我有一个使用spring security的Web应用程序。我有一个登出问题,因为我的应用程序在注销后会记住最后一页。我想要的是一旦用户注销就不能回去。
我的application-config摘要:
<security:logout logout-url="/logout.do"
invalidate-session="true"
logout-success-url="/logoutSuccess.do" />
答案 0 :(得分:1)
试试这个:
HttpServletRequest.getSession(false).invalidate();
答案 1 :(得分:1)
标准的注销过滤器将使当前的HTTPSession无效,如果您的用户有一个受保护的页面的缓存版本,那么您可以做的很少,但即使他们返回到该页面,他们也无法使用它来向您的应用程序提出任何进一步的请求,直到他们获得另一个有效的会话。