- 791 名前:デフォルトの名無しさん mailto:sage [2008/06/11(水) 22:06:57 ]
- struts2で、session.invalidate()を読んだ後ちゃんとrequest.getSession(true)で新しいセッションを作らせてから、
ActionChainResultで別画面に遷移させると「セッションが無効」の
エラーがでます。おそらくInterceptorでセッションインスタンスを
キャッシュしてるせいだと思うのですが、追い切れていません。
logout時のinvalidate()は普通に成功しています。
login時にはsessionIdを発行し直して、かつリロードで
再度ログイン処理が走らないようにリダイレクトさせたいと
思っているのですが、なにか回避策はあるでしょうか。
sessionIdの発行し直しはセキュリティ会社に指摘されたことが
あって、ログイン前の無防備な状態でid盗聴されたらログイン後に
乗っ取られる可能性があると。今回の案件では始めから
httpsなのでやらなくてもいいかなとは思っているのですが、
できたらやっておきたいなあと。
|
 |
