我正在使用Spring Security构建一个Web应用程序,该应用程序将驻留在Amazon EC2上并使用Amazon的Elastic Load Balancer。不幸的是,ELB不支持粘性会话,因此我需要确保我的应用程序无需会话即可正常运行。
到目前为止,我已经设置了RememberMeServices来通过cookie分配令牌,并且可以正常工作,但是我希望cookie在浏览器会话中过期(例如,当浏览器关闭时)。
我必须想象我不是第一个不想在没有会话的情况下使用Spring Security的人…有什么建议吗?
在带有Java Config的 Spring Security 3中,可以使用HttpSecurity.sessionManagement():
@Override protected void configure(final HttpSecurity http) throws Exception { http .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); }