Bazı web servisleri için oturum kullanımını devre dışı bırakmak istiyorum. Ben create-oturumu ekledi = "asla" config: böyleceSpring seçeneği create-session = "Hiçbir zaman" bazı senaryolarda dikkate alınmaz mı?
<beans:bean id="http403EntryPoint"
class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint"/>
<http use-expressions="true" entry-point-ref="http403EntryPoint"
create-session="never">
<custom-filter ref="x509Filter" position="PRE_AUTH_FILTER"/>
</http>
Bu önceden doğrulanmış kullanıcı uygulamasında kayıtlı olmayan bir istemci sertifikası vardır dışında, çoğu durum için çalışır, bizim AuthenticationUserDetailsService, UsernameNotFoundException atar. Kullanıcının sertifikası yoksa veya kayıtlı bir sertifikası varsa, hiçbir oturum oluşturulmaz (HTTP yanıtında Set-Çerez başlığı yok). Tarif edilen durumda bir çerez gönderilir. İstemci sertifikası değiştirilse bile (her oturumda yeniden kimlik doğrulaması yapmak yerine kaydedilmiş kimlik doğrulamasını kullanır) istemci isteğinin değişmesine rağmen (sırasıyla, çerez sırasıyla oturum) her istekte değerlendirilir.
Yay güvenliği 3.0.5 kullanıyoruz. Tomcat 6 ve 7 ve ayrıca JBoss 7.1.1 ile test edilmiştir.
Tanımlanan senaryoda neden bir oturum oluşturuldu?
Not: oturum belirleme sorun muhtemelen checkForPrincipalChanges AbstractPreAuthenticatedProcessingFilter yılında ayarlayarak Examples ama bir oturum hiç oluşturulur neden cevap ilgileniyorum edilebilir.