spring-security 3.1.3 を使用して既存のアプリケーションを 4.0.1 に移行しています。現在のコードでは、以下のように NullAuthenticatedSessionStrategy が使用されていることがわかります
<sec:http>
..
<sec:session-management session-authentication-strategy-ref="ss"/>
</sec:http>
<bean id="ss" class="org.springframework.security.web.authentication.session.NullAuthenticatedSessionStrategy"/>
4.0.1 スプリング セキュリティ用に移行したコードでは、そのままにしておくと、SessionFixationProtectionStrategy が使用されているようです。したがって、session-fixation-protection=none を使用して保護をオフにしました。
<sec:session-management session-fixation-protection="none"/>
Q-1; ここでは、 NullAuthenticatedSessionStrategy を使用する場合と、上記のように保護をオフにする場合の違いは明確ではありません。
Q-2; 現在のコードのように NullAuthenticatedSessionStrategy を使用したい場合、4.0.1 でそれを行うにはどうすればよいですか?
ありがとう