AuthenticatedWebSession.isSignedIn()がfinalなお陰でoverrideできず若干トリッキーな実装になっています。 が、やってる事は普通のservletでcookieを扱うのと変わりありません。 AuthenticatedWebSession.signIn(String username, String password)の代わりに、SandboxSession.signIn(String username, String password, boolean rememberSignIn)を定義しているので、サインインの際はこのメソッドを呼び出すようにします。 Wicketで認証が必要なページにアクセスするとAuthenticatedWebSession#getRoles()が呼ばれるので、このメソッド内でcookieのチェックをし、該当するUserがあ