我有一个使用Spring Security在Spring Webflow上运行的Web应用程序。我有一个登出问题,因为我的应用程序有点记得退出后的最后一页。当我按下或直接将URL粘贴到地址栏时,它可以将页面指向登录页面,但如果我登录它将直接进入我退出之前访问的最后一页。它往往会记住它的最后状态。下面是我的application-config片段。
<security:logout logout-url="/logout.do" invalidate-session="true"
logout-success-url="/logoutSuccess.do" />
我页面中的链接
<a href="logout.do">#{label.labellogout}</a>
答案 0 :(得分:1)
expired-url属性
如果用户尝试使用并发会话控制器“已过期”的会话,则用户将被重定向到该URL,因为该用户已超过允许的会话数并已在其他位置再次登录。应设置,除非设置了exception-if-maximum-exceeded。如果没有提供任何值,则只会将到期消息直接写回响应。
在注销后,您的会话仍然有效。注销后尝试使其无效。
文字来自: Spring Doc
答案 1 :(得分:0)
不确定我是否正确理解了您的问题,但是:
B.1.1.4。会话固定保护 指示当用户进行身份验证并启动新会话时是否应使现有会话失效。如果设置为“none”,则不会进行任何更改。 “newSession”将创建一个新的空会话。 “migrateSession”将创建一个新会话并将会话属性复制到新会话。默认为“migrateSession”。 如果启用,这将向堆栈添加SessionFixationProtectionFilter。还将适当地设置名称空间创建的AbstractProcessingFilter实例上的会话固定保护选项。
可在此处阅读link