Spring Security 自定义会话管理并记住我不工作

Question

我已经配置了自定义会话管理，例如：

<sec:session-management session-fixation-protection="none">
<sec:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</sec:session-management>

记得我喜欢：

<sec:remember-me />
<sec:custom-filter ref="rememberMeFilter" after="REMEMBER_ME_FILTER"/>

<bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">


<property name="rememberMeServices" ref="rememberMeServices"/>
<property name="authenticationManager" ref="theAuthenticationManager" />
</bean>

<bean id="rememberMeServices" class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
<property name="userDetailsService" ref="myUserDetailsService"/>
<property name="key" value="springRocks"/>
</bean>

<bean id="rememberMeAuthenticationProvider" class="org.springframework.security.authentication.rememberme.RememberMeAuthenticationProvider">
<property name="key" value="springRocks"/>
</bean>

当我使用记住我登录时，检查并关闭浏览器并再次打开新浏览器并记住我没有工作，而不是我收到会话超出错误。因为我设置了 max-sessions=1。

谁能帮帮我。

提前致谢。

Answer 1

我也遇到了同样的问题，我想使用会话并发控制以及记住我。我的配置略有不同，如果超过 max-session，我不会向用户抛出错误，而是我只是使旧会话过期，以便用户可以继续使用新会话。使用弹簧提供的豆子，它不会按预期工作。当我第二次登录时，并发控制启动并过期旧会话，然后用户继续使用新创建的会话。但是当用户尝试使用第一个会话访问系统时，ConcurrentSessionFilter 检测到此会话已过期并重定向到配置的 expired-url，这是正常的和预期的。

但我的要求不同，如果用户尝试使用第一个会话，则第二个会话应该过期并且应该重新验证用户，然后应该创建一个新会话以供用户继续。基本上，用户可以在不同的浏览器之间切换，而无需使用选中的 remember-me 选项实际输入用户名/密码，但服务器中只有一个活动会话。当用户在不同浏览器之间切换时，会话将过期/创建。

我设法通过扩展和自定义 spring bean 来实现这一点。如果您的要求相似，我可以帮助您完成我的配置。