브라우저를 닫았다가 다시 열어도 로그인이 유지되는 건 세션 때문일까요, 아니면 다른 메커니즘이 있는 걸까요?

ㄹㅁㅇㄹㅁㅇ

ㅁㅇㄹㅁㅇㄹ

주의할 점

1. 해시 기반 remember-me는 토큰 탈취에 취약하다

기본 TokenBasedRememberMeServices는 username + 만료시간 + 비밀번호 해시로 토큰을 만들므로, 비밀번호를 변경하지 않는 한 토큰이 유효합니다. PersistentTokenBasedRememberMeServices를 사용하는 것이 안전합니다.

2. remember-me 쿠키의 maxAge를 너무 길게 설정하면 안 된다

30일로 설정하면 30일간 탈취된 쿠키로 로그인이 가능합니다. 7~14일이 적절하며, 민감한 작업 시에는 재인증을 요구해야 합니다.