我正在开发一个 Spring-MVC 应用程序,即使在 Apache Tomcat 重新启动后我也希望让用户保持登录状态。我想到了两种策略,一种是实现 <session-config>与 <tracking-mode>作为COOKIE , 和其他 link是设置 Tomcat 来存储 HTTP session 。我们有 postgres,但关于如何使用 PostgreSQL 执行此操作的信息不多。
我尝试了第一个配置,虽然我没有错误,但每当我重新启动 tomcat 时,用户都会被抛出以登录。这是解决这个问题的正确方法吗?有什么办法可以用 Redis 做到这一点吗?谢谢。
安全应用程序上下文.xml:
<security:http create-session="ifRequired" use-expressions="true" auto-config="false" disable-url-rewriting="true">
<security:form-login login-page="/login" username-parameter="j_username" password-parameter="j_password"
login-processing-url="/j_spring_security_check" default-target-url="/canvaslisting"
always-use-default-target="true" authentication-failure-url="/denied"/>
<security:remember-me key="_spring_security_remember_me" user-service-ref="userDetailsService"
token-validity-seconds="1209600" data-source-ref="dataSource"/>
<security:logout delete-cookies="JSESSIONID" invalidate-session="true" logout-url="/j_spring_security_logout"/>
<!--<security:intercept-url pattern="/**" requires-channel="https"/>-->
<security:port-mappings>
<security:port-mapping http="80" https="443"/>
</security:port-mappings>
<security:logout logout-url="/logout" logout-success-url="/" success-handler-ref="myLogoutHandler"/>
<security:session-management session-fixation-protection="migrateSession">
// we want multi-browser logins.
<security:concurrency-control session-registry-ref="sessionReg" max-sessions="5" expired-url="/login"/>
</security:session-management>
</security:http>
<beans:bean id="sessionReg" class="org.springframework.security.core.session.SessionRegistryImpl"/>
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider user-service-ref="LoginServiceImpl">
<security:password-encoder ref="encoder"/>
</security:authentication-provider>
</security:authentication-manager>
网络.xml :
<session-config>
<session-timeout>0</session-timeout>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
最佳答案
您的链接问题已经描述了如何将 session 持久保存到 JDBC 数据库。
该示例使用 MySql,使用 Postgres 的唯一区别是更改 url 和驱动程序类,就像您对任何 JDBC 连接所做的那样。
<Manager className="org.apache.catalina.session.PersistentManager"
maxIdleBackup="10">
<Store className="org.apache.catalina.session.JDBCStore"
connectionURL="jdbc:postgresql://localhost/mytomcat?user=root"
driverName="org.postgresql.Driver"
sessionAppCol="app_name"
sessionDataCol="session_data"
sessionIdCol="session_id"
sessionLastAccessedCol="last_access"
sessionMaxInactiveCol="max_inactive"
sessionTable="tomcat_sessions"
sessionValidCol="valid_session" />
</Manager>
如果你想使用redis,那么你可以使用Pivotal's RedisStore session manager .
<Manager className="org.apache.catalina.session.PersistentManager">
<Store className="com.gopivotal.manager.redis.RedisStore"
uri="redis://username:password@localhost:6370/0" />
</Manager>
关于java - Spring 安全 : session-config with COOKIE not working,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42272708/