Spring security 会话身份验证的最佳策略是什么

Question

我有一个 Spring MVC Web 应用程序，没有安全区域，因此所有用户都可以看到所有页面，但是我有一个 Facebook 日志，使用 Spring Social，并且我确实通过会话 ID 来识别每个用户。场景是，用户可以以访客身份查看页面，其中应用程序通过会话 ID 识别他（或她），当用户使用他（或她）的 Facebook 帐户登录时，会为该用户保存一条记录以及相应的信息。脸书数据。 下次用户访问该应用程序时，我希望能够识别他。 我考虑过使用 Spring Security 记住我功能（以及将来可能使用的基础设施）。

所以我的问题是，Spring Security 是适合我的解决方案吗？如果是这样，是否可以通过会话 ID 设置身份验证？

Answer 1

Spring security 非常适合对用户进行身份验证。如果您只是通过会话 ID 进行身份验证，则伪造用户有可能通过欺骗会话数据来访问用户信息。