Это для приложения, созданного в Grails 2.1 с использованием плагина spring-security-core 2.0-RC2. (Java 1.6, Tomcat 1.7)
Я установил grails.plugin.springsecurity.useSessionFixationPrevention = true.
Я попробовал следующее как истинное и ложное
grails.plugin.springsecurity.sessionFixationPrevention.migrate = ложь
grails.plugin.springsecurity.sessionFixationPrevention.alwaysCreateSession = истина
Я ожидаю, что при входе я получу новый файл cookie JSESSIONID, возвращенный в ответе (отличный от того, который указан в запросе). Однако я не вижу ничего, возвращающегося в ответ. Следующий запрос содержит точно такой же файл cookie JSESSIONID, который был в запросе на вход в систему.
Я вижу новый файл cookie JSESSIONID, возвращаемый при выходе из системы, но это в конце игры, просто показывает, что основной рабочий процесс находится в игре.
Очевидно, что это приложение использует более старые версии ... на следующую весну запланировано обновление версии, но мне нужно получить разрешение на фиксацию сеанса для аудита безопасности до этого момента.
Любые идеи о том, что может пойти не так, или как устранить неполадки? Я ожидаю, что смогу просто добавить код к входу в систему, но, кажется, неправильно обходить Spring Security.