В Glassfish использую JDBC Realm для авторизации. В самом web-приложении есть jsf-ссылка для выхода из системы со следующим кодом:




где:




Когда я на нее нажимаю, то попадаю на страницу логина. Ввожу иные, чем были, логин и пароль - система все-равно авторизуется под тем пользователем, под которым в нее заходили изначально.

В чем может быть проблема?

Это просто потрясающе!

авторIn "core JAVASERVER(TM) FACES, THIRD EDITION" from DAVID GEARY and CAY HORSTMANN on page 525 I found the following comment: "NOTE: Currently, there is no specification for logging off or for switching identities when using container-managed security. This is a problem, particularly for testing web applications. GlassFish and Tomcat use cookies to represent the current user. You need to quit and restart your browser (or at least clear personal data) whenever you want to switch your identity."

So currently it seems logging out is only possible with application managed security, i.e. it needs to be programmed within the application.

В спецификации JSF нет способа сделать логаут иначе как перезапуском браузера.

ivanraG.CollectorВ спецификации JSF нет способа сделать логаут иначе как перезапуском браузера.
На самом деле автор ни слова не говорит про JSF, а сообщает лишь о том, как обстоят дела с контейнерной аутентификацией в GlassFish and Tomcat. Да и javax.servlet.http.HttpSession.invalidate() не имеет к JSF никакого отношения.
Используйте Jboss, и ваше приложение будет правильно отрабатывать команду HttpSession.invalidate(). Проверено - работаетА существует способ как заставить ее корректно отрабатывать в GlassFish?