Spring security session config

Tworzę sobie aplikację z użyciem spring security do autentykacji. Zgodnie z zaleceniami w necie ustawiłem w configu session config na stateless. Ale czy to lepsze rozwiązanie niż z ciasteczkiem?

<security:http
			realm="Protected API"
			use-expressions="true"
			auto-config="false"
			create-session="stateless"
			entry-point-ref="unauthorizedEntryPoint"
			authentication-manager-ref="authenticationManager">...

Bo z tego co wyczytałem to w takim przypadku każdy request jest sprawdzany pod względem autentykacji za pomocą tokenów - ale jak to faktycznie działa? Które rozwiązanie jest lepsze dla aplikacji nie-bankowo-płatniczej(bo zapewne w tym wypadku tworzenie sesji jest wymagane)? A to ma być aplikacyjka raczej społecznościowa ale też ma być wystarczająco bezpieczna.

A! Jeszcze jedno-kiedy zmienie na create-session="always" jsession id można zobaczyć w opcjach dev przglądarki ale czy to nie powinno działać tak, że jak otworze aplikacje w nowej karcie to dalej powinienem być zalogowany?(nie jestem) oraz po wylogowaniu trzeba jakoś specjalnie zabić sesję czy spring się tym zajmie?

Jeszcze jedno! :D Frontem jest angular - to też chyba ma znaczenie. Bo podobno w takim połączeniu zalecany jest stateless.

Liczba odpowiedzi na stronę

Spring security session config

1 użytkowników online, w tym zalogowanych: 0, gości: 1

Praca dla programistów

Forum dyskusyjne

Sprawy administracyjne

O nas

Skontaktuj się z nami