在spring mvc应用程序(4.3.X)中,我想在登录页面上向用户发布消息,以防万一由于会话期满而登陆该用户。显然,当转发用户登录作为注销结果时,不会显示此消息。
public class Cfg extends WebSecurityConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
// ...snip
// no logout(), so falling-back on defaults
.and().sessionManagement().invalidSessionUrl("/login?invalid");
}
}
似乎因为spring的默认设置是注销时使会话无效,所以无论会话是否过期或注销,用户都被重定向到invalidSessionUrl。
如果我禁用了会话无效(.invalidateHttpSession(false)
)并添加了一个到期URL(.expireyUrl('/login?expired')
),则以上内容已解决。但是后来我担心不使会话无效的安全隐患。
在不影响安全性的情况下,向用户实施会话过期通知的推荐步骤是什么?
谢谢!