使用没有 Cookie 的 Spring Security

Posted

技术标签:

【中文标题】使用没有 Cookie 的 Spring Security【英文标题】:Using Spring Security Without Cookies 【发布时间】:2011-09-14 22:37:05 【问题描述】:

我需要在不支持 cookie 的移动浏览器的 Spring 应用中实现会话管理。这可以通过将会话 ID 放在 GET 请求的查询字符串中来完成吗?您如何使用 Spring 进行管理?有没有我缺少的内置选项?我应该编写自己的身份验证过滤器吗?这种方法是否需要考虑特殊的安全问题?

我们正在运行 Spring 2.0.6,所以我将使用 Spring Security 2。

【问题讨论】:

【参考方案1】:

尝试使用<http disable-url-rewriting="false">。这会将会话 ID 附加到 URL。

【讨论】:

以上是关于使用没有 Cookie 的 Spring Security的主要内容,如果未能解决你的问题,请参考以下文章

express中的会话存储方式

spring security 1

Spring Security 中会话 cookie 的同站点标志

Java中Cookie常用操作类(Spring中操作Cookie)

Chrome SameSite=无;安全 Cookie 设置 - 您在第一方和第三方环境中访问的 Cookie

Spring Security 返回 403 而不是 401 并创建无效的 Redis 会话 cookie