Spring-Security:忽略服务器名称的别名并强制重新登录
Posted
技术标签:
【中文标题】Spring-Security:忽略服务器名称的别名并强制重新登录【英文标题】:Spring-Security : Ignoring alias of server-name and forcing relogin 【发布时间】:2016-04-23 16:04:43 【问题描述】:我正在开发一个使用 Spring-Security 进行身份验证和授权的项目。一切似乎都运行良好,只是 Spring-security 忽略了服务器的 Alias-name
。
因此,例如,如果我使用domain-name.com
登录并访问一些安全资源,我没有问题。但是现在当有人给我一个像www-domain-name.com/secured/resource
这样的链接时,我不得不再次登录,然后它就可以正常工作了。
如何确保登录时同时登录domain-name.com
和www.domain-name.com
。这个问题叫什么?
security-applicationContext.xml:
<security:http create-session="ifRequired" use-expressions="true" auto-config="false" disable-url-rewriting="true">
<security:form-login login-page="/login" username-parameter="j_username" password-parameter="j_password"
login-processing-url="/j_spring_security_check" default-target-url="/dashboard"
always-use-default-target="true" authentication-failure-url="/denied"/>
<security:remember-me key="_spring_security_remember_me" user-service-ref="userDetailsService"
token-validity-seconds="1209600" data-source-ref="dataSource"/>
<security:logout delete-cookies="JSESSIONID" invalidate-session="true" logout-url="/j_spring_security_logout"/>
<!--<security:intercept-url pattern="/**" requires-channel="https"/>-->
<security:port-mappings>
<security:port-mapping http="8080" https="8443"/>
</security:port-mappings>
<security:logout logout-url="/logout" logout-success-url="/" success-handler-ref="myLogoutHandler"/>
<security:session-management session-fixation-protection="migrateSession">
<security:concurrency-control session-registry-ref="sessionReg" max-sessions="5" expired-url="/login"/>
</security:session-management>
</security:http>
<beans:bean id="sessionReg" class="org.springframework.security.core.session.SessionRegistryImpl"/>
<beans:bean id="rememberMeAuthenticationProvider"
class="org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices">
<beans:constructor-arg index="0" value="_spring_security_remember_me"/>
<beans:constructor-arg index="1" ref="userDetailsService"/>
<beans:constructor-arg index="2" ref="jdbcTokenRepository"/>
<property name="alwaysRemember" value="true"/>
</beans:bean>
<beans:bean id="jdbcTokenRepository"
class="org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl">
<beans:property name="createTableOnStartup" value="false"/>
<beans:property name="dataSource" ref="dataSource"/>
</beans:bean>
<!-- Remember me ends here -->
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider user-service-ref="LoginServiceImpl">
<security:password-encoder ref="encoder"/>
</security:authentication-provider>
</security:authentication-manager>
<beans:bean id="encoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
<beans:constructor-arg name="strength" value="11"/>
</beans:bean>
<beans:bean id="daoAuthenticationProvider"
class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
<beans:property name="userDetailsService" ref="LoginServiceImpl"/>
<beans:property name="passwordEncoder" ref="encoder"/>
</beans:bean>
</beans>
如果需要更多信息,请告诉我。谢谢你。
更新
我在 CATALINA_HOME/conf/context.xml
的两个 Tomcat 实例中添加了这个:
<Context sessionCookiePath="/" sessionCookieDomain=".domainname.com" />
这会杀死服务器,webapp 不会加载。我找不到日志中的任何内容。
【问题讨论】:
【参考方案1】:我认为这不是 spring-security 问题,而是它的 servlet 问题。您可以尝试为 tomcat 共享子域 cookie:
<Context sessionCookieDomain=".domain-name.com" />
使用弹簧引导:
@Bean
public ServletContextInitializer servletContextInitializer()
return new ServletContextInitializer()
@Override
public void onStartup(ServletContext servletContext) throws ServletException
servletContext.getSessionCookieConfig().setDomain(".domain-name.com");
;
参考:Best way for allowing subdomain session cookies using Tomcat
【讨论】:
在你给我的reference里面,还有sessionCookieDomain,应该加什么,JSESSIONID? 您的域名带有初始点,例如:.example.com 我在创建一个新的上下文并将其添加到其中时犯了一个错误,但这会杀死服务器。当我在现有上下文中添加参数时,它不起作用,但也没有杀死我的服务器。我希望你明白,我做错了什么?以上是关于Spring-Security:忽略服务器名称的别名并强制重新登录的主要内容,如果未能解决你的问题,请参考以下文章
Erlang 机器立即停止(分发名称冲突?)。服务未重新启动,因为 OnFail 设置为忽略
Spring-security:即使在 JVM 重启后也能保持活动会话