1. Trang chủ
  2. Câu hỏi và trả lời
  3. Làm cách nào để ngăn chặn bảo mật mùa xuân khỏi việc thêm; jsessionid = XXX để đăng nhập chuyển hướng?

Làm cách nào để ngăn chặn bảo mật mùa xuân khỏi việc thêm; jsessionid = XXX để đăng nhập chuyển hướng?

2010-02-18 11 views
31

Khi khách hàng chưa được xác thực yêu cầu URL yêu cầu cấp truy cập không ẩn danh như được xác định trong security-config.xml, bảo mật mùa xuân sẽ gửi chuyển hướng HTTP đến trang đăng nhập của chúng tôi (ví dụ: /login). Đó là tốt.Làm cách nào để ngăn chặn bảo mật mùa xuân khỏi việc thêm; jsessionid = XXX để đăng nhập chuyển hướng?

Vấn đề là vắng mặt phiên hiện tại (được xác định bằng cookie được cung cấp trong yêu cầu của khách hàng), bảo mật mùa xuân đưa ra chuyển hướng cũng chỉ định phiên mới của khách hàng trong URL, ví dụ: /login;jsessionid=8o7pglapojus.

Nhiều thùng chứa hỗ trợ điều này (dường như nó hoạt động tốt trong tomcat?), Nhưng dường như Jetty (đó là những gì chúng tôi đang sử dụng ngay bây giờ) không - URL được chuyển hướng đi qua bộ định tuyến URL của chúng tôi hoàn toàn nguyên vẹn (bao gồm thông số jsessionid ") và phiên được đặt tên không được liên kết với yêu cầu /login bởi cầu cảng/bảo mật mùa xuân (nghĩa là ID phiên hoàn toàn mới được cung cấp trong tiêu đề Set-Cookie của phản hồi với yêu cầu /login).

Chúng tôi có thể giải quyết vấn đề này bằng cách khớp với /login.* trong các tuyến đường của chúng tôi, nhưng tôi tò mò nếu có cách nào để ngăn chặn sự phát xạ id phiên trong chuyển hướng xác thực để bắt đầu.

Nguồn

2010-02-18 cemerick

Trả lời

42

Trong bảo mật mùa xuân 3.0.0 M1 hoặc mới hơn, bạn có thể đặt disable-url-rewriting="true" trong không gian tên <http>. Xem nếu điều đó giúp. Ngoài ra, hãy xem điều này feature request.

Nguồn

2010-02-18 20:23:42 BalusC

+0

@BalusC nào biết giải pháp trước mùa xuân 3? – Xorty

+0

@Xorty Hãy xem http://fralef.org/tomcat-disable-jsessionid-in-url.html, nếu nâng cấp lên Spring Security 3+ không phải là một tùy chọn. –

8

Bây giờ có vẻ như thế này.

<security:http auto-config="false" use-expressions="true" disable-url-rewriting="true">

Sau này, ứng dụng của bạn sẽ không thể thực hiện công việc nhà nước đúng cách.

Nguồn

2011-09-01 14:27:42 Naeem

+2

Bạn có nghĩa là nếu khách hàng không cho phép cookie, chỉ khi đó ứng dụng sẽ không thể thực hiện các công việc nhà nước ful? – Sudarshan

0

@ahmet alp balkan:

seamframework cung cấp giải pháp tốt hơn so với trình tạo ngẫu nhiên. http://seamframework.org/Documentation/RemovingJSESSIONIDFromYourURLsAndFixingScache

@BalusC:

Nếu FilterChainProxy nhà phát triển sử dụng mùa xuân an ninh để thực hiện các tính năng securtiy, chỉ cần không sử dụng namespace http.

Sau đó, chúng tôi không thể tìm cách thêm tính năng chỉnh sửa url-url mà không cần thêm bộ lọc tùy chỉnh vào chuỗi lọc hoặc chèn bộ lọc độc lập vào web.xml.

Nguồn

2011-12-24 01:18:00 cleverpig

0

Vì bạn đang sử dụng cầu cảng, chỉ cần thêm thẻ ngữ cảnh param sau trong web.xml của bạn,

<!-- Disables appending JSESSSIONID in browser address bar/requests --> 
<context-param> 
    <param-name>org.eclipse.jetty.servlet.SessionIdPathParameterName</param-name> 
    <param-value>none</param-value> 
</context-param>

Tham khảo: Session Management - Jetty Doc

Nguồn

2016-05-06 09:49:59 Lucky

 Các vấn đề liên quan

  • Không có vấn đề liên quan^_^