SpringとApacheCXFを使用してRESTWebサービスアプリケーションを作成しました。x.509証明書を使用してユーザーを認証し、次にカスタム認証サービスを使用してすべてのユーザーグループと詳細を取得しています。ユーザー情報を抽出してUserDetailsオブジェクトにデータを入力するカスタムUserDetailsServiceを実装しました。このオブジェクトを設定するプロセスの一部には、企業認証サービスへの要求が含まれます。承認サービスは残念ながら独自のシステムですが、少なくともJavaAPIを提供します。承認サービスは、特に、ユーザーが属するグループのリストを返します。
私はまだ開発段階にありますが、これまでの観察では、最初の接続時にUserDetailsServiceが1回呼び出されることが示されているようです。次に、各リクエストはキャッシュされた認証オブジェクトを使用します。
だから私の質問と潜在的な問題はこれです...企業ポリシーでは、アプリケーションは設定された期間だけユーザー認証の詳細をキャッシュすることが許可されていると述べています。では、SpringはこれらのUserDetailsオブジェクトを更新する前に、どのくらいの期間キャッシュしておくのでしょうか。また、このキャッシュ時間を制御して、ポリシーに準拠していることを確認するにはどうすればよいですか?