我正在使用spring-security 3.1.3到4.0.1迁移现有应用程序。在当前代码中,我看到NullAuthenticatedSessionStrategy如下所示
<sec:http>
..
<sec:session-management session-authentication-strategy-ref="ss"/>
</sec:http>
<bean id="ss" class="org.springframework.security.web.authentication.session.NullAuthenticatedSessionStrategy"/>
在我们迁移的4.0.1 spring security代码中,如果我保持不变,似乎使用了SessionFixationProtectionStrategy。所以我使用session-fixation-protection = none关闭了保护。
<sec:session-management session-fixation-protection="none"/>
Q-1; 在这里我不清楚使用NullAuthenticatedSessionStrategy与上面关闭保护的区别是什么。
Q-2; 如果我仍然想在我当前的代码中使用NullAuthenticatedSessionStrategy,那么如何在4.0.1中执行此操作?
谢谢