Timeout de context Spring

Version imprimable

26/05/2010, 11h28
samalairbien

Timeout de context Spring
Bonjour.

Je m'en remets à vous car j'ai un soucis avec le contexte de sécurité Spring.

Le contexte de mon projet est le suivant :
- appli java/jee
- authentification à partir d'un annuaire LDAP via un projet propriétaire;
- sécurisation des pages JSP à l'aide de Spring Security.
Après l'authentification d'un utilisateur sur l'application, je fais un
Code:

1 2 SecurityContext secuContext = ... ; SecurityContextHolder.setContext(secuContext)
pour mettre sur le thread local le jeton de sécurité de Spring qui contient notamment les droits de l'utilisateur, que je peux ensuite utiliser dans mes JSP à l'aide du tag

Code:

<security:authorize ifAnyGranted="...">...</security:authorize>

. Jusque là, tout se passe bien.

Le problème, c'est que, au bout de quelques secondes d'inactivité, mon contexte Spring semble disparaitre. Après étude, il semblerait que la méthode

Code:

SecurityContextHolder.clearContext()

soit appelée. Ma question est donc la suivante :
- savez-vous par quoi est appelée cette méthode ?
- où définit-on le timeout qui rend invalide le contexte de sécurité Spring ?

Pour info, mon session-timeout est fixé à 15 minutes, donc je ne pense pas que ce soit ça le problème.

J'espère que vous saurez m'aider, car je galère pas mal à vrai dire...
Merci d'avance.
26/05/2010, 15h51
samalairbien

Après vérification, la méthode cleanContext() n'est pas appelée. C'est directement l'attribut authentication qui devient au bout d'un moment null dans le contexte de sécurité SecurityContext, et je ne sais pas pourquoi ni comment...

Une idée ?..
28/05/2010, 21h42
thebloodyman

Et quelle est la manifestation exacte de ton problème lorsque SecurityContextHolder.getContext().getAuthentication() passe à null ?

Es tu sûr que ton prob soit vraiment une question d'inactivité ?
Si tu restes un moment sur une jsp qui fonctionne bien et que tu fais un refresh du navigateur, ton objet authentication passe aussi à null ?

Je te pose la question car a ma connaissance (limitée), Spring Security ne gère pas nativement de Timeout.

Je suspecte plutôt un appel vers une url qui passe à la trappe le filtre de sécurité de Spring Security.

Pour commencer, j'aimerais bien voir la partie filter/filter-mapping de ton web.xml.