Tôi đang sử dụng Dịch vụ RememberMe của Spring Security để giữ cho người dùng được xác thực.Bảo mật mùa xuân Dịch vụ RememberMe với Cookie phiên
Tôi muốn tìm một cách đơn giản để đặt cookie RememberMe thành cookie phiên chứ không phải là thời gian hết hạn cố định. Đối với ứng dụng của tôi, cookie sẽ vẫn tồn tại cho đến khi người dùng đóng trình duyệt.
Bất kỳ đề xuất nào về cách triển khai tốt nhất điều này? Mọi lo ngại về vấn đề này có phải là vấn đề an ninh tiềm ẩn không?
Lý do chính để làm như vậy là với mã thông báo dựa trên cookie, bất kỳ máy chủ nào trong số các máy chủ của chúng tôi có thể bảo vệ yêu cầu được bảo vệ mà không dựa vào Xác thực của người dùng được lưu trữ trong HttpSession. Trong thực tế, tôi đã nói rõ ràng với Spring Security để không bao giờ tạo các session bằng cách sử dụng không gian tên. Hơn nữa, chúng tôi đang sử dụng Cân bằng tải đàn hồi của Amazon và các phiên cố định không được hỗ trợ.
NB: Mặc dù tôi biết rằng kể từ ngày 8 tháng 4, Amazon hiện hỗ trợ các phiên cố định, tôi vẫn không muốn sử dụng chúng vì một số lý do khác. Cụ thể là sự sụp đổ không kịp thời của một máy chủ sẽ vẫn gây ra việc mất các phiên cho tất cả người dùng được liên kết với nó. http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/
Tại sao bạn không đơn giản triển khai thực hiện RememberMe của riêng bạn? Nó khá dễ. – lexicore
Sao chép? http://stackoverflow.com/questions/2594960/best-practice-to-implement-secure-remember-me – rook
@lexicore người thực hiện các phiên của riêng họ có thể mang lại sự tàn phá thực sự cho ứng dụng web của bạn. Đừng tái phát minh ra sự rên rỉ. Đọc bài đăng của tôi trên "trùng lặp?" câu hỏi trên. – rook