我有一个Spring MVC web应用程序,没有安全区域,所以所有用户都可以看到所有页面,但是我确实有一个Facebook日志,使用Spring social,并且我确实通过会话id识别每个用户。该场景中,用户可以作为访客查看页面,其中应用程序通过会话id识别他(或她),当用户使用他(或她)的Facebook帐户登录时,将为该用户保存一条带有相应Facebook数据的记录。下次用户访问应用程序时,我希望能够识别他。我考虑过使用spring security remember me特性(以及将来可能使用的基础设施)。
所以我的问题是,spring安全是我的正确解决方案吗?如果是这样,是否可以通过会话id设置身份验证?
Spring安全性对于验证用户很好。如果您只是通过会话id进行身份验证,那么伪造的用户可能会通过欺骗会话数据来访问用户信息。