-
请教Spring Security验证问题5
请问一下,我使用Spring Security配置2个角色,
一个
ROLE_TEST 另一个为 ROLE_ADMIN
权限设置了
ROLE_TEST 不能访问 /admin/test.action
而 ROLE_ADMIN 则全部可以通过
————————————————————————————————
问题如下:
当我使用 ROLE_TEST登陆入去后,进行/admin/test.action 则spring security抛出一个没权限的异常,进行配置的没权限访问提示页面。
但是我退出登陆后,用 ROLE_ADMIN角色进入,访问同样资源,很奇怪,也是显示没权限。
我发现,当过段时间,或换另一台计算是,ROLE_ADMIN是可以访问那个资源的,我怀疑是Spring Security的session问题,还保存了
没权限时的信息,就是logout后,那些信息还没清除,要等session过期或换其它电脑就可以。
请问一下,像这种情况如何处理。?
问题补充:jobar 写道session-management 配置session-fixation-protection=newSession了吗?
这个还没配置,我先试试,先谢谢~
问题补充:jobar 写道session-management 配置session-fixation-protection=newSession了吗?
忘记了说,我的是spring security2.05喔,有这个配置项吗
问题补充:jobar 写道引用忘记了说,我的是spring security2.05喔,有这个配置项吗
2.05不太清楚。3.0肯定有
有这个配置,配置如下:
<sec:http auto-config="true" access-decision-manager-ref="accessDecisionManager"
servlet-api-provision="false"
access-denied-page="/html/error_page_access_denied.html"
session-fixation-protection="newSession" >
<!-- 无需进行权限验证的路径 -->
<!-- sec:intercept-url pattern="/admin/*" filters="none" -->
<sec:intercept-url pattern="/admin/admin!login.action" filters="none" />
<sec:intercept-url pattern="/template/*" filters="none" />
<!-- login-page 登录页面 -->
<!-- default-target-url 登录成功后跳转的URL -->
<!-- always-use-default-target 是否登录后必须访问default-target-url -->
<!-- authentication-failure-url 登录失败后跳转的URL -->
<sec:form-login
login-page="/admin/admin!login.action"
login-processing-url="/admin/loginVerify"
default-target-url="/admin/admin!main.action"
authentication-failure-url="/admin/admin!login.action"
always-use-default-target="true" />
<sec:logout invalidate-session="false" logout-success-url="/admin/admin!login.action" logout-url="/admin/logout" />
<sec:concurrent-session-control max-sessions="1"/>
</sec:http>
问题补充:jobar 写道2.0.5是有的,请参考:http://static.springsource.org/spring-security/site/docs/2.0.x/reference/appendix-namespace.html#session-fixation-protection
还是不行呢。
问题补充:jobar 写道<sec:logout invalidate-session="false" logout-success-url="/admin/admin!login.action" logout-url="/admin/logout" />
invalidate-session="false" 这个为什么要配false?
这个我改为 invalidate-session="true" 还是不行2012年4月09日 13:00
添加评论
关注(0)5个答案 按时间排序 按投票排序
-
<sec:logout invalidate-session="false" logout-success-url="/admin/admin!login.action" logout-url="/admin/logout" />
invalidate-session="false" 这个为什么要配false?2012年4月09日 15:29
-
2.0.5是有的,请参考:http://static.springsource.org/spring-security/site/docs/2.0.x/reference/appendix-namespace.html#session-fixation-protection
2012年4月09日 15:20
相关推荐
Spring Security 演讲PPT(演讲嘉宾:张明星) WebSphere技术专家沙龙在广州圆满举办,WSC超级版主Fastzch(张明星)担任本次沙龙的演讲嘉宾,他给广州的WebSphere技术专家带来了以“Spring Security ”为主题的...
Spring Security三份资料,实战Spring Security 3.x.pdf;Spring Security 3.pdf;Spring Security使用手册.pdf
很多独立软件供应商,因为灵活的身份验证模式二选择Spring Security。这样做允许他们快速的集成到他们的终端客户需求的解决方案而不用进行大量工程或者改变客户的环境。如果上面的验证机制不符合你的需求,Spring ...
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
spring security spring security 中文文档
Spring Security in Action
Spring Security:spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
spring security2.5 jar 和spring security2.5 整合必须的jar包
三更springsecurity学习笔记
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring ...
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring Security 3.pdf Spring Security 3.pdf Spring Security 3.pdf Spring Security 3.pdf
SpringSecurity学习总结源代码
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Spring Security。 官网 Spring Security API(Spring Security 开发文档).CHM
spring security3 中文版本
SpringSecurity课程文档下载 pdf 教学
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...