Tworzę sobie aplikację z użyciem spring security do autentykacji. Zgodnie z zaleceniami w necie ustawiłem w configu session config na stateless. Ale czy to lepsze rozwiązanie niż z ciasteczkiem?
<security:http
realm="Protected API"
use-expressions="true"
auto-config="false"
create-session="stateless"
entry-point-ref="unauthorizedEntryPoint"
authentication-manager-ref="authenticationManager">...
Bo z tego co wyczytałem to w takim przypadku każdy request jest sprawdzany pod względem autentykacji za pomocą tokenów - ale jak to faktycznie działa? Które rozwiązanie jest lepsze dla aplikacji nie-bankowo-płatniczej(bo zapewne w tym wypadku tworzenie sesji jest wymagane)? A to ma być aplikacyjka raczej społecznościowa ale też ma być wystarczająco bezpieczna.
A! Jeszcze jedno-kiedy zmienie na create-session="always" jsession id można zobaczyć w opcjach dev przglądarki ale czy to nie powinno działać tak, że jak otworze aplikacje w nowej karcie to dalej powinienem być zalogowany?(nie jestem) oraz po wylogowaniu trzeba jakoś specjalnie zabić sesję czy spring się tym zajmie?
Jeszcze jedno! :D Frontem jest angular - to też chyba ma znaczenie. Bo podobno w takim połączeniu zalecany jest stateless.