Я использую Spring Security RememberMe Services для аутентификации пользователя.
Я хотел бы найти простой способ установить файл cookie RememberMe как файл cookie сеанса, а не с фиксированным сроком действия. В моем приложении файл cookie должен сохраняться до тех пор, пока пользователь не закроет браузер.
Любые предложения о том, как лучше всего это реализовать? Есть ли опасения по поводу того, что это потенциальная проблема безопасности?
Основная причина этого заключается в том, что с помощью токена на основе файлов cookie любой из серверов, стоящих за нашим балансировщиком нагрузки, может обслуживать защищенный запрос, не полагаясь на аутентификацию пользователя, которая будет храниться в HttpSession. Фактически, я прямо сказал Spring Security никогда не создавать сеансы с использованием пространства имен. Кроме того, мы используем эластичную балансировку нагрузки Amazon, поэтому липкие сеансы не поддерживаются.
NB: Хотя мне известно, что с 8 апреля Amazon теперь поддерживает липкие сеансы, я по-прежнему не хочу использовать их по ряду других причин. А именно, что безвременная остановка одного сервера все равно приведет к потере сеансов для всех пользователей, связанных с ним. http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/