我正在使用 Spring Security 3.1 并且正在使用
<concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
有没有办法在浏览器关闭时强制会话关闭?我需要将最大会话数保持为 1 以进行并发控制。
谢谢!
【问题讨论】:
标签: session browser spring-security
我会在“CONCURRENT_SESSION_FILTER”之前添加我自己的自定义过滤器,并在请求 URI 中检查类似“force-logout.do”(或类似内容)的字符串。
然后,在生成的 HTML 中,我将有一个 JavaScript 事件处理程序,如下所示:
<script type="text/javascript">
function force_logout() {
// AJAX request to server notifying that the browser has been closed.
}
</script>
<body onbeforeunload="force_logout();">
</body>
这适用于 IE 和 Firefox(您也应该检查其他浏览器)。您的过滤器只需要检查 URI 并执行 session.invalidate() 以防它与“强制注销 URI”匹配并立即返回,否则只需绕过对过滤器链的请求。
注意:我没有添加 AJAX 代码,因为我不知道您是否使用特定的 AJAX 框架。使用prototype.js 会相当简单。
【讨论】:
我也有类似的问题,比如
我的 spring 安全文件中的代码是:
<session-management invalid-session-url="/?timeout=true">
<concurrency-control max-sessions="1" expired-url="/logout?timeout" />
我通过在 web.xml 文件中添加会话超时条目解决了这个问题。 我将会话超时值设置为 5 分钟,构建应用程序并部署。 它工作正常。
这可能会对某人有所帮助。
谢谢, 阿图尔
【讨论】: