我正在使用Apache Ignite來羣集Web會話,並使用Spring安全性來執行基於表單的身份驗證。我使用的軟件有:Apache Ignite似乎會導致會話固定
- JDK 1.8.0_60
- 的Apache Tomcat 7.0.68
- 阿帕奇點燃1.5.0.final
- 春季安全3.1.3.RELEASE
(沒有Apache Ignite,基於表單的身份驗證可以正常工作,並且JSESSIONID cookie會在驗證成功後進行更改,以防止會話修復攻擊,如預期的那樣)。
與Apache點燃,我不能登錄,我得到以下警告:
2016-04-18 16:49:07,283 WARN org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy/onAuthentication 102 - Your servlet container did not change the session ID when a new session was created. You will not be adequately protected against session-fixation attacks
如果我在Spring配置關閉會話固定保護如下:
<http>
...
<session-management session-fixation-protection="none" />
...
</http>
它的工作原理。 (但是作爲一個結果,JSESSIONID cookie不經認證的成功而改變。)
你可以嘗試每晚構建並檢查問題是否在那裏複製?自1.5起,Ignite有幾個相關的修復程序。構建可以在這裏下載:https://builds.apache.org/view/HL/view/Ignite/job/Ignite-nightly/lastSuccessfulBuild/ –