我正在开发一个在Tomcat 7中部署了2个webapps的环境。一个使用form,openid对用户进行身份验证,记住我的cookie或x509证书。这个按预期工作,并使用记住我的cookie在生成时正确验证。
问题在于第二个问题(客户端):
当登录请求从第一个请求返回给客户端时,我看不到任何cookie。我很确定它们位于同一个域(localhost),而cookie路径是" /"但是浏览器(firefox)没有将cookie发送给客户端。
如果我想使用生成的记住我的cookie在客户端进行身份验证,我是否需要在Spring的安全性中包含所有记住我的cookie?
记住我的cookie是一个好方法吗?我需要像siteminder或其他更好的方法吗?
提前致谢。答案将被投票
答案 0 :(得分:0)
检查从服务器发回的cookie信息(如果您使用的是Firefox,请使用Firebug监控网络流量)。
检查域和路径,以及cookie是否标记为安全。如果记住我的cookie是通过安全连接发出的,它将被标记为安全,浏览器不会通过HTTP发送它。
如果是这种情况,您必须明确覆盖它(尽管您最好始终使用HTTPS)。您可以在use-secure-cookie命名空间元素中设置remember-me属性。