Spring Security - SavedRequestAwareAuthenticationSuccessHandler是否破产?
TLDR:Spring在重定向到登录页面时会破坏当前的HTTP会话;这会破坏登录后导航到DefaultSavedRequest的能力。为什么会这样?
详情 - 我正在维护一个遗留的Spring应用程序:
- Spring Core 3.1.0版
- Spring Security 3.1.0版
尝试在我的登录配置中使用SavedRequestAwareAuthenticationSuccessHandler时,它无法正常工作。以下是似乎正在发生的事情:
- HTTP GET到安全资源:
http://localhost:8080/myapp/viewWorkOrder?workOrderNumber=315261 -
Spring正确地确定我没有登录并保存我的请求:
DEBUG o.s.s.w.s.HttpSessionRequestCache - DefaultSavedRequest added to Session: DefaultSavedRequest[http://localhost:8080/myapp/viewWorkOrder?workOrderNumber=315261] -
Spring正确重定向到我的登录页面:
DEBUG o.s.security.web.FilterChainProxy - /login.jsp at position 1 of 9 in additional filter chain; firing Filter: 'ChannelProcessingFilter' -
Spring会破坏当前会话,这会有效地破坏以后使用DefaultSavedRequest的能力:
DEBUG o.s.s.w.s.HttpSessionEventPublisher - Publishing event: org.springframework.security.web.session.HttpSessionDestroyedEvent[source=org.apache.catalina.session.StandardSessionFacade@b25f027]
为什么或什么导致当前会话被销毁?
以下是相关配置详情:
<bean id="savedRequestAwareAuthenticationSuccessHandler"
class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
<property name="defaultTargetUrl" value="/postLogin" />
<property name="targetUrlParameter" value="targetUrl" />
<property name="alwaysUseDefaultTargetUrl" value="false" />
</bean>
<security:http auto-config="false">
<!-- Override default login and logout pages -->
<security:form-login login-page="/login.jsp"
login-processing-url="/j_spring_security_check"
authentication-failure-url="/login.jsp?login_error=1"
authentication-success-handler-ref="savedRequestAwareAuthenticationSuccessHandler"
/>
<security:session-management session-fixation-protection="none"/>
- 请注意,包含
session-management似乎不会影响该功能。
1 个答案:
答案 0 :(得分:0)
嗯,这很令人尴尬,但为了成为堆栈溢出的好公民,我想我会分享我找到的东西。
在Spring HttpSessionEventPublisher中设置一个断点以查看堆栈是否可能给我一个线索,它确实做到了。这是一个截图:
您会注意到login.jsp在堆栈中。作为这个特定应用程序的新手,我甚至都不怀疑JSP,但这是我发现的:
显然,删除此scriptlet解决了我的问题。现在我只是想知道为什么有人这样做以及我在这个过程中打破了什么:)
相关问题
- Spring Security 3 SavedRequestAwareAuthenticationSuccessHandler未保存原始请求
- SavedRequestAwareAuthenticationSuccessHandler在#之后剥离部分URL
- Spring Security 3 SavedRequestAwareAuthenticationSuccessHandler对POST和GET没有任何影响
- 我怎么能在SavedRequestAwareAuthenticationSuccessHandler上注入spring-data存储库
- 具有SavedRequestAwareAuthenticationSuccessHandler的CAS无法正确重定向
- Grails如何在没有对象注入的情况下注入正在扩展savedRequestAwareAuthenticationSuccessHandler的类的bean
- 如果从MS Excel打开URL,则SavedRequestAwareAuthenticationSuccessHandler不起作用
- Spring Security - SavedRequestAwareAuthenticationSuccessHandler是否破产?
- Spring Security中的会话超时时,SavedRequestAwareAuthenticationSuccessHandler无法正常工作
- 如何重定向到上一个请求的页面,但是SavedRequestAwareAuthenticationSuccessHandler重定向到上一个受保护的页面?
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?