मैं उपयोगकर्ता प्रमाणित रखने के लिए स्प्रिंग सिक्योरिटी की यादगार सेवाओं का उपयोग कर रहा हूं।वसंत सुरक्षा याद रखें मेरी कुकी सत्र
मैं एक निश्चित समाप्ति समय के बजाय यादगार कुकी को सत्र कुकी के रूप में सेट करने का एक आसान तरीका ढूंढना चाहता हूं। मेरे आवेदन के लिए, कुकी तब तक जारी रहनी चाहिए जब तक कि उपयोगकर्ता ब्राउज़र बंद नहीं कर लेता।
इस पर सबसे अच्छा तरीका कैसे लागू करें इस पर कोई सुझाव? इस पर कोई चिंता एक संभावित सुरक्षा समस्या है?
ऐसा करने का प्राथमिक कारण यह है कि कुकी-आधारित टोकन के साथ, हमारे लोड बैलेंसर के पीछे के किसी भी सर्वर को किसी HttpSession में संग्रहीत करने के लिए उपयोगकर्ता के प्रमाणीकरण पर भरोसा किए बिना संरक्षित अनुरोध की सेवा कर सकते हैं। असल में, मैंने स्प्रिंग सिक्योरिटी को स्पष्ट रूप से नामस्थान का उपयोग करके सत्र बनाने के लिए कहा है। इसके अलावा, हम अमेज़ॅन के लोचदार लोड संतुलन का उपयोग कर रहे हैं, और इसलिए चिपचिपा सत्र समर्थित नहीं हैं।
एनबी: हालांकि मुझे पता है कि अप्रैल 08 तक, अमेज़ॅन अब चिपचिपा सत्रों का समर्थन करता है, फिर भी मैं उन्हें कुछ अन्य कारणों से उपयोग नहीं करना चाहता हूं। अर्थात् एक सर्वर का असामयिक निधन अभी भी इसके साथ जुड़े सभी उपयोगकर्ताओं के लिए सत्रों के नुकसान का कारण बन जाएगा। http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/
क्यों क्या आप बस अपने खुद के RememberMe कार्यान्वयन को लागू नहीं करते हैं? यह काफी आसान है। – lexicore
डुप्लिकेट? http://stackoverflow.com/questions/2594960/best-practice-to-implement-secure-remember-me – rook
@lexicore लोग अपने स्वयं के सत्र लागू करने वाले लोगों को आपके वेब ऐप पर वास्तविक विनाश ला सकते हैं। पहिया का पुन: आविष्कार न करें। "डुप्लिकेट" पर मेरी पोस्ट पढ़ें? ऊपर सवाल – rook