在我的grails 2.4.0应用程序中-
现在,我需要确保每次用户登录时都更改JSESIONID cookie,以消除会话固定漏洞。我尝试了grails插件spring-security-core:2.0.0
-
已将以下内容添加到BuildConfig.groovy-
compile ':spring-security-core:2.0.0'
已将以下内容添加到Config.groovy-
grails.plugins.springsecurity.useSessionFixationPrevention = true
但是它没有按预期工作。添加插件后,上述会话管理中没有任何变化。
我不希望从头开始编写代码,但至少有人可以对此进行确认。在工作代码中,我看不到set-cookie标头等的任何清晰处理。
我搜索了一些有效的grails代码来更改会话cookie值,但找不到。根据我的理解,仅在用户登录后更改cookie不会起作用。我需要确保执行更改的API在set-cookie标头中返回此值,并且下次,任何可能被调用的API均应读取该值并在请求中发送。如果我的理解是错误的,请纠正我。