जब कोई अनधिकृत क्लाइंट एक यूआरएल अनुरोध करता है जिसके लिए security-config.xml
में परिभाषित गैर-अज्ञात पहुंच स्तर की आवश्यकता होती है, तो वसंत सुरक्षा हमारे लॉगिन पृष्ठ पर एक HTTP रीडायरेक्ट भेजती है (उदा। /login
)। कोई बात नहीं।मैं वसंत-सुरक्षा को जोड़ने से कैसे रोक सकता हूं; jsessionid = XXX रीडायरेक्ट लॉगिन करने के लिए?
समस्या यह है कि मौजूदा सत्र (ग्राहक के अनुरोध में प्रदान की गई कुकी द्वारा पहचाना गया) अनुपस्थित है, वसंत-सुरक्षा एक पुनर्निर्देशन जारी करता है जो यूआरएल में ग्राहक के नए सत्र को भी निर्दिष्ट करता है, उदा। /login;jsessionid=8o7pglapojus
।
कई कंटेनर इसका समर्थन करते हैं (जाहिर है यह टॉमकैट में ठीक काम करता है?), लेकिन ऐसा लगता है कि जेटी (जो हम अभी उपयोग कर रहे हैं) नहीं है - रीडायरेक्ट यूआरएल हमारे यूआरएल राउटर से पूरी तरह से बरकरार है (jsessionid
"पैरामीटर" सहित), और नामित सत्र /login
जेटी/वसंत-सुरक्षा द्वारा अनुरोध नहीं है (यानि /login
अनुरोध के जवाब के सेट-कुकी शीर्षलेख में एक पूरी तरह से नई सत्र आईडी प्रदान की जाती है)।
हम अपने मार्गों में /login.*
से मेल करके इस पर काम कर सकते हैं, लेकिन अगर मैं प्रमाणीकरण रीडायरेक्ट में सत्र आईडी के उत्सर्जन को रोकने के लिए कोई तरीका है तो उत्सुक हूं।
@BalusC किसी भी ज्ञात पूर्व वसंत 3 समाधान? – Xorty
@Xorty http://fralef.org/tomcat-disable-jsessionid-in-url.html पर एक नज़र डालें, यदि स्प्रिंग सिक्योरिटी 3+ में अपग्रेड करना एक विकल्प नहीं है। –