我在Spring Security
上使用表单身份验证。所以我去我的登录表单,输入我的用户名和密码,然后我可以访问我网站上的受保护资源。与基本身份验证不同,使用form authentication
时,仅在第一个请求上发送用户名和密码。Spring Security Form Authentication:如何跟踪会话?
我不明白的是Spring Security Servlet
如何跟踪最终用户对后续请求的影响?
据我所知,与basic-authentication
,Servlet
只能在头中查找编码的用户名&密码。但是这与form authentication
有什么关系?
我假设某种会话变量设置?如果是这样,那是什么?
Spring Security
是否有某种临时数据库将会话ID链接到用户名?最重要的是,如果我不使用CSRF token
,攻击者需要做的就是知道这个会话变量来冒充用户吗?