Java JsessionId未在url中显示?
我将spring-security.xml从3.2转换为4.0。如果继续使用3.2,则会显示JsessionId。说到4.0,它没有显示JsessionId。因此,我无法限制同一用户的多次登录(并发控制) 这是我在Spring security.xml中的配置:-Java JsessionId未在url中显示?,java,session,spring-security,Java,Session,Spring Security,我将spring-security.xml从3.2转换为4.0。如果继续使用3.2,则会显示JsessionId。说到4.0,它没有显示JsessionId。因此,我无法限制同一用户的多次登录(并发控制) 这是我在Spring security.xml中的配置:- <security:session-management invalid-session-url="/login" session-fixation-protection="newSession" > <sec
<security:session-management invalid-session-url="/login" session-fixation-protection="newSession" >
<security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" expired-url="/login"/>
</security:session-management>
我在spring-security-3.2和4.0中使用了与aboue相同的代码。
如何获取JsessionId 在Spring 4.X中,默认情况下url重写被切换为禁用,这意味着JSESSIONID由Cookie而不是url管理 如果您在短期内需要它,您应该能够设置:disable url rewriting=“false” 资料来源: 编辑 由于OWASP将其定义为“使用与CookSecurity会话控制功能结合的Cookie”,因此OprASP已将此功能故意禁用,称为“破损的身份验证和会话管理”: