SpringSecurity: ne parviennent pas à supprimer JSESSIONID

J'ai besoin de supprimer le cookie JSESSIONID lorsque l'utilisateur se déconnecte. Pour ce faire, j'ai ajouté la configuration suivante pour la sécurité de mon config:

<http>
    <form-login login-page="/login*" authentication-failure-url="/login?try_again" />
    <http-basic />
    <logout logout-url="/logout" delete-cookies="JSESSIONID" />
    <session-management invalid-session-url="/timeout" />

    <intercept-url pattern="/login*"    access="IS_AUTHENTICATED_ANONYMOUSLY" />

    ...

</http>

Mais au lieu d'être supprimé, le cookie est juste devenu dupliqué:

SpringSecurity: ne parviennent pas à supprimer JSESSIONID

SpringSecurity: ne parviennent pas à supprimer JSESSIONID

De sorte qu'il conserve rediriger le navigateur de l' "/timeout" de l'URL.

J'ai essayé de tracer ce qui se passe en utilisant les Outils de développement de Chrome, le navigateur web, et j'ai trouvé que ce cookie met en place avec cet en-tête de réponse:

Set-Cookie:JSESSIONID=CFF85EA743724F23FDA0317A75CFAD44; Path=/website/; HttpOnly

Et supprime avec cet en-tête de réponse:

Set-Cookie:JSESSIONID=""; Expires=Thu, 01-Jan-1970 00:00:10 GMT; Path=/website

Je ne suis pas sûr, mais il me semble que la raison en est dans le "Chemin" de ces en-têtes: dans la première, il souligne "/site web/", et dans la seconde, il souligne "site web".

Est-ce la raison de l'ennui? Si ce n'est pas la raison (ou pas seulement), ce qui est l'autre raison(s)? Comment dois-je résoudre ce problème?

InformationsquelleAutor user1764823 | 2013-04-11
  1. 6

    Vous n'avez pas besoin explicitement supprimer la JSESSIONID cookie comme ça. Il n'est pas géré par Spring Security en tant que tel, mais par votre conteneur de servlet. Printemps de Sécurité par défaut d'invalider la session http lors de la déconnexion, qui provoque à son tour votre conteneur de servlet pour supprimer le JSESSIONID cookie.

    InformationsquelleAutor zagyi
  2. 3

    Dans mon cas, pour une raison quelconque, même si SecurityContextLogoutHandler appels session.invalidate() JSESSIONID ne pas être effacés. Sa valeur est restée la même.

    J'ai essayé d'utiliser delete-cookies="JSESSIONID" de la même façon que l'OP essayé, et je crois que j'ai eu le même problème: Le chemin d'accès défini pour le cookie a été le chemin de contexte sans / à la fin, donc ce ne serait pas encore effacé (Il était en train de donner la commande pour supprimer un cookie qui n'existait pas).

    J'ai fini par écrire mon propre ProperCookieClearLogoutHandler, qui est identiques CookieClearLogoutHandler sauf pour la ligne qui définit le chemin de contexte pour le cookie:

    package com.testdomain.testpackage;

import java.util.Arrays;
import java.util.List;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutHandler;
import org.springframework.util.Assert;
import org.springframework.util.StringUtils;

public final class ProperCookieClearingLogoutHandler implements LogoutHandler {
    private final List<String> cookiesToClear;

    public ProperCookieClearingLogoutHandler(String... cookiesToClear) {
        Assert.notNull(cookiesToClear, "List of cookies cannot be null");
        this.cookiesToClear = Arrays.asList(cookiesToClear);
    }

    public void logout(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) {
        for (String cookieName : cookiesToClear) {
            Cookie cookie = new Cookie(cookieName, null);
            String cookiePath = request.getContextPath() + "/";
            if (!StringUtils.hasLength(cookiePath)) {
                cookiePath = "/";
            }
            cookie.setPath(cookiePath);
            cookie.setMaxAge(0);
            response.addCookie(cookie);
        }
    }
}

    Puis j'ai mis la config pour le LogoutFilter sur spring-security.xml de cette façon;

        <bean id="logoutFilter"
        class="org.springframework.security.web.authentication.logout.LogoutFilter">
        <constructor-arg name="logoutSuccessUrl" value="/views/login/login.xhtml?logout" />
        <constructor-arg>
            <list>
                <bean id="properCookieClearingLogoutHandler"
                    class="com.imatia.arpad.gplenos.authorization.ProperCookieClearingLogoutHandler">
                    <constructor-arg name="cookiesToClear">
                        <list>
                            <value>JSESSIONID</value>
                        </list>
                    </constructor-arg>
                </bean>
                <bean id="securityContextLogoutHandler"
                    class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler">
                </bean>
            </list>
        </constructor-arg>
        <property name="filterProcessesUrl" value="/logout" />
    </bean>
    • Je pense que String cookiePath = request.getContextPath() + "/"; if (!StringUtils.hasLength(cookiePath)) { cookiePath = "/"; } est le problème si le chemin a déjà un / par exemple si c'est la racine. C'est peut-être mieux String cookiePath = request.getContextPath(); if (!cookiePath.endsWith("/")) { cookiePath += "/"; }
    InformationsquelleAutor NotGaeL
  3. 2

    C'est comment je invalider sessions:

    <security:logout invalidate-session="true" logout-success-url="/myapp/auth/login" logout-url="/myapp/auth/logout" />
    InformationsquelleAutor pgardunoc
  4. 1

    La valeur par défaut CookieClearingLogoutHandler fournis par le printemps ne pouvait pas effacer JSESSIONID due à une différence de chemin de cookie.

    Vous ne devez pas modifier le chemin d'accès de cookie. Ce serait changer le témoin de l'identité. Si le cookie a été fixé à un chemin comme /foo et de vous changer en /, alors le client de ne pas associer le changement de cookie avec l'original cookie plus. Un cookie est identifié par le nom et le chemin d'accès.

    Donc vous avez besoin pour mettre en œuvre une coutume CookieClearingLogoutHandler comme indiqué dans la solution ci-dessus j'ai.e (ProperCookieClearingLogoutHandler.class) et réglez-le printemps de sécurité comme indiqué dans le code ci-dessous .Au lieu d'utiliser .deleteCookies("JSESSIONID","UTILISATEUR") qui ajoute CookieClearingLogoutHandler par défaut.

    Printemps de Sécurité Java config:

    @Configuration
@EnableWebSecurity
@ComponentScan(basePackages = "com.dentist.webapp")
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SessionRegistry sessionRegistry;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/resources/**", "/signup/*", "/about", "/login/*").permitAll().anyRequest()
                .authenticated()
                .and().formLogin()
                                 .loginPage("/login/form")
                                 .permitAll()
                .and().logout()
                              .invalidateHttpSession(true)
                              .clearAuthentication(true)
                             //.deleteCookies("JSESSIONID","USER")
                              .addLogoutHandler(new ProperCookieClearingLogoutHandler("JSESSIONID","USER"))
                              .permitAll()
                .and().sessionManagement()
                              .maximumSessions(1)
                              .maxSessionsPreventsLogin(true)
                              .expiredUrl("/accessDenied")
                              .sessionRegistry(sessionRegistry);

        }

    }
    • Bien expliqué réponse. Peut-être que vous pourriez demander à @NotGaeL et copier le code dans votre réponse si il est complet par lui-même. Et ne faisant pas référence à elle comme "au-dessus" on ne peut jamais savoir où il apparaît, utilisez un lien un le nom de l'auteur.
    InformationsquelleAutor srikanth vadapalli
  5. 0

    Comment supprimer sur log out est simple:
    vous mettre en œuvre de déconnexion et de placer ce code dans la méthode:

        HttpSession session = request.getSession(false); 
    if (session != null) { 
       session.invalidate();
    }

    Invalidé session fera le cookie valide.

    Mais j'ai essayé et trouvé, que lorsque je ferme le navigateur, sans déconnexion, le cookie JSESSIONID survit et à l'utilisateur de pouvoir entrer dans le système , lorsque s'ouvre le navigateur.

    Pour éliminer ce que j'ai créé un filtre, qui invalide la session lors de la connexion, aussi, la création d'une nouvelle session, où votre connexion sera effectué à partir de démarrer.

    @WebFilter(urlPatterns = {"/login/*"}, description = "sessionKiller", filterName="sessionKiller")
public class SessionKillerFilter implements Filter{

    @Override
    public void init(FilterConfig arg0) throws ServletException {}

    @Override
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException {
        //kill older session and create new one on explicit login
        //this is to prevent user to login 2-ce
        //also this is prevention of re-connect on cookie base, when browser closed and then open
        HttpServletRequest  request = (HttpServletRequest)req;
        HttpSession session =   request.getSession(false);
        if(session!=null){
            session.invalidate();//old session invalidated
        }
        request.getSession(true);//new session created

        chain.doFilter(req, resp);
    }

    @Override
    public void destroy() {}
}
    InformationsquelleAutor Vladimir Nabokov