【发布时间】:2012-01-02 12:15:19
【问题描述】:
我刚刚开始在 Spring Security 3.1 版上进行试验,我想知道如何使用无状态 webapp 实现身份验证。
想到了http-basic和digest,我试过了,但我不喜欢在不关闭浏览器的情况下无法像表单身份验证那样注销。
我目前有一个使用 Spring Security 的基于表单的身份验证的工作无状态 Web 应用程序(这可能通过在会话中存储身份验证内容使其成为有状态的?),我想知道我可以研究哪些策略来使 Spring Security 工作不使用 http 会话?
我意识到有一个<http create-session="stateless" ..>,但肯定有一些事情需要做更多的事情,因为在我尝试之后应用程序停止正常工作,通过在访问受保护资源时继续对我进行身份验证。
这是我的配置:
<http use-expressions="true" create-session="stateless">
<form-login login-page="/login"
login-processing-url="/static/j_spring_security_check"
authentication-failure-url="/login?login_error=t" />
<logout logout-url="/static/j_spring_security_logout"/>
<intercept-url pattern="/person/test/**"
access="isAuthenticated() and principal.username=='albertkam'"
/>
<intercept-url pattern="/person/**" access="hasRole('ROLE_NORMAL')"/>
<remember-me
key="spitterKey"
token-validity-seconds="2419200"/>
</http>
与 create-session="stateless":
- 访问http://myhost:8080/mycontext/person/blah
- 进入登录页面
- 登录后返回首页urlhttp://myhost:8080/mycontext(我希望它返回到受保护的资源)
没有create-session="stateless",默认为ifRequired(有状态):
- 访问http://myhost:8080/mycontext/person/blah
- 进入登录页面
- 登录后返回受保护的urlhttp://myhost:8080/mycontext/person/blah(这是正确的行为,但有状态)
【问题讨论】:
-
已在此[主题][1] [1]中得到解答:stackoverflow.com/questions/8800855/…