Документация Spring говорит, что функция "запомнить меня" реализована путем сохранения следующей информации в файле cookie-
base64 (имя пользователя + " :" + expireTime + " :" + md5Hex (имя пользователя + " :" + expireTime + " :" пароль + " :" + ключ))
У меня есть следующие недоразумения-
Зачем использовать небезопасный хэш, такой как MD5, для обработки информации вместо использования SHA -1 или SHA -2. Будет ли снижение производительности от них значительным для такого небольшого фрагмента информации?
Зачем вообще передавать эту информацию по сети? Почему бы не поддерживать карту криптографически безопасных случайных чисел и эту информацию на сервере, возвращая только ключ карты в виде файла cookie. Насколько я знаю, это подход, используемый Servlet API, и он считается более безопасным.