Spring Framework使用(或在它支持的选项之一中)加密的 cookie 将登录用户的 userId 存储在 cookie 中?
这就是 ASP.NET 身份验证的工作原理,它加密 cookie 中的值,通常是 userId 或用户名。
Spring 就是这样做的吗? (我知道 Spring 让你选择,但这是通常最常见的方法吗?)
最佳答案
我没有方便的来源来证明这一点,但问题的答案是否定的。
Spring Security 在服务器端处理一切。客户端上唯一的 cookie 是 JSESSIONID 的 cookie,安全框架仅检查请求 session 中的身份验证/主体对象(至少在默认设置下)。
如果您可以简单地存储 sessionID 并在服务器端跟踪身份验证详细信息和状态,我不明白为什么您会在客户端的 cookie 中存储任何类型的身份验证信息。
关于java - Spring 身份验证,它是否使用加密的 cookie?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2069392/