实际上我刚刚开始在webapp中使用spring mvc,而且我遇到了处理身份验证和会话的Spring安全问题。我的问题是它如何处理会话,我可以创建自己的会话ID引用以供Spring安全使用。我确实使用了弹簧安全性,但有点让我觉得它的过程是盲目的。另一件事是,我可以添加我自己的会话服务,如果它可以实现,你可以让我深入了解我在哪里可以开始..此外,我很抱歉我的英语,如果这是一个重复的问题,虽然我认为有关春季安全的话题不符合我的想法......感谢您的反馈......
答案 0 :(得分:0)
Spring安全实现似乎没有直接与HTTP会话绑定,请查看此包org.springframework.security.core.session,SessionCreationEvent,SessionDestroyedEvent和SessionInformation。 SessionInformation假设您有会话的字符串ID,但没有其他内容。
现在你看一下SessionRegistryImpl java doc说你必须在你的web.xml中添加org.springframework.security.web.session.HttpSessionEventPublisher,以便注册表通知会话事件。因此,如果您想提供自己的会话管理实现,只需将HttpSessionEventPublisher替换为您自己的实现。
答案 1 :(得分:0)
Spring Security可以自行处理会话。如果您发出请求,它会在响应中附加会话ID。如果您愿意,您可以阅读并存储它,因此您可以将其作为cookie发送回来。我们在Android应用程序中使用此方法,因为它不像Web浏览器那样自动处理它。 如果您正在制作Web应用程序,浏览器将存储并发回会话ID,因此您不必担心它。