就是无状态的 HTTP 实现用户状态可维持的一种解决方案。
HTTP 本身的无状态使得用户在与服务器的交互过程中,每个请求之间
都没有关联性
这意味着用户的访问没有身份记录,站点也无法为用户提
供个性化的服务
session的诞生解决了这个难题,服务器通过与用户约定
每个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可
以很方便地绑定具体用户
,cookie是很好的载体。当用户首次访问系统时,系统会为该用户生成
一个sessionId,并添加到cookie中。在该用户的会话期内,每个请求都自
动携带该cookie,因此系统可以很轻易地识别出这是来自哪个用户的请
求。
2.1. 会话超时管理
在spring-security.xml文件中配置session管理,设置session超时管理。
2.2. 退出登录时删除session对应的cookie
2.3. 同一时刻同一账号只能一个用户登录
2.3.1. 踢掉已经登录用户
在spring-security.xml中的security:http中配置
3. 记住我
3.3. 基于持久化 token 的方法
可
以使用持久化token的方式进行“记住我”,持久化token的方式是通过将
token持久化到数据库中来实现更安全的“记住我”。