用户注销时,我需要删除cookie JSESSIONID。为此,我在安全配置中添加了以下配置:
<http>
<form-login login-page="/login*" authentication-failure-url="/login?try_again" />
<http-basic />
<logout logout-url="/logout" delete-cookies="JSESSIONID" />
<session-management invalid-session-url="/timeout" />
<intercept-url pattern="/login*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
...
</http>
但是cookie并没有被删除,而是被复制了:
因此,它一直将浏览器重定向到“/timeout” URL。
我尝试使用Chrome网络浏览器中的开发人员工具来跟踪正在发生的事情,结果发现此Cookie设置了以下响应 header :
Set-Cookie:JSESSIONID=CFF85EA743724F23FDA0317A75CFAD44; Path=/website/; HttpOnly
并使用以下响应 header 删除:
Set-Cookie:JSESSIONID=""; Expires=Thu, 01-Jan-1970 00:00:10 GMT; Path=/website
我不确定,但似乎原因是这些 header 的“路径”字段中:第一个指向“/website/”,第二个指向“/website”。
是上述麻烦的原因吗?如果不是原因(或不是唯一原因),那么其他原因是什么?我该如何解决这个问题?
最佳答案
您不需要像这样显式删除JSESSIONID cookie。它不是由Spring Security本身管理的,而是由您的servlet容器管理的。默认情况下,Spring Security将在注销时使http session 无效,这又将导致您的servlet容器删除JSESSIONID cookie。
关于spring - SpringSecurity : Fail to delete JSESSIONID,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15946132/