我通过扩展AuthenticatedWebSession
来管理身份验证登录
@Override
protected boolean authenticate(String username, String password) {
return true/false some auth logic here;
}
退出
@Override
public void signOut() {
super.signOut();
this.getApplication().getSecuritySettings().getAuthenticationStrategy().remove();
this.getSessionStore().invalidate(RequestCycle.get().getRequest());
throw new RedirectToUrlException("some_url_that_does_not_require_auth", HttpServletResponse.SC_MOVED_TEMPORARILY);
}
我的页面配置
@AuthorizeInstantiation("ADMIN")
public class Home extends Base {
//Page stuff here
}
现在的问题是,如果我退出,我仍然可以访问经过身份验证的内容。通过单击后退按钮或将URL粘贴到浏览器。我只能观看内容,当我点击某些内容时,它会将我重定向到非身份验证页面。
当注销会话ID更改并从SecuritySettings中删除会话时,无法弄清楚为什么它仍会显示身份验证内容。
答案 0 :(得分:2)
致电session.invalidate()而非session.signOut()。
我建议从Wicket 8.x的API中删除/隐藏signOut()。最近有人遇到了同样的问题(What method to use for logout in wicket application?)。