Estoy utilizando los servicios RememberMe de Spring Security para mantener a un usuario autenticado.Servicios de RememberMe de seguridad de primavera con la cookie de sesión
Me gustaría encontrar una manera simple de tener la cookie RememberMe configurada como una cookie de sesión en lugar de con un tiempo de caducidad fijo. Para mi aplicación, la cookie debe persistir hasta que el usuario cierre el navegador.
¿Alguna sugerencia sobre cómo implementar mejor esto? ¿Alguna preocupación sobre este es un posible problema de seguridad?
La razón principal para hacerlo es que con un token basado en cookies, cualquiera de los servidores detrás de nuestro equilibrador de carga puede atender una solicitud protegida sin depender de que la Autenticación del usuario se almacene en una HttpSession. De hecho, le he dicho explícitamente a Spring Security que nunca cree sesiones usando el espacio de nombres. Además, estamos utilizando Elastic Load Balancing de Amazon, por lo que las sesiones fijas no son compatibles.
NB: Aunque soy consciente de que a partir del 08 de abril, Amazon ahora es compatible con las sesiones adhesivas, todavía no quiero usarlas por varias otras razones. A saber, que el fallecimiento intempestivo de un servidor aún causaría la pérdida de sesiones para todos los usuarios asociados con él. http://aws.amazon.com/about-aws/whats-new/2010/04/08/support-for-session-stickiness-in-elastic-load-balancing/
Por qué ¿simplemente no implementa su propia implementación de RememberMe? Es bastante fácil. – lexicore
¿Duplicado? http://stackoverflow.com/questions/2594960/best-practice-to-implement-secure-remember-me – rook
@lexicore personas que implementan sus propias sesiones pueden traer verdadera devastación a su aplicación web. No reinventar la roncha. Lea mi publicación en el "duplicado?" pregunta arriba. – rook