春季安全：會話過期沒有重定向到過期網址？

Question

我正在使用基於Spring Security 3.0.2表單的身份驗證。但我無法弄清楚如何配置它，以便在會話過期時請求不會重定向到其他頁面（expired-url）或顯示'session expires'消息。

我不想要任何重定向或消息，我希望匿名會話開始就像沒有會話的用戶進入網站時一樣。

我目前的配置：

<http> 
    <intercept-url pattern="/login.action*" filters="none"/> 
    <intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> 
    <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/> 
    <form-login login-page="/login.action" 
       authentication-failure-url="/login.action?error=failed" 
       login-processing-url="/login-handler.action"/> 
    <logout logout-url="/logoff-execute.action" 
      logout-success-url="/logoff.action?done=1"/> 
    <remember-me key="remember-me-security" services-ref="rememberMeServices"/> 
    <session-management > 
    <concurrency-control max-sessions="1" 
         error-if-maximum-exceeded="false" 
         expired-url="/login.action?error=expired.url"/> 
    </session-management> 
</http> 

Answer 1

我會說你必須寫自己的過濾器。
看看spring framework docs。

還有一個很灰塵的樣本，但我認爲它仍然是非常正確的：timeout filter sample。

Answer 2

你可以試試：

<logout invalidate-session="true" 
      logout-url="/LoginPage.jsf?error_logout=logoutComSucesso"/><!--invalido logout-success-url="/LoginPage.jsf?auth_error" --> 
    <session-management session-fixation-protection="newSession" invalid-session-url="/LoginPage.jsf?error=sessionExpired" 
        session-authentication-error-url="/LoginPage.jsf?auth_error=BadCredencials" > 
    </session-management>