登录用户';tomcat上grails spring security中的会话混淆
我在grails中有一个应用程序,使用spring security进行用户和角色管理。 因为,在过去的几天里,我面临着一个奇怪的问题:当一个用户在某个点登录时,用户变成了另一个用户(会话混乱) 示例:用户A登录到系统,用户B从另一个浏览器登录到系统,当通过控制器动作移动时,在某个随机点,用户A成为用户A系统中的用户B,用户B也是如此 这个问题是在生产中,而不是在发展中 我在互联网上发现了一些类似的案例,但没有一个是grails。 ,但在jsf和前面提到的解决方案中,这个类似的方法似乎对我不起作用。另一个是,但这里的问题似乎是因为mod_jk,这不是我的情况(我没有使用mod_jk) 我的系统版本:登录用户';tomcat上grails spring security中的会话混淆,tomcat,grails,spring-security,session-hijacking,Tomcat,Grails,Spring Security,Session Hijacking,我在grails中有一个应用程序,使用spring security进行用户和角色管理。 因为,在过去的几天里,我面临着一个奇怪的问题:当一个用户在某个点登录时,用户变成了另一个用户(会话混乱) 示例:用户A登录到系统,用户B从另一个浏览器登录到系统,当通过控制器动作移动时,在某个随机点,用户A成为用户A系统中的用户B,用户B也是如此 这个问题是在生产中,而不是在发展中 我在互联网上发现了一些类似的案例,但没有一个是grails。 ,但在jsf和前面提到的解决方案中,这个类似的方法似乎对我不起作
- Grails版本:3.2.4
- Groovy版本:2.4.7
- JVM版本:1.8.0_05
- 服务器版本:ApacheTomcat/8.5.14
- JVM版本:1.8.0_121-8u121-b13-0ubuntu1.16.04.2-b13
在某些菜单中,我没有放置唯一的uuid,但问题仍然存在,但在那些我放置唯一字符串的菜单中,我没有放置唯一的uuid和问题。关键在于ISP。他们的基础设施中的一些东西,比如web代理或者其他什么。但是,ISP真的会影响spring security跟踪的用户会话吗?因为我对页面重定向或任何类似的问题都没有意见,但我认为会话是由spring security和tomcat维护的用于将浏览器与会话关联的会话在请求通过ISP传输到服务器之前的某个位置交换/更改。您是否尝试过使用HTTPS和安全cookie?也许这样做可以防止这种情况。哇,这是一些非常可怕的ISP行为。