Spring安全会话管理设置和IllegalStateException

Question

我正在尝试在Spring Security名称空间配置中添加<session-management>，以便在会话超时时可以提供与登录页面不同的消息。一旦我将它添加到我的配置中，当我访问应用程序时，它就开始抛出"IllegalStateException:无法在响应提交后创建会话“。

我使用的是Spring Security3和Tomcat6。下面是我的配置：

<http>
    <intercept-url pattern="/go.htm" access="ROLE_RESPONDENT" />
    <intercept-url pattern="/complete.htm" access="ROLE_RESPONDENT" />                          
    <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    <form-login login-processing-url="/j_spring_security_check" 
                login-page="/login.htm" 
                authentication-failure-url="/login.htm?error=true" 
                default-target-url="/go.htm"
    />      
    <anonymous/>
    <logout logout-success-url="/logout_message.htm"/>  
    <session-management invalid-session-url="/login.htm" />     

</http>

在我添加<session-management>行之前，一切都运行得很好。我遗漏了什么？

Answer 1

你可能遇到了这个bug：

https://jira.springsource.org/browse/SEC-1346

尝试使用最新版本(3.0.2.RELEASE)。

Answer 2

这对我很管用

<session-management invalid-session-url="/taac/login">
    <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</session-management>

Answer 3

也许在<http>标记中包含auto-config="true"属性会有所帮助，但您可能会遗漏一些所需的过滤器或设置。