我在Mojarra 2.1.29,Tomcat 7和Spring security 2.0。我对会话的概念有点困惑。众所周知,会话作用域的托管bean每次会话都会被创建一次。我的问题是Spring安全会话和JSF会话一样,或者它们以不同的方式运行?
例如,我们正在从已授权的用户发送登录请求。会议将会发生什么。
我认为,我们开始一个新的Spring安全会话。但是,一个新的JSF会议也将开始吗?
答案 0 :(得分:1)
spring-security session和jsf session都绑定到servlet容器的http会话。在spring-security中,您可以使用会话固定进行配置,在这种情况下会创建一个新的http会话
@See http://docs.spring.io/spring-security/site/docs/4.0.1.RELEASE/reference/htmlsingle/#ns-session-fixation
@See http://docs.spring.io/spring-security/site/docs/4.0.1.RELEASE/reference/htmlsingle/#sessionauthenticationstrategy
JSF本身也将会话范围的托管bean存储为HttpSession的一个属性。
默认情况下,spring-security已经'迁移'会话。在这种情况下,jsf会话将继续。什么时候' newSession'设置后,将创建一个没有当前jsf会话的干净会话。