Я использую весеннюю безопасность (аутентификацию форм) для аутентификации входящего пользователя. Мы вошли в систему с настоящим логином и паролем. Теперь я просто скопировал JSESSIONID из браузера и создал новый Http-запрос с Android и передал тот же JSESSIONID в службу Spring. Запрос также был авторизован с Android.
Это означает, что любой может нарушить безопасность, как только он получит правильный JSESSIONID.
Как мы можем избежать этой ситуации в весенней безопасности?