Я работаю с Flex и Spring над проектом, в котором мне нужно аутентифицировать своих пользователей, чтобы дать им возможность создавать свои личные профили.
В сфере услуг я сделал два очень простых метода: войти в систему иlogout, который клиент Flex вызывает через удаленный объект.Однако я заметил, что кроме cookie-файла JSESSIONID Spring не устанавливает никаких других специфических cookie-файлов для аутентификации.Таким образом, когда я пытаюсь сделать что-то конкретное для аутентификации, например, выйти из системы или запросить данные у определенной службы, сервер нарушает состояние моего клиента, потому что сеанс мог истечь.Тем не менее, клиент ничего об этом не знает.
На самом деле, я не хочу, чтобы сеансы заканчивались, по крайней мере, до тех пор, пока я полностью не закрою браузер.Я думаю, что нормальное время истечения JSESSION составляет 30 минут, что, если говорить о сервере, вполне понятно, поскольку на сервере должно быть достаточно своевременное управление открытыми сеансами (соответственно потоками).
Вот почему мне нужен второй файл cookie AUTH, который по умолчанию истекает при закрытии браузера.Тем не менее, я также думаю о реализации чего-то вроде «Запомнить меня», которое должно увеличить срок действия на 14 дней.
Кстати, я предположил, что Spring Security позаботится об этом автоматически, установив файл cookie AUTH по умолчанию., Но это не так.Я думаю, что это, по крайней мере, экземпляр аутентификации с текущим сеансом, поскольку после того, как я вхожу в систему, все правила безопасности, которые у меня есть, выполняются абсолютно нормально ... до истечения Jsession, конечно.
ПРИМЕЧАНИЕ: Что бы вы ни предлагали, имейте в виду, что в стадии разработки находится также клиент AJAX, который будет более или менее использовать одну и ту же инфраструктуру, поэтому решение для файлов cookie должно применяться к обоим.
Спасибо.