spring-security не отменяет http-сеансы

Question

У меня есть веб-сервис с мылом, и я реализовал аутентификацию с помощью пружинной безопасности.

Я создал клиент, который используется в переднем конце.

Моя проблема заключается в том, что каждый раз, когда клиент делает запрос, веб-служба генерирует сеанс, а сеанс просто остается там, сеанс никогда не становится недействительным.

Вот моя часть файла web.xml:

<session-config> <session-timeout>1</session-timeout> </session-config>

Что мне нужно, что сессия должна получить недействительным после каждого запроса.

Answer 1

Элемент http-параметров Spring безопасности имеет атрибут «create-session», который может быть установлен в «stateless», после которого сеанс никогда не будет создан.

E.g.

<http pattern="/restful/**" create-session="stateless"> 
    <intercept-url pattern='/**' access='ROLE_REMOTE' /> 
    <http-basic /> 
</http> 

Документация здесь:

• http://static.springsource.org/spring-security/site/docs/3.2.x/reference/security-filter-chain.html