2
//我會嘗試改進這個問題,看看我能否獲得幫助。SSO和ServletRequest.login()和ServletRequest.logout()在GlassFish 3.1中不起作用
我們在我們的glassfish服務器中有一套應用程序,我們希望在它們之間使用SSO。所以,我們想出了一個「身份驗證」Web應用程序,它只是包含用於驗證用戶的表單。這個用戶然後被這個應用程序路由到他想要訪問的任何應用程序。
問題是,當使用FORM身份驗證方法和通過ServletRequest.login()編程登錄時,不會創建SSO Cookie 。只有通過BASIC身份驗證或通過j_security_check,我們才能看到正在創建的SSO會話Cookie。
同樣,ServletRequest.logout()方法也無法將用戶從SSO會話中註銷,從而導致令人討厭的安全漏洞。
我想知道使用程序化登錄/註銷和SSO的方法根本不起作用(因此,我們做錯了);或者,如果我們完全忽略了Glassfish中的SSO和安全性。
請注意,request.logout()也不會使SSO cookie無效! – javabeats 2012-02-24 18:05:18
甚至在他們的文檔中提到了這個事實:http://docs.oracle.com/cd/E19226-01/820-7695/beacm/index.html'程序性登錄狀態不一定會持續在會話中或參與單個登錄on.' – kolobok 2014-07-17 14:44:19