我在 spring-security.xml 中添加了这段代码以启用 session 超时检查和并发检查。
<sec:http>
<sec:form-login login-page="/login" login-processing-url="/authentication"
default-target-url="/home" always-use-default-target="true"
authentication-failure-url="/login?error=true"
username-parameter="userid" password-parameter="password"/>
<sec:logout logout-url="/logout" logout-success-url="/login" delete-cookies="JSESSIONID" invalidate-session="true" />
<!-- User login (URL not View Name) -->
<sec:intercept-url pattern="/login" access="permitAll" />
<!-- User change password -->
<sec:intercept-url pattern="/change_password" access="permitAll" />
<sec:session-management invalid-session-url="/session_timeout">
<sec:concurrency-control max-sessions="1" error-if-maximum-exceeded="false" expired-url="/session_conflict"/>
</sec:session-management>
<sec:headers>
<sec:frame-options policy="SAMEORIGIN" />
</sec:headers>
</sec:http>
但问题是,
我需要从 session 检查(超时和并发)中排除某些页面,例如 login change_password。
如果我有一个可供登录用户或未登录用户访问的页面。但我只需要在用户登录时进行 session 超时和并发检查。
我应该如何实现?
非常感谢。
最佳答案
更新:我在我的一个 Spring Security 登录页面上测试了我原来的 session="false" 答案,但它没有用。请参阅下文以获得更好的解决方案。
原始答案:
将 <%@page session="false"%> 添加到 JSP 文件的顶部应该会阻止 session 启动,但这与 Spring Security 无关。
下面的 URL 中有一些非常简单的 Oracle 文档,上面写着:
JSP Default Session Requests
Generally speaking, servlets do not request an HTTP session by default. However, JSP page implementation classes do request an HTTP session by default. You can override this by setting the session parameter to false in a JSP page directive, as follows:
<%@ page ... session="false" %
https://docs.oracle.com/cd/A87860_01/doc/java.817/a83726/basics3.htm#1007356
更新的答案:问题可能与启用 CSRF 的 Spring Security 有关。它在 4.0 版中默认启用,这是一件好事,而不是您想禁用的东西。在早期版本中,可能需要手动操作。
CRSF token 需要一个 session ,因此您需要一个解决方案来仅在登录过程中排除 CSRF 测试。
有讨论"Relaxing CSRF"在 Spring 安全引用中。他们特别提到了 SockJS 但原理是通用的。他们为 JavaConfig 建议类似下面的行:
http.csrf().ignoringAntMatchers("/login")
已接受 answer by P.Peter for the SO question "CSRF token expires during login"有一个类似的解决方案,需要更多的努力。
您需要添加一个类来实现 Spring 的 RequestMatcher 类并覆盖它的 matches() 方法:
class CsrfSecurityRequestMatcher implements RequestMatcher {
@Override
public boolean matches(HttpServletRequest request) {
return !request.getServletPath().equals("/login");
}
}
如果您需要更复杂的匹配逻辑,您可以在自定义 RequestMatcher 类中添加 Pattern 和 RegexRequestMatcher 字段,并在 matches() 方法中使用它们。
然后您需要在 Spring Security 配置中添加对新类的引用。在 XML 中,它将是这样的:
<http>
<csrf request-matcher-ref="csrfSecurityRequestMatcher"/>
</http>
在 JavaConfig 中它会是这样的:
http.csrf().requireCsrfProtectionMatcher(new CsrfSecurityRequestMatcher());
我不确定在登录页面上禁用 CSRF 测试可能会产生哪些安全后果,因此您可能需要调查一下。
如果您认为禁用登录页面的 CSRF 是 Not Acceptable ,那么您可以使用 AJAX keepalive 解决方案来防止您的登录页面过期,但这对我来说有点老套。
关于java - 如何从 Spring Security 中的 session 管理(超时/并发检查)中排除某些页面?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37436792/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
作为我的Rails应用程序的一部分,我编写了一个小导入程序,它从我们的LDAP系统中吸取数据并将其塞入一个用户表中。不幸的是,与LDAP相关的代码在遍历我们的32K用户时泄漏了大量内存,我一直无法弄清楚如何解决这个问题。这个问题似乎在某种程度上与LDAP库有关,因为当我删除对LDAP内容的调用时,内存使用情况会很好地稳定下来。此外,不断增加的对象是Net::BER::BerIdentifiedString和Net::BER::BerIdentifiedArray,它们都是LDAP库的一部分。当我运行导入时,内存使用量最终达到超过1GB的峰值。如果问题存在,我需要找到一些方法来更正我的代
我正在使用i18n从头开始构建一个多语言网络应用程序,虽然我自己可以处理一大堆yml文件,但我说的语言(非常)有限,最终我想寻求外部帮助帮助。我想知道这里是否有人在使用UI插件/gem(与django上的django-rosetta不同)来处理多个翻译器,其中一些翻译器不愿意或无法处理存储库中的100多个文件,处理语言数据。谢谢&问候,安德拉斯(如果您已经在rubyonrails-talk上遇到了这个问题,我们深表歉意) 最佳答案 有一个rails3branchofthetolkgem在github上。您可以通过在Gemfi
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
Rails2.3可以选择随时使用RouteSet#add_configuration_file添加更多路由。是否可以在Rails3项目中做同样的事情? 最佳答案 在config/application.rb中:config.paths.config.routes在Rails3.2(也可能是Rails3.1)中,使用:config.paths["config/routes"] 关于ruby-on-rails-Rails3中的多个路由文件,我们在StackOverflow上找到一个类似的问题
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚