Ho aggiunto questo codice in spring-security.xml
per abilitare il controllo del timeout della sessione e il controllo della concorrenza.Come escludere alcune pagine dalla gestione delle sessioni (timeout/controllo della concorrenza) in Spring Security?
<sec:http>
<sec:form-login login-page="/login" login-processing-url="/authentication"
default-target-url="/home" always-use-default-target="true"
authentication-failure-url="/login?error=true"
username-parameter="userid" password-parameter="password"/>
<sec:logout logout-url="/logout" logout-success-url="/login" delete-cookies="JSESSIONID" invalidate-session="true" />
<!-- User login (URL not View Name) -->
<sec:intercept-url pattern="/login" access="permitAll" />
<!-- User change password -->
<sec:intercept-url pattern="/change_password" access="permitAll" />
<sec:session-management invalid-session-url="/session_timeout">
<sec:concurrency-control max-sessions="1" error-if-maximum-exceeded="false" expired-url="/session_conflict"/>
</sec:session-management>
<sec:headers>
<sec:frame-options policy="SAMEORIGIN" />
</sec:headers>
</sec:http>
ma la domanda è,
Ho bisogno di escludere qualche pagina come
login
change_password
dal check della sessione (timeout e la concorrenza).Se si dispone di una pagina accessibile sia per utente registrato che per utente non registrato. Ma ho bisogno di fare timeout della sessione e la concorrenza verifica solo quando l'utente connesso.
Come dovrei implementare questo?
Grazie mille.