Spring Security / JSF / Hibernate Случайное угонение сеанса на Tomcat?

Что-то очень странное и смущающее случилось со мной на днях, и у меня нет слов, чтобы описать, что произошло.

Мое приложение работает под управлением Spring 3, интегрированного с JSF 2.1, Hibernate 4, Spring Security и Tomcat 7. Я разговаривал по телефону с кем-то важным из C-level, и мы оба одновременно работали в тестовой среде на тех же страницах. Он пошел, чтобы перейти на страницу, к которой я переходил, в тот же момент, когда на его странице появились данные моей личной учетной записи. Я не поверил ему, поэтому я подошел к его офису и, конечно же, он как-то вошел в мою учетную запись, для которой у него нет пароля.

Приложение будет защищать информацию о состоянии здоровья пациентов, поэтому мне было приказано предоставить полный уровень отчета о том, что произошло, но я не могу найти, как это было возможно. Я искал кодовую базу и ничего не придумал. Я несколько раз пытался воспроизвести точный сценарий и так и не смог его воспроизвести. У меня даже нет образованного предположения, что я счастлив.

Я думаю, что, возможно, в сеансах, хранимых в реализации контекста приложения Tomcat, могли быть некоторые небезопасные операции с потоками, но у меня нет возможности доказать это, если это не воспроизводимо. Я также подумал, что поскольку Spring Security работает как фильтр, опережая другие запросы и перенаправляя, возможно, вмешивался один из других фильтров сервлетов. Двумя другими были фильтр загрузки файлов Primefaces и фильтр Omnifaces SEO, который я недавно добавил.

Фильтр Omnifaces фактически мешал фильтру загрузки файлов Primefaces, который мне пришлось изменить с его конфигурацией, чтобы они оба играли друг с другом, так что я все еще чувствую, что это тоже возможно.

Есть ли какие-либо известные ошибки в Spring Security, которые вызвали подобные проблемы? Есть ли известные проблемы с Tomcat, связанные с случайным обслуживанием неправильного состояния сеанса из ApplicationContext? Кто-нибудь еще сталкивался с подобной проблемой или имел какое-то уникальное понимание этого?

РЕДАКТИРОВАТЬ: Вскоре после публикации я обнаружил, что опубликовал только несколько дней назад:

Смешивание сессии - apache httpd с mod_jk, tomcat, spring security - обслуживание данных другого пользователя

Это почти такая же настройка, как и у меня плагин Apache httpd + mod_jk перед Tomcat, так что я точно не сумасшедший :)

ОБНОВИТЬ:

Я смог воспроизвести проблему в моей среде разработки без mod_jk или Apache, поэтому я могу с уверенностью исключить это как виновника.

Ответы на вопрос(1)

Ваш ответ на вопрос