ログアウトによる春のセキュリティセッションの無効化

Question

春のセキュリティとセッションの無効化についての質問です。

ConcurrentSessionControlStrategyでセッションを無効にすると、セッションはremoveSessionInformationメソッドを呼び出すことによってSessionRegistryから削除されますが、手動ログアウトによってセッションが無効にされた場合、HttpSessionは無効になりますが、SessionRegistryの呼び出しはありませんそこ。

私は、HttpSessionDestroyedEventイベントをキャプチャしているリスナとしてHttpSessionEventPublisherを追加しましたが、SessionRegistryを再度呼び出すことはありません。

私はLogoutFilterの独自の実装を作成し、removeSessionInformationを手動で呼び出すハンドラを追加することでこれを回避しましたが、可能であれば標準の春の注釈を使用できるようにしたいと考えています。 （NBセッションがすでに無効になっているため、セッションIDにアクセスできないため、標準ログアウトタグのsuccess-handler-refフィールドを使用することはできません）

ここには何かがありますか？これは春が逃したものですか？

これは、途中でSpring Security 3.1.0を使用しています。

Answer 1

私は同じ問題がありました。私の場合、ソリューションは別のスプリングビーンとしてSessionRegistryを作成することでした。 ConcurrentSessionControlStrategyはレジストリへのリンクを保持しているので、無効なセッションを直接削除できます。しかしSecurityContextLogoutHandlerはsession.invalidate()を使用していますので、sessionDestroyedサーブレットイベントは、サーブレットコンテナによってHttpSessionEventPublisherに提供されるが、それは春の豆ではないときHttpSessionEventPublisherによってコンテキストを春に発表されHttpSessionDestroyedEventはSessionRegistryに来ていません。

このセキュリティ設定は動作しませんでした：

... 
SessionRegistry sessionRegistry = new SessionRegistryImpl(); 
ConcurrentSessionControlStrategy concurrentSessionControlStrategy = new ConcurrentSessionControlStrategy(sessionRegistry); 
... 

この1つが正常に動作します：

@Bean 
public SessionRegistry sessionRegistry() { 
    return new SessionRegistryImpl(); 
} 
... 
ConcurrentSessionControlStrategy concurrentSessionControlStrategy = new ConcurrentSessionControlStrategy(sessionRegistry()) 
...