Springセキュリティを使用してセッションタイムアウトメッセージを取得する方法
セッションの有効期限が切れたときにセッションタイムアウトメッセージを取得したいのですが、以下は私のspring-security.xmlです。
<http auto-config="true" use-expressions="true">
<logout logout-success-url="/" invalidate-session="true" logout-url="/LogOut"/>
<form-login login-page="/Login" username-parameter="Name" password-parameter="Pwd"/>
<session-management invalid-session-url="/?timeout=true">
<concurrency-control max-sessions="1" expired-url="/Timeout?timeout=true" />
</session-management>
</http>
上記のコードを使用した私の知識によると、セッションの有効期限が切れると、/?timeout=true OR /Timeout?timeout=trueにリダイレクトされます。ログアウトすると、/に移動します。しかし、私の場合、ログアウトするとinvalid-session-urlにリダイレクトされるため、通常のログアウトとセッションタイムアウトの両方で常にタイムアウトがtrueになります。
これを区別するのを手伝ってください。
[〜#〜] update [〜#〜]
/logoutリクエストに含まれる
session = request.getSession();
session.invalidate();
session = null;
解決しました! Spring-securityに応じて代わりにフィルターを作成します。
興味のある方は、以下のコードを使用できます:-
import Java.io.IOException;
import Java.io.PrintWriter;
import Java.io.StringWriter;
import Java.text.MessageFormat;
import javax.servlet.FilterChain;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.Apache.log4j.Logger;
import org.springframework.web.filter.OncePerRequestFilter;
public class FilterToGetTimeOut extends OncePerRequestFilter {
@Override
public void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException {
try {
if(request.getRequestURI().equals("/") || request.getRequestURI().equals("/Login/")){
if(request.getSession().getAttribute("login") != null && (Boolean)request.getSession().getAttribute("login") == true){
response.sendRedirect(URL); //After login page
}
} else if(request.getSession().getAttribute("login") == null && !request.getRequestURI().equals("/LogOut")){
response.sendRedirect(request.getContextPath()+"/?timeout=true"); //If timeout is true send session timeout error message to JSP
}
filterChain.doFilter(request, response);
} catch (Exception e) {
//Log Exception
}
}
}
このフィルターをweb.xmlに追加します。
<filter>
<filter-name>FilterToGetTimeOut </filter-name>
<filter-class>package.FilterToGetTimeOut </filter-class>
</filter>
<filter-mapping>
<filter-name>FilterToGetTimeOut</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
そのため、セッションも無効になり、セッションのタイムアウトも処理できるようになりました。
これを使用してログアウトすることをお勧めします:
HttpSession session= request.getSession(false);
SecurityContextHolder.clearContext();
if(session != null) {
session.invalidate();
}
for(Cookie cookie : request.getCookies()) {
cookie.setMaxAge(0);
}
私は同様の問題を抱えていました
- 一部のユーザーでログインした場合は、zzzzと言います
- ブラウザを閉じました
- もう一度、同じユーザーzzzzでログインしようとしています
- 最大セッションを超えたというメッセージでログインに失敗しました
Springセキュリティファイルにあるコードは次のとおりです。
<session-management invalid-session-url="/?timeout=true">
<concurrency-control max-sessions="1" expired-url="/logout?timeout" />
Web.xmlファイルにセッションタイムアウトエントリを追加することで、この問題を解決しました。セッションタイムアウト値を5分として設定し、アプリケーションをビルドしてデプロイしました。その正常に動作します。
これは誰かを助けるかもしれません。
ありがとう、Atul
あなたの場合、ユーザーがログアウトすると、セッションが最初に無効になり、次にセッション管理がトリガーされます。セッション管理が開始され、セッションがすでに終了していることが判明すると、sessionTimeoutページがリダイレクトされます。したがって、ログアウトタグのinvalidate-sessionをfalseに設定することをお勧めします。
<logout logout-success-url="/" invalidate-session="false" logout-url="/LogOut"/>
コントローラでログアウト成功URLのリクエストマッピングを定義し、そこからホームページにリダイレクトしてください。たとえば、以下のようにマッピングを置き換えます
<http auto-config="true" use-expressions="true">
<logout logout-success-url="/logoutSucess" invalidate-session="true" logout-url="/LogOut"/>
<form-login login-page="/Login" username-parameter="Name" password-parameter="Pwd"/>
<session-management invalid-session-url="/?timeout=true">
<concurrency-control max-sessions="1" expired-url="/Timeout?timeout=true" />
</session-management>
@RequestMapping(value = "/ logoutSucess" method = RequestMethod.GET)を使用して、コントローラーでこの/ logoutSucessを定義します。