我正在使用Spring Security的RememberMe服务来保持用户的身份验证.
我想找到一种简单的方法将RememberMe cookie设置为会话cookie而不是固定的到期时间.对于我的应用程序,cookie应该持续到用户关闭浏览器.
有关如何最好地实现这一点的任何建议?对此的任何担忧都是潜在的安全问题?
这样做的主要原因是,使用基于cookie的令牌,我们的负载均衡器后面的任何服务器都可以为受保护的请求提供服务,而无需依赖用户的身份验证来存储在HttpSession中.事实上,我明确告诉Spring Security永远不会使用命名空间创建会话.此外,我们使用的是亚马逊的Elastic Load Balancing,因此不支持粘性会话.
注意:虽然我知道截至4月8日,亚马逊现在支持粘性会话,但我仍然不想出于其他一些原因使用它们.也就是说,一台服务器的不合时宜的消亡仍会导致与之相关的所有用户丢失会话.
http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/
最佳答案
Spring Security 3不提供cookie生成方式的配置.您必须覆盖默认行为:
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;
/** Cookie expires on session. */
public class PersistentTokenBasedRememberMeServicesCustom extends
PersistentTokenBasedRememberMeServices {
/** only needed because super throws exception. */
public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
super();
}
/** Copy of code of inherited class + setting cookieExpiration,*/
@Override
protected void setCookie(String[] tokens,int maxAge,HttpServletRequest request,HttpServletResponse response) {
String cookieValue = encodeCookie(tokens);
Cookie cookie = new Cookie(getCookieName(),cookieValue);
//cookie.setMaxAge(maxAge);
cookie.setPath("/");
cookie.setSecure(false); // no getter available in super,so always false
response.addCookie(cookie);
}
}
确保您使用这个自定义的PersistentTokenBasedRememberMeServices为您记住,通过将类名添加到它的bean配置中来记住: