Printemps de Sécurité d'expiration de la session est trop court

Je ne sais pas comment, mais d'expiration de la session est incroyablement court. Comme je sais que le Printemps de Sécurité d'expiration de la session dépend de la valeur par défaut du serveur de configurations de session. J'ai trouvé que GlassFish, le délai est de 1800 sec(10 min). Mais je pense session supprime toutes les 5 minutes. Comment cela pourrait-il arrivé?
C'est mon de Printemps configurations de Sécurité:

<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-3.2.xsd">    



    <!-- enable use-expressions -->
    <http auto-config="true" use-expressions="true">

        <intercept-url pattern="/adminRole/**" access="hasRole('ROLE_ADMIN')" />

        <intercept-url pattern="/userRole/**" access="hasRole('ROLE_USER')" />

        <!-- access denied page -->
        <access-denied-handler error-page="/403" />

        <form-login 
            login-page="/" 
            default-target-url="/resolveRoles" 
            authentication-failure-url="/?error" 
            username-parameter="username"
            password-parameter="password" />
            <remember-me key="key" token-validity-seconds="2419200" />
        <logout logout-success-url="/?logout"  />
        <!-- enable csrf protection -->

    </http>



    <!-- Select users and user_roles from database -->
    <authentication-manager>
      <authentication-provider>
      <password-encoder hash="sha"/>      
        <jdbc-user-service data-source-ref="dataSource"
          users-by-username-query=
            "select username,password, enabled from smsc.users where username=?"
          authorities-by-username-query=
            "select username, role from smsc.user_roles where username =?  " />
      </authentication-provider>
    </authentication-manager>

</beans:beans>
  • Comme vous l'avez déjà dit vous-même, de délai d'expiration de session est lié au serveur de ne pas le Printemps de Sécurité. Sur tomcat (et autant que je sache aussi sur glassfish) c'est 30 minutes (pas de 10 minutes). Si c'est différent, alors vous avez modifié les paramètres par défaut ou vous avez configuré dans votre web.xml.
  • Oh, bien. Merci.
InformationsquelleAutor Tony | 2014-08-25
  1. 7

    Il n'est que le délai d'expiration de session, mais pas de délai supplémentaire au printemps de sécurité (à l'exception de celui pour le souvenir de moi jeton, mais c'est autre chose).

    Vous pouvez configurer le délai d'expiration de session dans le web.xml:

    <web-app>
   <session-config>
      <!-- in minutes -->
      <session-timeout>60</session-timeout>
   </session-config>
</web-app>
    • Ralph, j'ai essayé de changer cela pour 1 minutes, mais ne semble pas changer... je suis en utilisant le Graal.
    • Suraphel: est-ce que votre application web interroger le serveur?
    • Non, il n'est pas. Il fois quand il est réglé à 30 minutes si. Est-il une limite inférieure?
    InformationsquelleAutor Ralph