Lorsqu'un client non authentifié demande une URL qui requiert un non-anonyme le niveau d'accès tel que défini dans l' security-config.xml, spring security envoie une redirection HTTP vers notre page de connexion (par exemple, /login). C'est très bien.
Le problème est qu'en l'absence d'une session existante (identifié par un cookie fournis dans la demande du client), le printemps des questions de sécurité une redirection qui précise également le client de la nouvelle session dans l'URL, par exemple, /login;jsessionid=8o7pglapojus.
De nombreux contenants à l'appui de cette (apparemment, il fonctionne très bien dans tomcat?), mais il semble que Jetty (qui est ce que nous utilisons pour le moment) n'est pas, l'URL redirigée vient grâce à notre URL routeur complètement intacte (y compris l' jsessionid "paramètre"), et la session n'est pas associé à l' /login demande par jetty/printemps-sécurité (c'est à dire un tout nouvel ID de session est fourni dans le Set-Cookie-tête de la réponse à l' /login demande).
On peut contourner ce par correspondance /login.* dans nos itinéraires, mais je suis curieux de savoir si il existe un moyen d'éviter l'émission de l'id de session dans l'authentification de redirection pour commencer.
