Spring Security & CAS - Просмотр защищенной страницы без входа в систему

Question

У меня есть webapp, который использует Spring Security и SSO с CAS. Также есть другой webapp (в классическом ASP), который подключается к CAS. Иногда эта ситуация случается:

Зашел на сайт Java webapp и сделал все. 12 часов спустя (сеанс истек давно) пользователь переходит на ту же страницу и отображает его без переадресации на страницу входа. Эта страница имеет nocache для различных веб-браузеров, поэтому это не должно быть проблемой.

Если пользователь отправляется в asp webapp. Он запрашивает логин, поэтому я предполагаю, что у казино не было билетов, назначенных для пользователя, но как он мог видеть веб-страницу java?

Любая помощь будет оценена по достоинству. Спасибо

Answer 1

Является ли пользователь закрытием браузера, а затем возвращается на страницу без ссылки, или оставляет его открытым и просто переключает вкладки? Я бы попробовал его с чем-то другим, кроме IE, и посмотрел, если вы получите тот же случай. IE имеет известную историю игнорирования тегов без кэша.