Ich habe eine Anwendung in Grails mit Feder-Sicherheit für Benutzer und Rollen-Management. Seit ein paar Tagen habe ich ein seltsames Problem: Wenn sich ein Benutzer irgendwann anmeldet, wird der Benutzer ein anderer Benutzer (Session-Mix).Angemeldet Benutzer Sitzung verwechseln in Grals Frühling Sicherheit auf Kater
Beispiel: Benutzer A meldet sich beim System an, Benutzer B meldet sich beim System von einem anderen Browser an. Bei Bewegung durch Controlleraktionen wird Benutzer A zu Benutzer B in System A, ebenso wie Benutzer B.
Dieses Problem ist in der PRODUKTION und nicht in der Entwicklung.
Ich habe einige ähnliche Fälle über das Internet gefunden, aber keine der Grals. Spring Security/JSF/Hibernate Accidental Session Hijacking on Tomcat?, diese ähnliche, aber in JSF und Lösung erwähnt scheint nicht für mich zu arbeiten. Eine andere ist Session mix up - apache httpd with mod_jk, tomcat, spring security - serving data of other user, aber hier scheint die Ausgabe wegen mod_jk zu sein, was bei mir nicht der Fall ist (ich habe mod_jk nicht benutzt).
Meine Systemversionen:
- Grails Version: 3.2.4
- Groovy Version: 2.4.7
- JVM Version: 1.8.0_05
- Version Server: Apache Tomcat/8.5.14
- JVM Version: 1.8.0_121-8u121-b13-0ubuntu1.16.04.2-b13
Der Schlüssel wird etwas beim ISP sein. Etwas in ihrer Infrastruktur, ein Web-Proxy oder etwas anderes. –
Aber würde der ISP wirklich die Benutzersession beeinflussen, die von der Federsicherheit verfolgt wird? Weil ich kein Problem mit Seitenumleitung oder irgendetwas solcher aber der Sitzung habe, die ich denke, wird durch Frühlingssicherheit und Tomcat aufrechterhalten. – Jumper
Es klingt wie der Cookie-Wert (Sitzungs-ID), der verwendet wird, um einen Browser mit einer Sitzung zu verknüpfen, wird irgendwo während der Anforderung ausgetauscht, die durch den ISP reist, bevor es den Server erreicht. Haben Sie versucht, HTTPS zu verwenden und Cookies zu sichern? Vielleicht verhindern Sie dies. –