我正在使用Spring Security的RememberMe服务来保持用户身份验证。
我想找到一种简单的方法来将RememberMe cookie设置为 session cookie,而不是设置固定的到期时间。对于我的应用程序,cookie应该一直存在,直到用户关闭浏览器为止。
关于如何最好地实现这一点的任何建议?是否担心这是一个潜在的安全问题?
这样做的主要原因是,使用基于cookie的 token ,负载均衡器后面的任何服务器都可以为 protected 请求提供服务,而无需依赖用户的Authentication来存储在HttpSession中。实际上,我已经明确地告诉Spring Security不要使用命名空间创建 session 。此外,我们使用的是Amazon的Elastic Load Balancing,因此不支持粘性 session 。
注意:尽管我知道从4月8日起,亚马逊现在支持粘性 session ,但出于其他一些原因,我仍然不希望使用它们。即,一台服务器的不合时宜的消亡仍然会导致与之关联的所有用户的 session 丢失。
http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/
最佳答案
Spring Security 3不提供有关cookie生成方式的配置。您必须覆盖默认行为:
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;
/** Cookie expires on session. */
public class PersistentTokenBasedRememberMeServicesCustom extends
PersistentTokenBasedRememberMeServices {
/** only needed because super throws exception. */
public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
super();
}
/** Copy of code of inherited class + setting cookieExpiration, */
@Override
protected void setCookie(String[] tokens, int maxAge,
HttpServletRequest request, HttpServletResponse response) {
String cookieValue = encodeCookie(tokens);
Cookie cookie = new Cookie(getCookieName(), cookieValue);
//cookie.setMaxAge(maxAge);
cookie.setPath("/");
cookie.setSecure(false); // no getter available in super, so always false
response.addCookie(cookie);
}
}
确保通过将类名添加到其bean配置中来为您的RememberMeService使用此自定义的PersistentTokenBasedRememberMeServices:
<beans:bean id="rememberMeServices"
class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>