请记住我的WebFlux安全应用程序和X-CSRF令牌

Question

我有一个与Spring后端通信的NextJS应用程序，我正在正确获取会话和X-CSRF cookie，但是当关闭浏览器窗口然后重新打开时，它们仅在浏览器会话中持续使用，我希望我的用户能够能够仍在会议中，不必每次都再次登录。

我知道春季安全性“记住我”，不幸的是，我正在使用webflux安全性，而serverhttpsecurity没有记住我的功能，我看到了这个问题 https://github.com/spring-projects/spring-security/issues/5504 ，但无法很好地理解他们对解决方案的含义。

我正在使用春季会议，既然我们不记得我，我不知道最好的步骤是什么？我是否必须设置两个cookie的最大年龄，并在我希望用户登录的日子里使用它们？这是最好的行动方案吗？

我不想迁移到常规的Spring Servlet安全性，除非这是解决此问题的唯一方法。

Answer 1

由于记住我不在WebFlux安全应用程序上，因此我想到的唯一解决方案是cookie。

您可以使用此指南在春季会议上，对于CSRF代币，您可以在cookieservercsrftokenrepository上设置最大年龄，就像实现的一样/pull/11433“ rel =” nofollow noreferrer“>在这里，这种更改将在下一个安全版本中进行。

通过设置最大年龄，当您重新打开浏览器窗口时，您仍然可以使用相同的会话，除非服务器会话限制。

我不知道这是否是最好的解决方案，但是如果有人想添加其他很棒的东西。