最近、あるユーザーが別のユーザーのデータを提供されるという深刻な問題に直面しました。この問題を再現することはほとんど不可能です。
Spring-security によって提供される標準のlogged-users-management を使用しています。問題は、ユーザーをインスタンス変数に保存することや、アプリの同様の同時実行性にあることではないと確信しています。
問題が SpringSecurity または Tomcat 自体にあるとは思えません。
フロントサーバーは apache httpd で、ajp コネクタ (mod_jk) 経由で tomcat に接続されています。ロード バランシングは行っていません (httpd は SSL、いくつかの URL の書き換え、およびいくつかの php モジュールの提供のみを考慮します)。
セットアップは次のとおりです。
## OS
OS Name: Linux
OS Version: 2.6.32-5-686
Architecture: i386
## Apache httpd
Server version: Apache/2.2.16 (Debian)
Server built: Sep 4 2011 20:27:42
## mod_jk
mod_jk/1.2.30 (installed via apt-get)
## JVM
JVM Version: 1.6.0_18-b18
JVM Vendor: Sun Microsystems Inc.
## Tomcat
Server version: Apache Tomcat/6.0.28
Server built: February 12 2011 1443
このセッションの混同は httpd / mod_jk のせいなので、唯一の解決策は apache httpd を削除することです。しかし、この一般的で広く使用されている構成を終了する前に、誰かが同様の問題に直面したかどうかを知りたい.
私が見つけた唯一の同様の問題は、ロード バランシングまたは mod_jk でした。
同様の問題に直面したことがありますか?ヒント、アイデア、リンク、または経験は高く評価されます。ありがとう!