堆栈内存溢出
  繁体   English   中英

Spring-Security:使用COOKIE的会话配置不起作用

[英]Spring-security : session-config with COOKIE not working

 原文  2017-02-16 11:30:32       java/ spring/ spring-mvc/ tomcat/ spring-security

问题描述

我正在开发一个Spring-MVC应用程序,即使在Apache Tomcat重新启动后,我也希望在该应用程序中保持用户登录状态。 我来到2个策略,一个与实施<session-config><tracking-mode>COOKIE ,和其他链接是设置Tomcat来存储HTTP会话。 我们有postgres,但是没有足够的信息来说明如何使用PostgreSQL。

我尝试了第一种配置,尽管没有错误,但是每当重新启动tomcat时,都会引发用户登录。 这是解决此问题的正确方法吗? 用Redis可以做到这一点吗? 谢谢。

security-applicationContext.xml: 

  <security:http create-session="ifRequired" use-expressions="true" auto-config="false" disable-url-rewriting="true">
        <security:form-login login-page="/login" username-parameter="j_username" password-parameter="j_password"
                             login-processing-url="/j_spring_security_check" default-target-url="/canvaslisting"
                             always-use-default-target="true" authentication-failure-url="/denied"/>
        <security:remember-me key="_spring_security_remember_me" user-service-ref="userDetailsService"
                              token-validity-seconds="1209600" data-source-ref="dataSource"/>
        <security:logout delete-cookies="JSESSIONID" invalidate-session="true" logout-url="/j_spring_security_logout"/>
   <!--<security:intercept-url pattern="/**" requires-channel="https"/>-->
        <security:port-mappings>
            <security:port-mapping http="80" https="443"/>
        </security:port-mappings>
        <security:logout logout-url="/logout" logout-success-url="/" success-handler-ref="myLogoutHandler"/>
        <security:session-management session-fixation-protection="migrateSession">
// we want multi-browser logins. 
            <security:concurrency-control session-registry-ref="sessionReg" max-sessions="5" expired-url="/login"/>
        </security:session-management>
    </security:http>

    <beans:bean id="sessionReg" class="org.springframework.security.core.session.SessionRegistryImpl"/>

    <security:authentication-manager alias="authenticationManager">
        <security:authentication-provider user-service-ref="LoginServiceImpl">
            <security:password-encoder ref="encoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

web.xml: 

 <session-config>
        <session-timeout>0</session-timeout>
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>

1 个解决方案

解决方案1
 0  2017-02-16 11:55:27

您的链接问题已经描述了如何将会话持久化到JDBC数据库。
该示例使用MySql,使用Postgres的唯一区别是更改url和驱动程序类,就像使用任何JDBC连接一样。 

<Manager className="org.apache.catalina.session.PersistentManager"
         maxIdleBackup="10">
  <Store className="org.apache.catalina.session.JDBCStore"
         connectionURL="jdbc:postgresql://localhost/mytomcat?user=root"
         driverName="org.postgresql.Driver"
         sessionAppCol="app_name"
         sessionDataCol="session_data"
         sessionIdCol="session_id"
         sessionLastAccessedCol="last_access"
         sessionMaxInactiveCol="max_inactive"
         sessionTable="tomcat_sessions"
         sessionValidCol="valid_session" />
</Manager>

如果要使用redis,则可以使用Pivotal的RedisStore会话管理器 

<Manager className="org.apache.catalina.session.PersistentManager">
    <Store className="com.gopivotal.manager.redis.RedisStore" 
             uri="redis://username:password@localhost:6370/0" />
</Manager>

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 春季安全性未按预期工作 Spring-Security:不确认RestTemplate中设置的cookie Spring线程中没有Spring安全会话 使用Spring MVC 3.1+ WebApplicationInitializer以编程方式配置session-config和error-page Spring-Security sec:authorize标签不起作用 Spring-Security:使用登录时返回的cookie访问安全资源 使用Java配置的Spring-Security OAuth2 StackOverflowError BadCredentialsException是spring-security Spring-Security 3.2中如何处理会话超时 spring-security:创建没有HTTP请求的会话?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM