spring security - expiredUrl 不起作用

2024-03-24

我需要配置expired-url在我的 Spring MVC 应用程序中。这是我的努力，但没有效果：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .addFilterBefore(adminAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
        .addFilterBefore(customerAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
        .csrf()
            .disable()
        .authorizeRequests()
            .antMatchers("...", "...", "...").permitAll()
            .anyRequest().authenticated()
        .and()
            .formLogin()
                .loginPage("/admin/login")
        .and()
            .logout()
                .addLogoutHandler(customLogoutHandler())
                .logoutSuccessHandler(customLogoutSuccessHandler())
                .logoutUrl("/logout")
        .deleteCookies("remove")
        .invalidateHttpSession(true)
            .permitAll()
        .and()
        .sessionManagement()
            .maximumSessions(1)
            .expiredUrl("/expired");

}

这没有任何效果，当用户的会话超时时，spring不会将他重定向到/expiredurl 并将他重定向到/admin/login url.

Update:

我尝试了评论和答案中建议的解决方案，但没有看到任何效果。我还删除了addLogoutHandler(), logoutSuccessHandler()和两个addFilterBefore()在方法开始时，但不起作用。

我还尝试了另一种解决方案：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .addFilterBefore(sessionManagementFilter(), SessionManagementFilter.class)
        .csrf()
            .disable()
        .authorizeRequests()
            .antMatchers("...", "...", "...").permitAll()
            .anyRequest().authenticated()
        .and()
            .formLogin()
                .loginPage("/admin/login")
        .and()
            .logout()
                .logoutUrl("/logout")
        .deleteCookies("remove")
        .invalidateHttpSession(true)
            .permitAll();
}

@Bean
public SessionManagementFilter sessionManagementFilter() {
    SessionManagementFilter sessionManagementFilter = new SessionManagementFilter(httpSessionSecurityContextRepository());
    sessionManagementFilter.setInvalidSessionStrategy(simpleRedirectInvalidSessionStrategy());
    return sessionManagementFilter;
}

@Bean
public SimpleRedirectInvalidSessionStrategy simpleRedirectInvalidSessionStrategy() {
    SimpleRedirectInvalidSessionStrategy simpleRedirectInvalidSessionStrategy = new SimpleRedirectInvalidSessionStrategy("/expired");
    return simpleRedirectInvalidSessionStrategy;
}

@Bean
public HttpSessionSecurityContextRepository httpSessionSecurityContextRepository(){
    HttpSessionSecurityContextRepository httpSessionSecurityContextRepository = new HttpSessionSecurityContextRepository();
    return httpSessionSecurityContextRepository;
}

有人能帮我解决这个问题吗？

ConcurrentSessionFilter http://docs.spring.io/spring-security/site/docs/4.0.4.RELEASE/apidocs/org/springframework/security/web/session/ConcurrentSessionFilter.html将重定向到expiredUrl，如果valid http://docs.oracle.com/javaee/7/api/javax/servlet/http/HttpServletRequest.html#isRequestedSessionIdValid--会话 ID 被标记为过期SessionRegistry http://docs.spring.io/autorepo/docs/spring-security/4.0.4.RELEASE/apidocs/org/springframework/security/core/session/SessionRegistry.html, see Spring安全参考 http://docs.spring.io/autorepo/docs/spring-security/4.0.4.RELEASE/reference/htmlsingle/#nsa-concurrency-control-attributes:

- 过期网址如果用户尝试使用已被并发会话控制器“过期”的会话（因为用户已超出允许的会话数并已在其他地方再次登录），则用户将被重定向到的 URL。应设置除非exception-if-maximum-exceeded已设置。如果未提供任何值，则到期消息将直接写回到响应中。

SessionManagementFilter http://docs.spring.io/autorepo/docs/spring-security/4.0.4.RELEASE/apidocs/org/springframework/security/web/session/SessionManagementFilter.html将重定向到invalidSessionUrl，如果会话 ID 不是valid http://docs.oracle.com/javaee/7/api/javax/servlet/http/HttpServletRequest.html#isRequestedSessionIdValid--（超时或者ID错误），参见Spring安全参考 http://docs.spring.io/autorepo/docs/spring-security/4.0.4.RELEASE/reference/htmlsingle/#sessionmanagementfilter:

如果用户当前未经过身份验证，过滤器将检查是否请求了无效的会话 ID（例如，由于超时），并调用配置的InvalidSessionStrategy，如果已设置。最常见的行为只是重定向到固定的 URL，这已封装在标准实现中SimpleRedirectInvalidSessionStrategy。如前所述，通过命名空间配置无效会话 URL 时也会使用后者。

两个网址（expiredUrl, invalidSessionUrl）必须配置为permitAll().

顺便说一句：如果你想使用并发会话控制 http://docs.spring.io/autorepo/docs/spring-security/4.0.4.RELEASE/reference/htmlsingle/#ns-concurrent-sessions with maximumSessions你必须添加HttpSessionEventPublisher https://docs.spring.io/spring-security/site/docs/4.0.4.RELEASE/apidocs/org/springframework/security/web/session/HttpSessionEventPublisher.html给你的web.xml:

并发会话控制

如果您希望限制单个用户登录应用程序的能力，Spring Security 通过以下简单的添加即可开箱即用地支持此操作。首先，您需要将以下侦听器添加到您的web.xml文件以使 Spring Security 更新有关会话生命周期事件的信息：
<listener>
    <listener-class>
           org.springframework.security.web.session.HttpSessionEventPublisher
    </listener-class>
</listener>

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

spring security - expiredUrl 不起作用的相关文章

在 Eclipse 中隐藏重复的工具栏项

我不知道如何但我的 STS 有重复的工具栏项目我不知道如何删除它们这是我复制的工具栏的样子我想摆脱这些我试图隐藏工具栏但这没有帮助有人知道如何删除重复的吗自从升级到 Oxygen 以来我一直遇到同样的问题我无法可靠地重现
Java - 红、绿、蓝获取RGB

通过致电getRGB int x int y with a BufferedImage对象得到一个负数如何将三个不同的值红色绿色和蓝色转换为这个单个负数使用颜色类 new Color r g b getRGB
使用 Eclipse 将具有外部依赖项的 Java 项目导出到 jar

有没有一种简单的方法可以将 Java 项目包括其所有外部依赖项导出到标准 jar 文件我开发了一个使用多个 Apache 库的 SDK 我希望能够将该项目作为单个 jar 发布到目前为止我找到的这个问题的答案要求将项目打包为 Run
Spring @Validated 在服务层

Hej 我想使用 Validated group Foo class 在执行方法之前验证参数的注释如下所示 public void doFoo Foo Validated groups Foo class foo 当我将此方法放入 Spr
Java：无安全管理器：RMI 类加载器已禁用

您好我有 RMI 应用程序现在我尝试从客户端调用服务器上的一些方法我有以下代码 public static void main final String args try Setting the security manager Sy
如何停止使用扫描仪从标准输入读取多行？

我正在做一个 JAVA 作业应该处理多行输入指令显示输入是从标准输入读取的给出了示例输入的示例 one 1 two 2 three 3 我不明白上面的示例输入从标准输入读取是什么意思这是我编写的一个测试程序它可以消除我的困惑
AWS SDK 2 承担角色

Bean public DynamoDbClient amazonDynamoDB final AssumeRoleRequest assumeRoleRequest AssumeRoleRequest builder roleSessio
Java - toString 到 Color

我一整天都在努力解决这个问题基本上我做了一个 for 循环将条目添加到数组列表中其中一项是颜色变量我已经用过random nextInt为颜色构造函数的红色绿色和蓝色部分创建新值我还设置了一个toString方法这样我就可
外部实体更改后索引不更新

我目前正在开发一个项目使用 JPA 2 1 保存数据并使用 hibernate search 4 5 0 final 搜索实体映射类和索引后搜索工作正常但是当我更改值时描述B 类从 someStr 到 anotherStr 数据库
为本地@ExceptionHandler编写JUnit测试

我有以下控制器 class Controller ResponseStatus HttpStatus OK RequestMapping value verifyCert method RequestMethod GET public vo
使用java在网页中进行字符编码

如何使用java找出网页中的字符编码类型打开与 URL 的连接使用URL openConnection http download oracle com javase 6 docs api java net URL html openC
开发人员实际上是否使用 vim 在 Windows 操作系统上编写代码（Java）？ [关闭]

就目前情况而言这个问题不太适合我们的问答形式我们希望答案得到事实参考资料或专业知识的支持但这个问题可能会引发辩论争论民意调查或扩展讨论如果您觉得这个问题可以改进并可能重新开放访问帮助中心 help reopen questi
Java：java.util.Preferences 失败

我的程序将加密的产品密钥数据保存到计算机上java util Preferences类系统首选项而不是用户问题是在 Windows 和 Linux 上尚未在 OSX 上测试过但可能是相同的如果我不运行该程序sudo或者具有管理
Java 常量枚举[重复]

这个问题在这里已经有答案了可能的重复理解 Java 中的枚举 https stackoverflow com questions 1419835 understanding enums in java 为什么我们应该使用枚举而不是 Ja
在片段之间切换时底部导航栏会向下推

在我的活动中我有一个底部导航栏和框架布局来显示片段一切正常但问题是当我开始按顺序从 1 4 移动时底部导航栏保持在其位置但当我突然从 4 跳到2 然后底部导航栏就会超出屏幕当再次单击同一项目时它就会回到正常位置该视频将清楚地
一个类中有多个具有相同参数类型的方法

我知道至少已经有了关于这个主题的一个问题 https stackoverflow com questions 5561436 can two java methods have same name with different retur
org.springframework.web.servlet.DispatcherServlet noHandlerFound（未找到映射）

我的jsps位于 WEB INF jsp 下以下是我的web xml
while循环只执行一次

我很难弄清楚为什么 while 循环实际上不会循环它运行一次并停止 import java util public class mileskm public static void main String args Scanner inp
膨胀类 android.support.design.widget.CoordinatorLayoute 时出错

我正在尝试运行我的应用程序但不断收到标题中列出的错误我读过周围的内容人们说尝试将主题更改为 AppCombat 主题但这似乎不起作用以下是我遇到的错误 Process com example jmeyer27 crazytiles
如何让JComboBox中的内容居中显示？

目前我有这个JComboBox 我怎样才能将其中的内容居中 String strs new String 15158133110 15158133124 15158133458 JComboBox com new JComboBox str

随机推荐

来自内部处理程序的 Gorilla Mux 路由器仅工作一次，然后给出 404 页面未找到

我正在使用大猩猩mux作为我的路由器我的行为非常奇怪在向服务器发出第一个请求时我得到了有效的响应但在随后的请求中我收到了404 page not found 控制台中没有错误我的代码非常简单可以复制粘贴来立即测试 packag
引入新的 Google Apps Marketplace 后，现有列表不再可编辑

这是谷歌应用市场支持人员的问题推出新的 Google Apps Marketplace 后我无法再从 Google Apps Marketplace 中的供应商资料中编辑现有列表每当我尝试编辑现有列表时都会收到以下错误错误抱歉
Heroku 上的全新部署失败，并显示“使用 --allow-unverified PIL 允许”

尝试将 Django 项目部署到 Heroku 上的新应用程序过去两年该代码在其他实例上运行并遇到了以下问题 Downloading unpacking PIL 1 1 7 from r requirements txt line 7
如何使用 Node.js 在实时数据库中使用 orderByChild 和 startAfter

我正在尝试按降序排序顺序并在特定键之后开始但它不起作用下一个之后 Mk4 n5BnVpwhum62n2g或任何键 id 数据库记录 Mk4 n5BnVpwhum62n2g id Mk4 n5BnVpwhum62n2g createdAt
如何使用 cypress.io 更改数据库中记录的属性

我是 cypress 的新手我想知道如何进行以下检查我有一个案例我在数据库中有一个产品其状态可以是 InStock OutOfStock 和 Discontinued 如果产品处于 InStock 状态我应该能够将其发送给客户如
Azure 数据工厂 - 如何触发计划/一次性管道？

背景我已安排运行管道以将数据从源复制到目标该任务计划每天在特定时间运行问题管道的输入数据集是外部的并且在特定时间间隔不可用这意味着复制活动必须等到管道中提到的计划开始时间才能开始考虑到数据量我不想在这里浪费时间要求在任何
如何添加使用 R 中的对绘制的 Spearman 相关系数的 p 值

我看到已经有代码可用于将 Pearson 相关系数和 p 值添加到散点图矩阵中现在我只想在上面的面板中添加 Spearman 相关系数目前我可以通过调用添加皮尔逊相关系数upper panel panel cor 如下所示 the co
位置：在reveal.js中固定

我正在尝试为我的reveal js 演示文稿制作一个标题使其粘贴在屏幕顶部标题中的内容在每张幻灯片的基础上都是动态的因此我必须将标记放置在部分标记内显然如果标记位于部分标记内 position fixed 并不能真正在 Revea
“模块”对象没有属性“form_for_model”

当我使用属性时模型的表单我收到错误模块对象没有属性 form for model 我由此创建了该项目http www mikecantelon com q node 22 http www mikecantelon com q node
具有联接和动态列的 SQL SERVER PIVOT 表

我有一个问题需要调整但遇到了麻烦 SQL Server 的版本为 2005 和 2008 查询源自公共表表达式 DECLARE cols AS NVARCHAR MAX query AS NVARCHAR MAX in iYearFrom
将函数从纯 React 转换为 Redux React

在纯反应中我编写了一个调用的函数componentDidMount getTasks userId query statusTask pageNumber gt let check axios url api v1 beta userId
fortran 中的多重定义链接错误（ifort - gfortran）

嗯我有这个问题描述很长但我认为很容易解决我有三个文件 nrtype f90 它有一些愚蠢的定义但它被以下文件使用 module nrtype integer parameter I4B SELECTED INT KIND 9 in
如果您强制推送到具有现有拉取请求的分支，会发生什么？

我正在开发一个 git 分支该分支目前是 github 上已关闭拉取请求的一部分在最初的拉取请求之后我做了一些额外的提交将这些提交推送到 github 然后恢复这些提交并重新提交它们因为我需要修改提交现在如果我想将这些提交推送
AVPlayer 消除了 Swift 2.2 中的观察者崩溃

我有一个视频应用程序是我在 Swift 1 中构建的我一直在尝试迁移到 Swift 2 2 除了与观察者有关的奇怪崩溃之外这一切最终都正常工作 func removeObservers print REMOVING OBSERVE
两个 NSDate 之间的天数[重复]

这个问题在这里已经有答案了如何确定两次之间的天数NSDate值也考虑到时间 The NSDate值可以是任何形式 NSDate date takes 具体来说当用户在我的 iPhone 应用程序中进入非活动状态时我存储以下值 exi
如何检查变量是否是类的实例？

在Java中你可以这样做instanceof 有 Ruby 等价的吗几乎一模一样您可以使用Object s instance of method a instance of String gt true a instance of O
使用 Perl split 函数，但保留某些分隔符

我有一个字符串需要根据某个字符进行拆分但是当字符串两侧是数字时我只需要在其中一个字符上拆分字符串相同的字符存在于字符串中的其他位置但两侧会有一个字母至少在一侧我尝试按如下方式使用 split 函数使用 x 作为相关字符 my
更改四开中的标题大小和颜色（html 输出）

我有一个带有 HTML 渲染的四开文件我想更改标题的大小和颜色我应该如何操作最小的例子 title Cars format html MTCars r head mtcars 您可以使用css直接在您的代码中指定 title仅将更改
NuGet 打包和引用 dll

背景我有两个程序集称为 A 和 B A 引用了 B A 还引用了一些其他 dll Microsoft Enterprise Library Data 和 Microsoft Enterprise Library Common 我认为这些
spring security - expiredUrl 不起作用

我需要配置expired url在我的 Spring MVC 应用程序中这是我的努力但没有效果 Override protected void configure HttpSecurity http throws Exception h

spring security - expiredUrl 不起作用

spring security - expiredUrl 不起作用 的相关文章

随机推荐

热门标签

spring security - expiredUrl 不起作用的相关文章