JsessionIdはURLに表示されていませんか？

Question

spring-security.xmlを3.2から4.0に変換しました。私が3.2で続けると、JsessionIdが表示されます。 4.0になるとJsessionIdが表示されません。同じユーザーで複数のログインを制限することはできません（並行性制御）。

これは春のsecurity.xmlの私の設定です： - 私は春-セキュリティ-3.2と4.0の両方のためのaboueと同じコードを使用

<security:session-management invalid-session-url="/login" session-fixation-protection="newSession" > 
    <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login"/> 
</security:session-management> 

。 JsessionIdはどのように入手できますか？

Answer 1

Spring 4.Xでは、JSESSIONIDがURLではなくCookieによって管理されていることを意味するデフォルトで、url-rewritingが無効に切り替えられました。

あなたが戻って短期的にはそれが必要な場合は、設定することができるはず：無効-URL書き換え=「false」を

ソース： http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#nsa-http-disable-url-rewriting

編集 春には、この機能を無効にしています意図的にOWASPが「壊れた認証とセッションの管理」としてそれをリストアップします。春のセキュリティセッション制御機能と組み合わされたCookieの使用を検討する必要があります： http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/#ns-concurrent-sessions