我正在一个项目上使用Flex和Spring,我需要对我的用户进行身份验证,以便他们有机会构建他们的个人资料。
在我的服务方面,我做了两个非常简单的登录和注销方法,Flex客户端通过远程对象调用。但我注意到,除了JSESSIONID cookie之外,Spring没有设置任何其他身份验证特定的cookie。因此,当我尝试执行特定于auth的操作(例如,注销)或从特定服务请求数据时,服务器会中断我的客户端状态,因为会话可能已过期。但是,客户对此一无所知。
事实上,我不希望会话至少在我完全关闭浏览器之前到期。我认为正常的JSESSION到期时间是30分钟,如果我们谈论服务器是完全可以理解的,因为服务器必须对会话(相应的线程)进行合理及时的管理。
这就是为什么我需要第二个AUTH cookie,默认情况下会在浏览器关闭时到期。但是,我也在考虑实施类似“记住我”的内容,这应该会在14天内将到期日期延长。
BTW,我认为Spring Security会自动处理这个问题,默认情况下设置一个AUTH cookie,但事实并非如此。我认为它至少是当前会话的身份验证实例,因为在我登录之后,我发生的所有安全规则都绝对正常......当然,直到Jsession到期为止。注意:无论您提出什么建议,请记住,还有一个正在开发的AJAX客户端,它或多或少会使用相同的基础架构,因此cookie解决方案必须适用于两者。
感谢。
答案 0 :(得分:0)