我正在使用Spring Security的RememberMe服务来保持用户身份验证。

我想找到一种简单的方法来将RememberMe cookie设置为 session cookie,而不是设置固定的到期时间。对于我的应用程序,cookie应该一直存在,直到用户关闭浏览器为止。

关于如何最好地实现这一点的任何建议?是否担心这是一个潜在的安全问题?

这样做的主要原因是,使用基于cookie的 token ,负载均衡器后面的任何服务器都可以为 protected 请求提供服务,而无需依赖用户的Authentication来存储在HttpSession中。实际上,我已经明确地告诉Spring Security不要使用命名空间创建 session 。此外,我们使用的是Amazon的Elastic Load Balancing,因此不支持粘性 session 。

注意:尽管我知道从4月8日起,亚马逊现在支持粘性 session ,但出于其他一些原因,我仍然不希望使用它们。即,一台服务器的不合时宜的消亡仍然会导致与之关联的所有用户的 session 丢失。
http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/

最佳答案

Spring Security 3不提供有关cookie生成方式的配置。您必须覆盖默认行为:

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;

/** Cookie expires on session. */
 public class PersistentTokenBasedRememberMeServicesCustom extends
   PersistentTokenBasedRememberMeServices {

  /** only needed because super throws exception. */
  public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
    super();
  }

  /** Copy of code of inherited class + setting cookieExpiration, */
  @Override
  protected void setCookie(String[] tokens, int maxAge,
      HttpServletRequest request, HttpServletResponse response) {
    String cookieValue = encodeCookie(tokens);
    Cookie cookie = new Cookie(getCookieName(), cookieValue);
    //cookie.setMaxAge(maxAge);
    cookie.setPath("/");
    cookie.setSecure(false); // no getter available in super, so always false

    response.addCookie(cookie);
  }
}

确保通过将类名添加到其bean配置中来为您的RememberMeService使用此自定义的PersistentTokenBasedRememberMeServices:
<beans:bean id="rememberMeServices"
 class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>

09-05 19:07
查看更多