Блог

Сейчас я использую Spring security, у меня есть такой сценарий в моем веб-приложении:

шаг 1: войдите в систему с помощью user-A и откройте страницу с двумя вкладками браузера

шаг 2: пользователь-выход из системы на первой вкладке и ничего не делайте со второй вкладкой

шаг 3: войдите в систему с помощью user-B, откройте ту же страницу на первой вкладке (обратите внимание, что теперь SessionID должен быть user-B)

шаг 4: отправьте ajax-запрос во второй вкладке

Моя конфигурация выглядит следующим образом:

 @Configuration
@EnableWebSecurity
public class AuthConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/css/**", "/index").permitAll()       
                .antMatchers("/user/**").hasRole("USER")            
                .and()
            .formLogin()
                .loginPage("/login").failureUrl("/login-error");    

    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user1").password("pass").roles("USER")
                .and()
                .withUser("user2").password("pass").roles("USER");
    }
}
 

/login: URL страницы входа в систему

/пользователь/индекс: url бизнес-страницы

Ожидаемый результат заключается в том, что этот запрос на шаге 4 должен быть заблокирован серверной частью (например, return a 401), напоминая ему о повторном входе в систему.

Но фактический результат таков: этот запрос возвращается с данными пользователя B.

Итак, как достичь ожидаемого результата с помощью spring security?

Кажется, этот вопрос может быть не полностью связан с Spring Security, я обновляю этот вопрос как более общий вопрос: как достичь ожидаемого результата на шаге 4? Нужно ли сохранять информацию о сеансе в хранилище сеансов или html?