Spring Security:session.invalidate()vs invalidate-session =“true”

时间:2013-03-07 07:36:06

标签: spring session spring-security

两者有什么区别?我不太确定,但我相信HttpServletReqest.getSession.invalidate()只会使用户的会话无效,而invalidate-session =“true”使会话无效并将用户重定向到定义的会话过期页面。如果我错了,请纠正我,我想更多地了解这一点。感谢。

1 个答案:

答案 0 :(得分:3)

invalidate-session<logout>元素的一个属性,会导致会话在注销时失效(这是默认行为),但不会自行调整任何重定向。

如果请求包含无效/过期的会话ID,则会话过期页面会显示在这种情况下,SessionManagementFilter会将其重定向到预先配置的URL,您可以通过{{1}设置该URL配置。如果没有设置,则不会发生重定向。

正如您所说,

<session-management invalid-session-url="...">会使会话无效。