这是针对使用Spring-security-core 2.0-RC2插件在Grails 2.1中构建的应用程序。 (Java 1.6,Tomcat 1.7)
我已经设置了grails.plugin.springsecurity.useSessionFixationPrevention = true。 我已经尝试过以下对错 grails.plugin.springsecurity.sessionFixationPrevention.migrate = false grails.plugin.springsecurity.sessionFixationPrevention.alwaysCreateSession = true
我的期望是,登录后我应该在响应中看到一个新的JSESSIONID cookie(与请求中的不同)。但是,我看不到任何回复。下一个请求包含与登录请求中完全相同的JSESSIONID cookie。
我确实看到注销后会返回一个新的JSESSIONID cookie,但这已经很晚了,只是表明基本的工作流程正在发挥作用。
很明显,此应用程序使用的是较早版本...计划于明年春季进行版本升级,但在此之前,我需要得到我需要解决的会话固定问题以进行安全审核。
关于可能出什么问题或如何解决问题的任何想法?我希望我可以只向登录名添加代码,但是绕过Spring Security似乎是错误的。