小编Aka*_*sh.的帖子

我正在使用Spring 3.1安全性.以下是我的"spring-security.xml"的一部分

<session-management session-fixation-protection="migrateSession">
<concurrency-control max-sessions="1" expired-url="/Login.html"/>
</session-management>

虽然session-fixation-protection="migrateSession"如果我使用"Chrome浏览器"登录,我会设置静止,然后复制cookie值并打开"Firefox浏览器"并转到登录页面,然后编辑cookie并粘贴"Chrome浏览器"中的值,然后我看到我已登录进入我的申请.这意味着"会话固定攻击"是可能的!

我在春季安全配置中是否遗漏了什么？

这只是我的以下cofig文件

<http auto-config="false" access-denied-page="/" disable-url-rewriting="true">

<intercept-url pattern="/test01*" access="ROLE_USER" requires-channel="https"/>
<intercept-url pattern="/test02*" access="ROLE_USER" requires-channel="https"/>

<form-login login-page="/Login.html"/>
<logout invalidate-session="true"
        logout-success-url="/"
        logout-url="/logout"/>


<session-management session-fixation-protection="migrateSession">        
    <concurrency-control max-sessions="1" expired-url="/Login.html"/>
</session-management>

</http>

<authentication-manager>
<authentication-provider>
<user-service>    
<user name="a" password="a" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
</authentication-manager>

任何人都可以帮我解决如何在自定义登录jsp文件中添加更多字段？默认值为"j_username"和"j_password".如果我想添加更多的领域,即,并希望得到它在我的CustomAuthenticationProvider类扩展AbstractUserDetailsAuthenticationProvider.如果有任何资源或链接,请告诉我.