JsessionId 没有显示在 url 中?
Posted
技术标签:
【中文标题】JsessionId 没有显示在 url 中?【英文标题】:JsessionId is not dispalying in the url? 【发布时间】:2017-04-12 04:33:02 【问题描述】:我将 spring-security.xml 从 3.2 转换为 4.0。如果我继续使用 3.2,则会显示 JsessionId。当谈到 4.0 时,它没有显示 JsessionId。我无法限制使用同一用户(并发控制)的多个登录。
这是我在Spring-security.xml中的配置:-
<security:session-management invalid-session-url="/login" session-fixation-protection="newSession" >
<security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login"/>
</security:session-management>
对于 spring-security-3.2 和 4.0,我使用了与 aboue 相同的代码。 我怎样才能得到 JsessionId。
【问题讨论】:
【参考方案1】:在 Spring 4.X 中,url-rewriting 默认切换为禁用,这意味着 JSESSIONID 由 cookie 而非 URL 管理。
如果您在短期内需要它,您应该可以设置:disable-url-rewriting="false"
来源: http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#nsa-http-disable-url-rewriting
编辑 Spring 有意禁用了此功能,因为 OWASP 将其列为“损坏的身份验证和会话管理” 您应该考虑将 cookie 与 spring 安全会话控制功能结合使用: http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#ns-concurrent-sessions
【讨论】:
以上是关于JsessionId 没有显示在 url 中?的主要内容,如果未能解决你的问题,请参考以下文章
Spring Boot:从 url 中删除 jsessionid
jsessionid 出现在由 jstl <c:url..> 标签生成的所有 url