【发布时间】:2013-06-01 18:11:20
【问题描述】:
我正在 servlet 过滤器中实现证书身份验证。我使用httpRequest.getAttribute("javax.servlet.request.X509Certificate") API 获取客户端证书。当用户第一次启动浏览器并访问 Web 服务器时,底层 SSL 请求客户端证书,浏览器提示选择证书。但是,在用户注销并且我使 HTTP 会话无效后,如果用户没有关闭浏览器并返回 Web 服务器,则底层 SSL 不会触发浏览器再次提示选择证书。我认为这是因为用户在 HTTP 层从 Web 服务器注销后 SSL 会话没有被拆除。我的问题是,有没有办法使来自 servlet 的底层 SSL 会话无效?一个更普遍的问题,如何让浏览器在用户从 Web 服务器注销后重新提示选择证书?
谢谢, 帮派
【问题讨论】:
标签: authentication ssl servlet-filters