我正在使用Tomcat 6.2和Spring MVC 2.5。我注意到,当用户登录时,我可以重新启动Tomcat,并且该用户可以继续浏览而无需重新验证。这似乎是由于Tomcat能够在重新启动之间持久保留会话的缘故。
但是,这些持久化的会话似乎并没有使其回到Spring会话注册表中。在重新启动之前从会话注册表中检索用户的会话信息时,我会得到信息。尽管sesssion注册表没有有关该用户的信息,但要重新启动。
我是否错过了一些配置,这些配置将允许Spring在重启后恢复这些持久化的Tomcat会话?失败了,有没有办法在不调用sessionInformation.expireNow()的情况下将用户踢出Web应用程序?
试试这个配置:
<bean id="filterInvocationInterceptor" class="org.acegisecurity.intercept.web.FilterSecurityInterceptor"> ... <property name="alwaysReauthenticate" value="true"/> </bean>