Как аннулировать сеанс Siteminder

Question

Мы используем Siteminder для аутентификации, и мы используем Angular js, который является безстоящим.

Как я могу аннулировать сеанс Siteminder. Я настроен ниже в Spring Security. Но это не работает для меня.

В HTML

<a href="../../logout">Sign Out</a></li> 

В Spring Security

<logout delete-cookies="JSESSIONID,SMSESSION" invalidate-session="true" logout-url="/logout" logout-success-url="/Logout.html" /> 

В Logout.html мы даем ссылку, чтобы перейти на страницу входа в систему снова. Нажав на это, он должен перейти на страницу входа в siteminder. Но вместо этого мы загружаем нашу приветственную страницу.

Мы думаем о недействительности SMSESSION, чтобы приложение перенаправлялось на siteminder при нажатии «Перейти на страницу входа». Может ли кто-нибудь помочь мне в этом.

Update1 Я попытался установить SMSESSION = LOGGEDOFF в объектах запроса и ответа бота контроллера отдыха. Но он не работает, поскольку сеанс не поддерживается для углового и не задает их в запросе/ответе, просто не помог мне

Answer 1

Прежде всего, трассировка HTTP помогла бы много диагностировать эту проблему на практике.

Теперь для теории: Удаления SMSESSION печенья от клиента является эффективным способом выхода из пользователя Если сеанс Магазин Siteminder не используются и CookieProviders не используется. В противном случае сеанс остается активным на стороне Siteminder.

Надлежащий, Siteminder поддерживается способ сделать это так:

Администратор Siteminder должен быть в состоянии предоставить вам URI, который будет инициировать надлежащую Siteminder Выход. Этот URI настроен в параметре LogoffUri в задействованном агенте ACO.

Когда пользователь с активной сессии Siteminder достигает этого URI, в Siteminder WebAgent и политики серверы:

• Invalidate данные сессии в Siteminder Session Store, если он настроен (по умолчанию это не так)

• Если используется CookieProvider, он вызывает соответствующие перенаправления для удаления файлов cookie из всех других доменов cookie.

• добавить в ответ заголовок «Set-Cookie: SMSESSION = LOGGEDOFF» (либо 302 при переадресации на страницу входа в систему, либо 200, если страница не защищена). Это приведет к недействительности SMSESSION на стороне клиента.

• применить определенную политику Siteminder, если таковые имеются (если URI защищен, то будет применяться схема аутентификации, в противном случае, основной WebServer будет обрабатывать страницы)

Когда пользователь не имеет действительная SMSESSION (и «LOGGEDOFF» не является действительной SMSESSION), он считается фактически выполненным в журнале.

Официальный документ находится здесь (не то, чтобы он очень помог ...) https://support.ca.com/cadocs/0/CA%20SiteMinder%2012%2052%20SP1-ENU/Bookshelf_Files/HTML/idocs/index.htm?toc.htm?agent-guide.html