我对弹簧安全性有疑问。对于我的注销标记,我已经指定了invalidate-session false,如下所示...
<logout
invalidate-session="false"
delete-cookies="JSESSIONID"
success-handler-ref="customUrlLogoutSuccessHandler"/>
我需要这样做,因为并发控制会话超时标记有些奇怪。除非我将invalidate-session设置为false,否则我的注销操作总会得到会话超时。
我的问题是因为我将invalidate-session设置为false我现在需要以某种方式以编程方式使会话无效吗?我所做的一切有什么影响?
当你点击退出按钮时,我的应用程序似乎会将你注销,除非我重新登录,否则我无法得到它。所以似乎可能无所事事。但我不禁想到我需要做更多的事情。我不想让我的应用程序打开后门。
感谢
答案 0 :(得分:1)
影响是