我编写了自定义AuthenticationProvider并且它可以工作。我关注this tutorial。
我也像这样使用HttpSecurity配置。
http
....
....
.sessionManagement()
.sessionFixation().migrateSession()
.maximumSessions(1)
.expiredUrl("/expired")
.maxSessionsPreventsLogin(true)
.sessionRegistry(sessionRegistry())
;
但是用户仍然可以登录twise等等。
作为比较,inMemoryAuthentication和jdbcAuthentication工作。只有AuthenticationProvider不是。
答案 0 :(得分:0)
如果您使用自定义身份验证,UserDetails或身份验证,请确保实现hashCode和equals方法。