所以我有Spring Security 3.1,并且我将并发设置为max-sessions = 1和exceptionIfMaxMaxumExceeded =“ true”,并且它可以正常工作。当我尝试使用第二个浏览器登录时,会给我一个例外。
现在,当我使用第二个浏览器登录时,我希望它允许我登录并过期/关闭上一个会话(第一个浏览器)。我将“ exceptionIfMaximumExceeded”更改为false,它只允许我使用第二个浏览器登录,但是当我使用第一个浏览器时,仍然可以在不同的页面中移动。
我有以下文件。
LoginController.java
...
@Inject
@Qualifier("sas")
private SessionAuthenticationStrategy sessionAuthenticationStrategy;
...
@RequestMapping
public String show(Map<String,Object> model,HttpServletRequest request,HttpServletResponse response)
{
// clear any session data before asking for login credentials
HttpSession session = request.getSession(false);
if (session != null)
session.invalidate();
...
try{
...
sessionAuthenticationStrategy.onAuthentication(result,request,response);
...}catch(Exception ex){...}
}
spring-security.xml
<http use-expressions="true">
<access-denied-handler error-page="/login.page" />
<intercept-url pattern="/login.page" access="permitAll" />
<intercept-url pattern="/*.page" access="isAuthenticated()" />
<intercept-url pattern="/*.json" access="isAuthenticated()" />
<form-login login-page="/login.page" authentication-failure-url="/login.page" />
<logout logout-url="/logout" logout-success-url="/login.page" invalidate-session="true" />
<session-management session-authentication-strategy-ref="sas" />
<session-management>
<concurrency-control expired-url="/login.page?expired" />
</session-management>
</http>
<authentication-manager alias="authenticationManager">
<authentication-provider user-service-ref='ApplicationAuthenticationProvider'>
<password-encoder hash="sha-256" />
</authentication-provider>
</authentication-manager>
<beans:bean id="concurrencyFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">
<beans:constructor-arg name="sessionRegistry" ref="sessionRegistry" />
<beans:constructor-arg name="expiredUrl" value="/login.page?expired" />
</beans:bean>
<beans:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />
<beans:bean id="sessionFixation" class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy">
<beans:property name="migrateSessionAttributes" value="false" />
</beans:bean>
<beans:bean id="sas" class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
<beans:constructor-arg name="sessionRegistry" ref="sessionRegistry" />
<beans:property name="maximumSessions" value="1" />
<beans:property name="exceptionIfMaximumExceeded" value="false" />
<beans:property name="alwaysCreateSession" value="true" />
<beans:property name="migrateSessionAttributes" value="false" />
</beans:bean>
web.xml
<!-- Creates the Spring Container shared by all Servlets and Filters -->
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<listener>
<listener-class>
org.springframework.security.web.session.HttpSessionEventPublisher
</listener-class>
</listener>
applicationContext-custom.xml
<!-- Session Information Proxy -->
<bean id="SessionModel" class="com.objectwave.session.SessionModelImpl" scope="session">
<!-- this next element effects the proxying of the surrounding bean -->
<aop:scoped-proxy proxy-target-class="false" />
</bean>
我仅粘贴了xml文件的部分代码。我在xml Bean上尝试了不同的参数,但是不,它根本不起作用。
我阅读了一些有关过滤器的内容,但不确定如何工作。
此外,我已经在线调试了代码和LoginController
sessionAuthenticationStrategy.onAuthentication(result,response);
看起来好像它在上一个会话(浏览器1)中到期了,但是当我进入浏览器一时,它的工作就像什么都没发生一样(而且我曾经尝试调试,并且会话没有说任何有关过期的信息)
登录前端是自定义的(我什至不确定不自定义的外观!)
大多数(如果不是全部)配置都是通过xml文件完成的。
谢谢!
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。