问题描述
所以我有Spring Security 3.1,并且我将并发设置为max-sessions = 1和exceptionIfMaxMaxumExceeded =“ true”,并且它可以正常工作。当我尝试使用第二个浏览器登录时,会给我一个例外。
现在,当我使用第二个浏览器登录时,我希望它允许我登录并过期/关闭上一个会话(第一个浏览器)。我将“ exceptionIfMaximumExceeded”更改为false,它只允许我使用第二个浏览器登录,但是当我使用第一个浏览器时,仍然可以在不同的页面中移动。
LoginController.java
...
@Inject
@Qualifier("sas")
private SessionAuthenticationStrategy sessionAuthenticationStrategy;
...
@RequestMapping
public String show(Map<String,Object> model,HttpServletRequest request,HttpServletResponse response)
{
// clear any session data before asking for login credentials
HttpSession session = request.getSession(false);
if (session != null)
session.invalidate();
...
try{
...
sessionAuthenticationStrategy.onAuthentication(result,request,response);
...}catch(Exception ex){...}
}
spring-security.xml
<http use-expressions="true">
<access-denied-handler error-page="/login.page" />
<intercept-url pattern="/login.page" access="permitAll" />
<intercept-url pattern="/*.page" access="isAuthenticated()" />
<intercept-url pattern="/*.json" access="isAuthenticated()" />
<form-login login-page="/login.page" authentication-failure-url="/login.page" />
<logout logout-url="/logout" logout-success-url="/login.page" invalidate-session="true" />
<session-management session-authentication-strategy-ref="sas" />
<session-management>
<concurrency-control expired-url="/login.page?expired" />
</session-management>
</http>
<authentication-manager alias="authenticationManager">
<authentication-provider user-service-ref='ApplicationAuthenticationProvider'>
<password-encoder hash="sha-256" />
</authentication-provider>
</authentication-manager>
<beans:bean id="concurrencyFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">
<beans:constructor-arg name="sessionRegistry" ref="sessionRegistry" />
<beans:constructor-arg name="expiredUrl" value="/login.page?expired" />
</beans:bean>
<beans:bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />
<beans:bean id="sessionFixation" class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy">
<beans:property name="migrateSessionAttributes" value="false" />
</beans:bean>
<beans:bean id="sas" class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
<beans:constructor-arg name="sessionRegistry" ref="sessionRegistry" />
<beans:property name="maximumSessions" value="1" />
<beans:property name="exceptionIfMaximumExceeded" value="false" />
<beans:property name="alwaysCreateSession" value="true" />
<beans:property name="migrateSessionAttributes" value="false" />
</beans:bean>
web.xml
<!-- Creates the Spring Container shared by all Servlets and Filters -->
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<listener>
<listener-class>
org.springframework.security.web.session.HttpSessionEventPublisher
</listener-class>
</listener>
applicationContext-custom.xml
<!-- Session @R_632_4045@ion Proxy -->
<bean id="SessionModel" class="com.objectwave.session.SessionModelImpl" scope="session">
<!-- this next element effects the proxying of the surrounding bean -->
<aop:scoped-proxy proxy-target-class="false" />
</bean>
我仅粘贴了xml文件的部分代码。我在xml Bean上尝试了不同的参数,但是不,它根本不起作用。
我阅读了一些有关过滤器的内容,但不确定如何工作。
此外,我已经在线调试了代码和LoginController
sessionAuthenticationStrategy.onAuthentication(result,response);
看起来好像它在上一个会话(浏览器1)中到期了,但是当我进入浏览器一时,它的工作就像什么都没发生一样(而且我曾经尝试调试,并且会话没有说任何有关过期的信息)
大多数(如果不是全部)配置都是通过xml文件完成的。
谢谢!
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)