【发布时间】:2012-01-15 14:04:33
【问题描述】:
当您登录到本教程中描述的 Spring 安全性表单时,Spring 会话如何工作? http://static.springsource.org/spring-security/site/tutorial.html
它是基于 cookie 的吗?我不确定到底发生了什么让用户登录并记住它并让您在浏览会话的剩余时间保持登录状态。
【问题讨论】:
标签: spring jakarta-ee spring-security
【发布时间】:2012-01-15 14:04:33
【问题描述】:
它是基于 cookie 的,类似于 servlet 维护会话的方式。如果 cookie 被禁用,您将不得不求助于 URL 重写。根据常见问题解答here。
“它看到的只是 HTTP 请求,并根据它们包含的 JSESSIONID cookie 的值将这些请求绑定到特定会话。当用户在会话期间进行身份验证时,Spring Security 的并发会话控制检查其他经过身份验证的数量他们拥有的会话。如果他们已经通过同一个会话进行身份验证,则重新身份验证将无效。"
还有
“如果客户端禁用了 cookie,并且您没有重写 URL 以包含 jsessionid,那么会话将丢失。请注意,出于安全原因,首选使用 cookie,因为它不会在网址。”
请参阅 here 了解单点登录功能
【讨论】:
-
这与 Remember-Me 有何不同?
-
如果我没记错的话,会话是使用 JSESSIONID cookie 跟踪的,而记住我 cookie 是一个不同的cookie,名称为“SPRING_SECURITY_REMEMBER_ME_COOKIE”。其中包含的信息用于“记住我”使用.