我的应用程序是在tomcat 7上使用spring(和spring security)。 我有两种角色--ROLE_1和ROLE_2,以及两个访问我的单个应用程序的网站(CORS调用)。
我希望能够使用两个浏览器标签:一个是带有ROLE_1的website1,另一个是带有ROLE_2的website2。
问题是如果website1访问服务器,他会获得与ROLE_1关联的会话ID。当website2访问服务器时,它会覆盖会话ID,然后 - ROLE_1无法执行任何操作,因为它没有获得所需的权限。
事实上,website2和ROLE_2确实需要会话。
所以我需要一种方法 - 1.从website2 / ROLE_2的响应对象中删除会话ID(不删除会话cookie,因为它已被网站1使用。只需将其从响应中删除)。
有什么想法吗?