Реализация запомнить меня без ключа

Question

Я нашел несколько примеров, которые реализуют функцию запомнить меня, просто

<remember-me/>

и другие образцы реализуют его как:

<remember-me key="_spring_security_remember_me"/>

и я хочу знать, в чем разница между этими двумя объявлениями, и является ли _spring_security_remember_me предопределенным ключом? спасибо.

Answer 1

Ключ по умолчанию можно найти в AuthenticationConfigBuilder.createRememberMeFilter()

    final String DEF_KEY = "SpringSecured";

Это значение используется, если вы не указали его в <remember-me>

Answer 2

Из документации атрибут key используется для хеширования значения, хранящегося в файле cookie.Это предотвращает попытки злоумышленника расшифровать cookie, потому что они не могут сделать это (ну, это намного сложнее) без ключа.