Spring Security Remember Me Service ohne HttpSession

Question

Meine Frage ist ähnlich wie this one, aber ich kann es vereinfachen. Im Grunde möchte ich Benutzer durch das erinnern mich Plätzchen authentifizieren, aber ich will, dass alles auf der Serverseite völlig statuslos ist, d. H. Nie ein HttpSession erstellen. Ich habe folgendes Setup:

<security:http use-expressions="true" create-session="stateless" > 
    <security:intercept-url pattern="/index.jsp" access="hasRole('ROLE_ANONYMOUS')" /> 
    <security:intercept-url pattern="/**" access="hasRole('ROLE_TEST')" /> 
    <security:form-login login-page="/index.jsp" default-target-url="/home" always-use-default-target="true" authentication-failure-url="/index.jsp?login_error=1" /> 
    <security:logout logout-success-url="/index.jsp"/> 
    <security:remember-me key="MY_KEY" /> 
</security:http> 

<security:authentication-manager> 
    <security:authentication-provider> 
     <security:user-service> 
      <security:user name="testUser" password="testPassword" authorities="ROLE_TEST" /> 
     </security:user-service> 
    </security:authentication-provider> 
</security:authentication-manager> 

ich mit dem Benutzernamen und Passwort oben gerade fein authentifizieren und sehen Sie die mich erinnern Cookie in meinem Browser. Dieser Teil davon funktioniert großartig. Ich stelle jedoch fest, dass während dieses Prozesses eine Sitzung erstellt wird. Ich dachte, die create-session="stateless" sollte dies verhindern. Fehle ich hier etwas?

Answer 1

Nachdem ich mit mehr gearbeitet habe, habe ich herausgefunden, dass Spring Security nicht die Sitzung erstellt hat. Die index.jsp erstellte bei jedem Treffer eine neue Sitzung. Ich habe einfach <%@ page session="false"> an den Anfang von index.jsp hinzugefügt, und jetzt werden keine Sitzungen erstellt.