Сервисы RememberMe Spring Security с сессионным cookie-файлом

Spring Security 3 не предлагает настройки того, как создается файл cookie. Вы должны изменить поведение по умолчанию:

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices;

/** Cookie expires on session. */
 public class PersistentTokenBasedRememberMeServicesCustom extends
   PersistentTokenBasedRememberMeServices {

  /** only needed because super throws exception. */
  public PersistentTokenBasedRememberMeServicesCustom() throws Exception {
    super();
  }

  /** Copy of code of inherited class + setting cookieExpiration, */
  @Override
  protected void setCookie(String[] tokens, int maxAge,
      HttpServletRequest request, HttpServletResponse response) {
    String cookieValue = encodeCookie(tokens);
    Cookie cookie = new Cookie(getCookieName(), cookieValue);
    //cookie.setMaxAge(maxAge); 
    cookie.setPath("/");
    cookie.setSecure(false); // no getter available in super, so always false

    response.addCookie(cookie);
  }
}

Убедитесь, что вы используете этот настроенный PersistentTokenBasedRememberMeServices для себя RememberMeService, добавив имя класса в его конфигурацию bean-компонента:

<beans:bean id="rememberMeServices"
 class="my.custom.spring.PersistentTokenBasedRememberMeServicesCustom"/>

Чтобы сеанс работал правильно с балансировкой нагрузки, я бы сохранил данные вашего сеанса в базе данных sql.

Файл cookie всегда должен быть случайным значением, срок действия которого истекает. Бывают случаи, когда вы можете сохранить состояние как значение cookie, и это не представляет опасности, например, предпочтительный язык пользователя, но этого следует по возможности избегать. Включение HttpOnlyCookies - отличная идея.

Прочтите A3: «Сломанная аутентификация и управление сеансом» в топ-10 OWASP за 2010 год. Важным моментом в этом разделе является то, что https должен использоваться для всего сеанса. Если сеанс длится очень долго, то это тем более важно.

Также имейте в виду, что «Запомнить меня» создает большое окно, в котором злоумышленник может «оседлать» сеанс. Это дает злоумышленнику очень долгое время (месяцы?), В течение которого он может выполнить CSRF-атаку. Даже если у вас есть защита CSRF, злоумышленник все равно может использовать сеанс с XSS и XmlHttpRequest (HttpOnlyCookies предотвратит полный захват). «Помни меня» делает другие угрозы, такие как xss, csrf, сниффинг, более серьезными. Пока эти уязвимости устранены, у вас не должно возникнуть проблем с хакерами из реального мира.

Самый простой (и безопасный) подход к реализации функции «запомнить меня» - это изменить тайм-аут сеанса, сделав его очень большим (несколько месяцев). Если флажок «запомнить меня» снят, сохраните переменную сеанса с новым тайм-аутом (1 день с момента входа в систему). Имейте в виду, что даже если файл cookie удаляется браузером при закрытии, сеанс все еще активен на стороне сервера. Если идентификатор сеанса украден, его все еще можно использовать.