我正在开发一个在Tomcat 7中部署了2个webapps的环境 . 一个使用form,openid验证用户,记住我的cookie或x509证书 . 这个工作正常,并使用记住我cookie生成时正确验证 .
问题出在第二个(客户端):
当登录请求从第一个请求返回到客户端时,我看不到任何cookie . 我很确定它们位于同一个域(localhost),cookie路径是“/”,但浏览器(firefox)没有将cookie发送到客户端 .
如果我想使用生成的记住我的cookie在客户端进行身份验证,我是否需要在Spring的安全性中包含所有记住我的cookie?
记住我的cookie是一个好方法吗?我需要像siteminder或其他更好的方法吗?
提前致谢 . 答案将被投票
1 回答
检查从服务器发回的cookie信息(如果您使用的是Firefox,请使用Firebug监控网络流量) .
检查域和路径,以及cookie是否标记为安全 . 如果记住我的cookie是通过安全连接发出的,它将被标记为安全,浏览器将不会通过HTTP发送它 .
如果是这种情况,则必须显式覆盖它(尽管您可以在
remember-me
命名空间元素中设置use-secure-cookie
属性 .