2
A
回答
5
我找不到任何抱怨這樣的行爲,花了一整天的時間來找出問題。最後,它彈出,原因是錯誤在Tomcat中,可用的版本從6.0.20到6.0.28(Bug 49598)
問題在於Tomcat的基本授權和Spring安全性在授權請求期間會替換會話。會話,在同一個請求處理期間觸發兩個會話替換之後的直接登錄請求。但是,在錯誤的結果中,響應中的Set-Cookie頭仍然指向由Tomcat給出的會話ID(由Spring安全,因爲它的工作ER)。所以,下一個請求會發送已經被銷燬的會話的cookie。 Spring創建的會話(包含簽名用戶)仍然未被聲明。
最好的解決方案是Tomcat 6.0.29 :-)。 如果有人有Tomcat的升級問題,有3種可能性,以避免故障:
禁用會話更換的Tomcat。您可以在context.xml中做配置閥門
<Valve className="org.apache.catalina.authenticator.BasicAuthenticator" changeSessionIdOnAuthentication="false"/>
禁用會話更換春季安全配置的security.xml的。
<http ... session-fixation-protection="none"> ..... </http>
註銷後提供額外的重定向。通過這種方式,Tomcat將在登錄請求期間在會話中緩存一條原則。
也許這可以保護越來越瘋狂像我昨天:)
與問候, 埃德加有人
相關問題
- 1. 基於標準的授權與春季安全檢查?
- 2. 春季安全和Tomcat
- 3. 春季安全與CAS認證和定製授權
- 4. 春季安全jdbc配置授權用戶與多個角色
- 5. 與春季安全
- 6. 春季安全HTTP基本認證
- 7. 春季安全 - 基本身份驗證
- 8. 春季安全Kerberos鏈接基本
- 9. 春季自定義用戶組的安全授權
- 10. 春季安全預授權的重新驗證
- 11. 春季和中間件衝突?
- 12. 春季安全 - 基於時間的URL與認證令牌
- 13. 春季安全與JSF
- 14. 春季安全3 - 未授予任何權威
- 15. 春季安全測試返回401(未授權)
- 16. 秒:授權不工作在春季安全4
- 17. 春季安全。授權對JSP不工作
- 18. 如何在春季安全中授權系統調用
- 19. 春季安全方法授權不起作用
- 20. 春季安全只限於授權。外部認證
- 21. 春季安全saml SSO - 授權多種資源
- 22. 春季安全授權檢查不起作用
- 23. 安全REST與春季安全
- 24. 春季安全
- 25. 春季安全
- 26. 春季URL映射衝突
- 27. 春季安全acl管理權限
- 28. 春季安全http基本auth與Java配置休息api
- 29. 基於春季安全權限的api訪問
- 30. 春季安全3.1.4的taglib授權/認證不與角色層次工作在JSF 2.2在Tomcat 7
您應該在「消息」下半年變成一個答案,上半年的問題。那麼你可以獲得一些聲譽! – 2011-02-18 11:03:13
感謝您的建議! :) – Edgar 2011-03-01 06:05:27
你走了。 :-) – 2011-03-01 09:19:01