Question

一切正常，但注销和会话破坏不起作用，我不知道为什么。

如果会话无效或达到会话超时，为什么我可以访问受保护区域。

'http://localhost:8080/psg/admin/'

<security-constraint>
    <display-name>My First Sec Constraint</display-name>
    <web-resource-collection>
        <web-resource-name>Protected Area</web-resource-name>
        <url-pattern>/admin/*</url-pattern>
        ..

登录Servlet 映射到/ admin /

    HttpSession session = request.getSession();

    if (session != null) {
        session.setAttribute("ID", session.getId());
        session.setAttribute("User", request.getRemoteUser());
        session.setAttribute("isAuthenticated", true);
        getServletContext().getRequestDispatcher("/index.jsp").forward(request, response);
    }

Logout Servlet 映射到/ admin / logout

    HttpSession session = request.getSession(false);

    if(session!=null){
        session.invalidate();
        response.sendRedirect(request.getContextPath());
    }

如果session-timeout必须销毁会话，则会出现同样的问题。如果我进入受保护区域/ psg / admin /

，我也可以在此持续时间之后获得有效会话

<session-timeout>1</session-timeout>

Answer 1

如果是基本和摘要认证，浏览器将重新发送用户凭据，因此实际上没有注销，只有会话失效。

您需要使用基于表单的身份验证才能注销。

Java会话无效和超时不起作用

1 个答案: