Warum geht Spring Security zur letzten Seite vor Abmeldung, wenn ich mich wieder auslogge und melden Sie sich an zurück?

StackOverflow https://stackoverflow.com/questions/1920110

  •  20-09-2019
  •  | 
  •  

Frage

Ich habe eine Web-Anwendung auf Frühling Webflow mit Spring Security ausgeführt wird. Ich habe ein Problem Protokollierung, weil meine app irgendwie die letzte Seite nach dem Abmelden erinnert. Wenn ich zurück oder direkt drücken Sie die URL in die Adressleiste einfügen können sie die Seite auf der Login-Seite direkt, aber wenn ich mich einlogge wird es direkt zur letzten Seite gehe ich zu ging, bevor sich abzumelden. Es neigt dazu, seinen letzten Zustand zu erinnern. Im Folgenden finden Sie meine Anwendung-config-Schnipsel. 

    <security:logout logout-url="/logout.do" invalidate-session="true" 
        logout-success-url="/logoutSuccess.do" />

Link in meiner Seite 

      <a href="logout.do">#{label.labellogout}</a>
War es hilfreich?

Lösung

Das abgelaufen-url Attribut

Der URL ein Benutzer umgeleitet werden, wenn sie versuchen, eine Sitzung zu verwenden, die wurde durch die gleichzeitige Sitzungssteuerung „abgelaufen“, da der Benutzer die Anzahl der erlaubten Sitzungen überschritten hat und wieder woanders angemeldet. Sollte gesetzt werden, es sei denn, Ausnahme-if-Maximum-überschritten eingestellt ist. Wenn kein Wert angegeben wird, wird ein Ablauf Nachricht nur auf die Antwort direkt zurück geschrieben werden.

Sounds wie Ihre Sitzung ist nach einem Logout noch gültig ist. versuchen, es nach der Abmeldung zu machen ungültig.

Dieser Text ist aus: Frühlings-Doc

Andere Tipps

Nicht sicher, dass ich das Problem richtig verstanden, aber:

B.1.1.4. Session-Fixation-Schutz Gibt an, ob eine vorhandene Sitzung sollte für ungültig erklärt werden, wenn ein Benutzer authentifiziert und eine neue Sitzung gestartet. Wenn auf „none“ wird keine Änderung vorgenommen werden. „NewSession“ wird eine neue leere Sitzung erstellen. „MigrateSession“ wird eine neue Sitzung und kopieren Sie die Sitzungsattribute in die neue Sitzung erstellen. Der Standardwert ist „migrateSession“. Wenn diese Option aktiviert wird dies eine SessionFixationProtectionFilter zum Stapel hinzufügen. Die Session-Fixation-Schutzoptionen auf Namespace erstellten Instanzen von AbstractProcessingFilter werden auch in geeigneter Weise eingestellt werden.

lesen Sie hier link

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top