Ale*_*lex 7 java session spring tomcat spring-security
我有下一个用例:
我们有网上商店,用户可以选择一些商品,然后购买.在登录应用程序之前,他可以将商品添加到购物车中.所有这些项目必须存储在他的会话中.当用户点击"付款"按钮时,我们会询问他的凭证/卡/等.
我的问题:当我登录之前添加项目到购物车一切正常.但是当我尝试将项目作为匿名用户添加到购物车时,项目不会存储.在将每个页面刷新为匿名用户后,我总是收到不同的JSESSIONID.
我决定创建简单的应用程序,说明我的问题.我认为没有我的消息来源就无法修复.
这是我的申请:
https://github.com/AlexTestAccount/simple_test
这很简单.它只包含一个控制器和会话bean,我尝试保存一些东西.
对于运行它你需要gradle,tomcat和定义enviropment变量CATALINA_HOME,你可以使用:
gradle部署
ps对不起我的英文
启用调试日志级别org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy
登录时一定有一条日志语句:
>Invalidating session with Id '<originalSessionId>' <and : without> migrating attributes
如果它打印“没有迁移属性”那么你需要配置spring securitys SessionFixationProtectionStrategy.migrateSessionAttributes(true但这应该是默认值)
另一个问题可能是,当您从 http 切换到 https 时,tomcat 会更改会话。要验证这是否是问题所在:首先切换到 https(未登录)并将商品添加到您的购物车,然后检查它们是否消失。但 tomcat 通常应该在从 http 切换到 https 时保留会话内容(但反之则不然)。