Spring session似乎是一个非常有趣的项目,但我没有找到太多关于如何将其恰当地整合到spring安全应用程序中的信息。github项目页面上的自述文件中有一些信息,但我认为这些信息不适用于spring安全。在同一页上提到的另一个例子是利用这种机制进行REST访问。这是另一个我认为可以从示例中受益的用例。
我有一个奇怪的问题,在我重新生成会话ID之后,使用cookie似乎失去了它的“安全,HttpOnly”标志。true // this is the httpOnly flag you need to set
但是veracode (我们使用它进行安全测试)并不确定,因为第一个cookie (重新生成的cookie)在头中没有安全的HttpOnly标记。PHPSESSID=18a289a6c8d34b0df72dafc9d5e12c92