java - Spring 세션, Spring 보안 허가 없이 가로채는 URL에서 자동으로 세션을 생성하지 않는 방법은 무엇입니까?
typecho
typecho 2017-06-28 09:23:34
0
1
1209

모바일 호출을 위한 API 서버를 만들고, Spring Session을 사용하여 Redis를 연결하여 여러 Tomcat과 세션을 공유하고, 보안을 사용하여 API 권한을 가로채고, 헤더의 토큰 확인인 x-auth-token을 사용했습니다. 이제 문제가 발생했습니다. 일부 API는 인증되지 않았습니다. 그러나 이러한 API에 액세스하면 Spring이 각 요청에 대해 세션을 생성하고 이로 인해 세션이 너무 많아질 수 있습니다. 나. 이 상황에서 세션 생성이 필요하지 않도록 구성하는 방법은 무엇입니까? Create-session="never"가 구성되었지만 작동하지 않습니다. 보안 구성은 다음과 같습니다

으아아아

봄 세션

으아아아
typecho
typecho

Following the voice in heart.

모든 응답(1)
漂亮男人

먼저 로그의 추적을 열고 org.springframework를 추적하면 새 세션이 생성될 때마다 로그가 생성되고 Spring이 세션 생성 스택을 인쇄하는 것을 볼 수 있습니다.

으아악

여기서 xxx.xxxx 줄을 찾을 수 있습니다. LogFilter 줄 52에서 req.getSession()이 호출되는 것을 확인할 수 있습니다. create-session이 never로 구성되어 있지만 req.getSession()을 호출하는 코드가 있는 경우입니다. , 봄은 여전히 ​​새로운 세션을 생성합니다. 필터와 같은 전역 인터셉터에서 req.getSession()을 호출하지 마세요. 그렇지 않으면 언제든지 새 세션이 생성됩니다

최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿