@killy, Меня тоже сегодня разлогинивало

@vt, И меня вчера на двух девайсах. Причина неизвестна?

@kapsh, Ну я вчера обновил зависимости!

@killy, Интересно.
Залогинился через jabber. На juick.com ок, а на beta.juick.com так и остался разлогинен.
Получил ещё одну ссылку для логина, поправил домен на beta.juick.com, открыл — теперь везде залогинен.

@killy, И ещё раз.
При этом, если страницу открывал по ссылке из jabber-клиента, попадаешь на / вместо неё. (Следующий переход по той же ссылке открывает то что нужно.)

@killy, Как можно запросы логировать, чтобы постфактум посмотреть, а не как в web tools, только после перезагрузки страницы?

@killy, Где логгировать, не понял?

@vt, В браузере.
Поставил Live HTTP Headers.

@killy, так у вас JSESSIONID до конца сессии, чего вы хотите?

@killy, Не заставил себя ждать.

@killy, #2890880/18

@killy, куки должны быть одинаковы в обоих случаях

@killy, Да блин.
"Замечательное" свойство этого редиректа — он срабатывает даже когда я и не логинился, просто какое-то время прошло. И при этом проёбывает историю в браузере — нелзя нажать "назад", чтобы вернуться на ту страницу где был, пусть хоть разлогиненным.

@killy, По куке JSESSIONID ява/спринг узнаёт сессию.
По куке juick-remember-me спринг должен залогинить меня когда сессия закончится.

Жопа случается каждый раз, когда заканчивается сессия.

Проверяю:
— Если удалить куку juick-remember-me, я залогинен пока жива сессия, ничего необычного.
— Если удалить куку JSESSIONID и обновить страницу, то я разлогинен, но остался на той же странице.
— Если отредактировать куку JSESSIONID и обновить страницу, то меня перебрасывает на главную (invalidSessionUrl("/")), и не логинит автоматом, хотя кука juick-remember-me была на месте — вместо этого juick-remember-me затирается (видимо, заодно вызывается loginFail в rememberMeServices).
— Если не логиниться и просто смотреть сайт из под анонима, то когда кончается сессия (JSESSIONID не валидный) — меня тоже перебрасывает на главную. Т.е. проблема не связана с rememberMe.

@vt, можешь попробовать удалить/изменить JSESSIONID и посмотреть на эффект.

Дата этого поста совпадает с коммитом 418802
— springFrameworkVersion = '5.0.1.RELEASE'
— springSecurityVersion = '4.2.3.RELEASE'
+ springFrameworkVersion = '5.0.2.RELEASE'
+ springSecurityVersion = '5.0.0.RELEASE'
Видимо, там где-то что-то перетряхнулось так, что изменился порядок действий, и в моём случае теперь проверка на invalidSession срабатывает до обновления авторизации по rememberMe.

@killy, Рандомные редиректы анонима на главную — это сама по себе дикая вещь.
Если это именно то, как должен работать invalidSessionUrl("/"), то непонятно что он вообще в конфиге делает. В нашем случае вместо просроченной сессии должна создаваться новая, без редиректов.

@killy, Ну это обновление когда было, то меня тоже разлогинило один раз и тебя начало тоже. Но люди и до него жаловались же

@vt, Ты лучше скажи, что у тебя происходит, если отредактировать куку JSESSIONID и обновить страницу.

@killy, удалил JSESSIONID, ничего не произошло

@vt, новая создалась, авторизация на месте

@vt, во, а если залогиниться по хэшу, то JSESSIONID убивает авторизацию. Таки получается разные настройки где-то

@vt, в прошлом коммите починил ключ, теперь пароль, теперь кука генерится правильно, и разлогинивать не должно

@vt, и описал это в тесте. Теперь сломайте тест!