Выход из SiteMinder с использованием Spring Security

Я успешно интегрировал SiteMinder с Spring Security. Однако URL-адрес выхода Spring Security не применяется к SiteMinder.

Весенняя безопасность

<logout delete-cookies="JSESSIONID" logout-success-url="/" invalidate-session="true" />

URL-адрес выхода из Spring Security

<a href="<c:url value="j_spring_security_logout" />" > Logout</a>

Любые предложения, какой URL использовать для SiteMinder/PreAuthentication?


java spring spring-mvc spring-security siteminder
person user2601995    schedule 15.05.2014    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Проверил заголовок http. SiteMinder устанавливает для своего файла cookie значение SMSESSION по умолчанию. Однако этот файл cookie не контролируется Spring Security. SiteMinder должен развернуть URL-адрес выхода из системы и настроить его соответствующим образом.

Решение:

<logout delete-cookies="JSESSIONID,SMSESSION" logout-success-url="/" invalidate-session="true" logout-url="/logout.html"/>

Если вы хотите удалить несколько файлов cookie, разделите их запятыми.

Атрибут delete-cookies

Разделенный запятыми список имен файлов cookie, которые должны быть удалены при выходе пользователя из системы.

Ссылка: http://docs.spring.io/spring-security/site/docs/3.1.x/reference/springsecurity-single.html

person user2601995    schedule 15.05.2014
comment
Это отлично подходит для простого случая, но когда вы имеете дело с федерацией, где доступ к поставщику удостоверений осуществляется из другого полного доменного имени, вы не можете удалить его файл cookie. Таким образом, локальный сеанс будет уничтожен, но вы не выйдете из системы (простой доступ восстановит сеанс без запроса учетных данных). - person rsabir; 11.10.2016