- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
jboss-web.xml
<?xml version="1.0" encoding="UTF-8"?>
<jboss-web>
<security-domain flushOnSessionInvalidation="true">my-aktion
</security-domain>
<valve>
<class-name>utils.MyAuthenticator</class-name>
</valve>
</jboss-web>
standalone.xml
<security-domain name="my-aktion" cache-type="default">
<authentication>
<login-module code="utils.MyAuthenticator" flag="required">
<module-option name="dsJndiName" value="java:jboss/datasources/MySQLDS"/>
<module-option name="principalsQuery" value="SELECT password FROM user WHERE username=?"/>
<module-option name="rolesQuery" value="SELECT r.role, 'Roles' FROM Role r INNER JOIN user u ON u.role_id = r.id WHERE u.username=?"/>
<module-option name="hashAlgorithm" value="SHA-256"/>
<module-option name="hashEncoding" value="base64"/>
</login-module>
</authentication>
</security-domain>
web.xml(摘录)
<security-constraint>
<web-resource-collection>
<web-resource-name></web-resource-name>
<url-pattern>/Profile/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>User</role-name>
<role-name>Manager</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>my-aktion</realm-name>
<form-login-config>
<form-login-page>/Login/login.xhtml</form-login-page>
<form-error-page>/Login/error.xhtml</form-error-page>
</form-login-config>
</login-config>
<security-role>
<role-name>User</role-name>
</security-role>
<security-role>
<role-name>Manager</role-name>
</security-role>
LogoutServlet.java(与 doPost(...) 相同)
@WebServlet("/Login/logout.xhtml")
public final class LogoutServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
public LogoutServlet() {
super();
}
protected void doGet(HttpServletRequest request,
HttpServletResponse response) throws ServletException, IOException {
response.setHeader("Cache-Control", "no-cache, no-store");
response.setHeader("Pragma", "no-cache");
response.setHeader("Expires", new java.util.Date().toString());
if (request.getSession(false) != null) {
request.getSession(false).invalidate();// remove session.
}
// if (request.getSession() != null) {
//
// request.getSession().invalidate();// remove session.
//
// }
request.logout();
response.sendRedirect(request.getContextPath());
}
我有一个自定义身份验证器,它扩展了 DatabaseServerLoginModule 并为了自身的安全性而覆盖了 createPasswordHash 方法。
我的问题是,当我使用管理员角色登录并使用另一个浏览器更改已登录用户的角色时,它会缓存该用户的角色。只有当我注销用户并再次登录时,他才无法访问管理器内容。我使用 LogoutServlet 来注销。
我尝试了 servlet 中的各种更改,但没有帮助。当我从 Wildfly 中的standalone.xml 中删除“cache-type=default”时,它可以工作,但是对于在侧面执行的每个操作,都会调用身份验证模块中的登录方法,这是非常糟糕的。
在jboss-web.xml中,参数flushOnSessionInvalidation="true"似乎是这个问题的正确答案,但它没有任何效果。感谢您的帮助!
最佳答案
这是 Wildfly 8.0.0 中的一个错误,计划在 8.1 中修复。请参阅https://issues.jboss.org/browse/WFLY-3221
同时,您可以尝试此解决方法,以便在 session 超时或无效时清除特定用户的缓存。
创建一个 Session 监听器并调用 sessionDestroyed 中的方法。
public void clearCache(String username){
try {
ObjectName jaasMgr = new ObjectName("jboss.as:subsystem=security,security-domain=<YOUR SECURITY DOMAIN>" );
Object[] params = {username};
String[] signature = {"java.lang.String"};
MBeanServer server = (MBeanServer) MBeanServerFactory.findMBeanServer(null).get(0);
server.invoke(jaasMgr, "flushCache", params, signature);
} catch (Exception ex) {
logger.warn(ex.getMessage());
}}
关于security - Wildfly 在 Web 应用程序中注销后缓存角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21931637/
我正在进行 Twitter 集成。 我不知道如何退出 Twitter。 我正在使用以下代码尝试注销...但它只是删除了 token : try {
我可以使用我的站点和 phpBB3 的集成登录系统登录。我不能 注销...我尝试破坏 session ,或使用 ->logout(); 我登录为: $phpBBusername = $_SES
我目前正在学习 firebase facebook auth,但似乎 firebase 不提供 facebook logout api? 因为我在 firefeed.io 上注销,但它并没有注销 fa
环境 Richfaces 3.3.3 JSF 1.2 站点记录器 要求 用户输入所需的申请地址。 Siteminder 拦截并询问用户名和密码。客户提供凭据。客户使用应用程序并单击注销/退出按钮。应用
我喜欢从 Azure 广告 B2C 中注销我的 Web 应用程序。我尝试了以下示例 https://www.janaks.com.np/azure-ad-identity-provider-in-as
通过使用 here 中的 Fitbit 文档。我已在我的应用程序中成功通过 token 过期时间 expires_in=604800 进行 Fitbit 身份验证。我对如何从登录帐户注销感到困惑。是否
我有一个使用 Oauth 2 与 Facebook 集成的应用程序。 我可以使用 FB 授权并很好地查询他们的 REST 和图形 API,但是当我授权时,一个事件的浏览器 session 是使用 FB
在我的应用程序中,我有一个将 BroadcastReceiver 注册到 onStart() 方法中的服务: public void onStart() { if(something....)
我有一个 div 标签,可以说“mydivTag” 它下面有一个子节点,ID为“childID” 我想删除/取消注册/任何“childID”,然后重新创建具有相同 ID“childID”的不同节点 如
我有一个 asp.net 应用程序,我正在使用 FormsAuthantication。当用户关闭页面时,位于 Global.asax Session_End 中的代码被执行:FormsAuthant
我的应用程序的结构如图所示。 在我的 ProfileViewController(选项卡之一)中,有一个注销按钮。 我想弹出回到 RegisterViewController。 如果用户已经注册,我将
有没有办法注销在 php 中完成的摘要式身份验证。 我试过 unset($_SERVER["PHP_AUTH_DIGEST"]);但它不会要求重新登录。我知道如果我关闭浏览器它就会工作,这是我的功能。
我的问题是捕获用户注销。我的代码是: public function onAuthenticationFailure(Request $request, AuthenticationExceptio
我下面的代码是应用程序的 OnClick 注销方法。目前它所做的只是将用户返回到登录页面,但是如果用户按下 Android 手机上的后退按钮,它会将他们带回到他们刚刚注销的页面,我不希望这样.如何更改
我有一个带有面板的表单,我可以在该面板上动态加载多个用户控件。我处理每个控件的事件。 UserControl userControl1 = LoadControl("control.ascx") as
我正在尝试为我们现有的 laravel 站点(laravel 5.2)的注销功能添加一些逻辑,但它不像登录那样简单。 客户端的现有注销工作正常,但我想要做的就是向我的 Cognito 实例添加一个调用
当前从注册处注销 M3 模型的首选方法是什么? 在我的项目中,我使用 Rascal 来分析大约 100 个大型 Java 程序,而我的 JVM 正在慢慢耗尽内存。我在旧版本的注册表中找到了 unreg
此主题与 Java 中的主题相关,但我找不到 C# 的解决方案。 http://theblasfrompas.blogspot.com/2010/01/closing-obsolete-databas
Slick 用大量的日志消息填满了控制台。我想,就像文档建议的那样,使用 slf4j-nop ,所以日志是关闭的,但是 Akka 需要自己的 slf4j 库。 所以我只剩下 akka-slf4j_2.
如果他空闲 20 分钟,我想提醒用户。所以,创建了一个服务。 它在桌面上运行良好,但在手机中它没有显示,有时如果屏幕在后台停留了几个小时,那么一旦我再次进入页面,注销对话框屏幕就会开始倒计时。 我的意
我是一名优秀的程序员,十分优秀!