Spring Security / expired-url没有重定向网址

时间:2014-05-02 05:03:40

标签: java web concurrency spring-security

我正在使用Spring,我在尝试使用并发控制和身份验证失败时遇到问题。

我尝试这样做同一个用户无法同时登录aplication。因此,我将security.xml中的并发控制定义为:

<concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login_page?login_timeout=1"/>

我的想法是当第二个用户尝试登录时,应该使用以下命令调用登录页面:

  • login_page?login_max_session_exceed = 1"

我也有表格登录:

<form-login login-page="/login_page" default-target-url="/index.jsp"
        authentication-failure-url="/login_page?login_error=1" />

但我遇到的问题是当我尝试登录第二个用户时,ALWAYS,使用

调用登录页面
  • login_page?login_error = 1“(expired-url不是重定向)

有什么问题?如何在第二个用户尝试连接时使用expired-url重定向。

我使用的弹簧版本是:

Spring.core 3.2.8和Spring.security 3.2.3

我的web.xml 

<web-app id="WebApp_ID" version="2.4"
xmlns="http://java.sun.com/xml/ns/j2ee" 
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee 
http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

<display-name>Sistema de Despacho de Contingencia Acindar</display-name>

<servlet>
    <servlet-name>sdca-dispatcher</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>

<servlet-mapping>
    <servlet-name>sdca-dispatcher</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener> 

<listener>
    <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>

</listener>

<!-- Spring Security -->

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        /WEB-INF/sdca-security.xml
    </param-value>
</context-param>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<session-config>
    <session-timeout>1</session-timeout>
</session-config>

我的security.xml 

    <http auto-config="true">
    <form-login login-page="/login_page" default-target-url="/index.jsp"
        authentication-failure-url="/login_page?login_error=1" />
    <logout logout-success-url="/login_page?logout=1" invalidate-session="true" delete-cookies="JSESSIONID" />
        <session-management invalid-session-url="/login_page"
        session-authentication-error-url="/login_page?login_max_session_exceed=1">
        <concurrency-control max-sessions="1"
            error-if-maximum-exceeded="true" expired-url="/login_page?login_timeout=1"/>
    </session-management>
    <intercept-url pattern="/login_page" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    <intercept-url pattern="/**" access="ROLE_ADMIN" />
</http>

谢谢你的帮助!

1 个答案:

答案 0 :(得分:0)

这里的一些配置选项似乎有些混乱。首先,expired-url属性不相关,因为您将多个登录视为错误。它仅适用于您允许第二次登录,这将导致第一次登录&#34;已过期&#34;。查看the namespace configuration的文档。

session-authentication-error-url属性也不适用于此处。引用the manual

  

第二次登录将被拒绝。 “被拒绝”是指如果正在使用基于表单的登录,发送到authentication-failure-url 。如果第二次认证是通过另一种非交互机制发生的,例如“记住我”,则会向客户端发送“未授权”(402)错误。如果您想使用错误页面,则可以将属性session-authentication-error-url添加到会话管理元素。

因此只有在使用了记住我身份验证的情况下才会使用它。

相关问题
最新问题