我有以下情况:
结果呢?我得到了这个对象 - 这个案子的推车 - 但它是空的。它没有添加的条目。它几乎就像 - 尽管我能够成功进行身份验证,但是有一种机制可以创建对象的新实例,而不是给我现有的实例。
你是否知道弹簧安全性在某种程度上不允许这种情况发生。
我也注意到......我发送了Cookie JSESSIONID = Number,当它响应时,它为JSESSIONID提供了一个不同的数字,我的假设是即使我有wright凭据并且它允许我登录,它不允许我使用相同的会话,它只是创建一个新的,我的购物车在那里是空的。
任何帮助将不胜感激!
答案 0 :(得分:0)
SpringSecurity在验证后替换JSESSIONID cookie(强烈建议不要禁用该功能以防止会话固定攻击)。 以下配置启用功能
<http ...>
...
<session-management session-fixation-protection="migrateSession" />
</http>
要复制现有会话属性,请使用migrateSession
。
答案 1 :(得分:0)
Spring会在身份验证上创建一个新会话。这称为会话固定保护。在这里阅读更多相关信息: