java - Spring Session、Spring Security 許可なく傍受された URL 上でセッションを自動的に作成しないようにするにはどうすればよいですか?
typecho
typecho 2017-06-28 09:23:34
0
1
1218

モバイル呼び出し用の API サーバーを作成し、Spring Session を使用して Redis に接続し、複数の Tomcat とセッションを共有し、セキュリティを使用して API 権限をインターセプトし、ヘッダーである x-auth-token を使用しました。問題が発生しました。一部の API は検証が許可されていません。ただし、これらの API にアクセスすると、Spring はリクエストごとにセッションを作成し、新しい x-auth-token を返します。これにより、セッションが多すぎる可能性があります。教えてください。この状況でセッションを作成する必要がないように設定するにはどうすればよいですか? Create-session="never" が設定されていますが、機能しません。以下はセキュリティ構成です

リーリー

春のセッション

リーリー
typecho
typecho

Following the voice in heart.

全員に返信(1)
漂亮男人

最初にログのトレースを開き、次に org.springframework をトレースすると、新しいセッションが作成されるたびにログが作成され、Spring がセッション作成スタックを出力することがわかります。

リーリー

LogFilter の 52 行目にあるコードを確認すると、req.getSession() を呼び出すコードが存在する場合、create-session が Never で呼び出されていることがわかります。 、春はまだ新しいセッションを作成します。フィルターなどのグローバル インターセプターで req.getSession() を呼び出さないようにしてください。呼び出さないと、いつでも新しいセッションが作成されてしまいます

いいねを押す +0
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート