春季安全：會話處理在應用程序啓動

Question

我用在我的web應用程序處理會話執行以下操作：

<security:session-management invalid-session-url="/session-expired" session-authentication-strategy-ref="sas"/> 

<bean id="sas" 
    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy"> 
    <constructor-arg name="sessionRegistry" 
     ref="sessionRegistry" /> 
    <property name="maximumSessions" value="1" /> 
</bean> 

每當我開始我的應用程序（通常在Tomcat 7），我嘗試訪問我的登錄頁面，它會轉到/ session-expired url。這是爲什麼發生？一旦應用程序停止，是否所有會話都不應該失效？或者，這是更多的瀏覽器會話問題？

Answer 1

您仍然可以在瀏覽器中從前一個會話中獲得JSESSIONID Cookie，該會話在您關閉tomcat後不再有效，因此您將被重定向到無效會話頁面。嘗試在服務器啓動後首次刪除Cookie，然後檢查行爲是否符合您的要求