Spring安全性已用于我们的应用程序。 Spring安全性已经以bean声明方式配置。
问题是:我登录了应用程序,浏览了几页,然后重新启动了服务器(但没有关闭浏览器)。重新启动服务器后,我可以成功移动到其他页面。我确定它不是浏览器缓存,因为我在开始浏览其他页面之前删除了所有cookie。
为什么会这样?这是默认行为吗?如何在重新启动服务器后强制执行身份验证?
答案 0 :(得分:7)
我们使用Tomcat 6,它是tomcat的默认行为,它在服务器关闭之前序列化会话,并在下次重新启动服务器时反序列化,从而维护会话。
如果我们不想要此默认行为,则取消注释context.xml中的“Manager”元素部分。