Spring Security学习之rememberMe自动登录的实现

Spring Security学习之rememberMe自动登录的实现

前言

自动登录是将用户的登录信息保存在用户浏览器的cookie中，当用户下次访问时，自动实现校验并建立登录态的一种机制。

Spring Security提供了两种非常好的令牌：

散列算法加密用户必要的登录信息并生成令牌

数据库等持久性数据存储机制用的持久化令牌

散列加密方案

在Spring Security中加入自动登录的功能非常简单：

@Override

protected void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()

.antMatchers("/api/user/**").hasRole("user") //user 角色访问/api/user/开头的路由

.antMatchers("/api/admin/**").hasRole("admin") //admin 角色访问/api/admin/开头的路由

.antMatchers("/api/public/**").permitAll() //允许所有可以访问/api/public/开头的路由

.and()

.formLogin()

.and()

.rememberMe().userDetailsService(userDetailsService()); //记住密码

}

重启服务后访问受限 API，这次在表单登录页中多了一个可选框:

勾选“Remember me on this computer”可选框（简写为Remember-me），按照正常的流程登录，并在开发者工具中查看浏览器cookie，可以看到除jsESSIONID外多了一个值：

这是Spring Security默认自动登录的cookie字段。在不配置的情况下，过期时间是两个星期:

Spring Security会在每次表单登录成功之后更新此令牌，具体处理方式在源码中:

RememberConfigurer:

持久化令牌方案

在持久化令牌方案中，最核心的是series和token两个值，它们都是用MD5散列过的随机字符串。不同的是，series仅在用户使用密码重新登录时更新，而token会在每一个新的session中都重新生成。

解决了散列加密方案中一个令牌可以同时在多端登录的问题。每个会话都会引发token的更新，即每个token仅支持单实例登录。

自动登录不会导致series变更，而每次自动登录都需要同时验证series和token两个值，当该令牌还未使用过自动登录就被盗取时，系统会在非法用户验证通过后刷新 token 值，此时在合法用户的浏览器中，该token值已经失效。当合法用户使用自动登录时，由于该series对应的 token 不同，系统可以推断该令牌可能已被盗用，从而做一些处理。例如，清理该用户的所有自动登录令牌，并通知该用户可能已被盗号等

Spring Security使用PersistentRememberMeToken来表明一个验证实体:

public class PersistentRememberMeToken {

private final String username;

private final String series;

private final String tokenValue;

private final Date date;

public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) {

this.username = username;

this.series = series;

this.tokenValue = tokenValue;

this.date = date;

}

public String getUsername() {

return this.username;

}

public String getSeries() {

return this.series;

}

public String getTokenValue() {

return this.tokenValue;

}

public Date getDate() {

return this.date;

}

}

需要使用持久化令牌方案,需要传入PersistentTokenRepository的实例：

Persistenhttp://tTokenRepository接口主要涉及token的增删查改四个接口：

MyPersistentTokenRepositoryImpl使我们实现PersistentTokenRepository接口：

@Service

public class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository {

@Autowired

private JPAPersistentTokenRepository repository;

@Override

public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) {

MyPersistentToken myPersistentToken = new MyPersistentToken();

myPersistentToken.setSeries(persistentRememberMeToken.getSeries());

myPersistentToken.setUsername(persistentRememberMeToken.getUsername());

myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue());

myPersistentToken.setUser_last(persistentRememberMeToken.getDate());

repository.save(myPersistentToken);

}

@Override

public void updateToken(String series, String tokenValue, Date lastUsed) {

MyPersistentToken myPersistentToken = repository.findBySeries(series);

myPersistentToken.setUser_last(lastUsed);

myPersistentToken.setTokenValue(tokenValue);

repository.save(myPersistentToken);

}

@Override

public PersistentRememberMeToken getTokenForSeries(String series) {

MyPersistentToken myPersistentToken = repository.findBySeries(series);

PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last());

return persistentRememberMeToken;

}

@Override

@Transactional

public void removeUserTokens(String username) {

repository.deleteByUsername(username);

}

}

public interface JPAPersistentTokenRepository extends JpaRepository {

MyPersistentToken findBySeries(String series);

void deleteByUsername(String username);

}

@Entity

@Table(name = "persistent_token")

public class MyPersistentToken {

@Id

@GeneratedValue(strategy = GenerationType.SEQUENCE)

private Long id;

private String username;

@Column(unique = true)

private String series;

private String tokenValue;

private Date user_last;

public Long getId() {

return id;

}

public void setId(Long id) {

this.id = id;

}

public String getUsername() {

return username;

}

public void setUsername(String username) {

this.username = username;

}

public String getSeries() {

return series;

}

public void setSeries(String series) {

this.series = series;

}

public String getTokenValue() {

return tokenValue;

}

public void setTokenValue(String tokenValue) {

this.tokenValue = tokenValue;

}

public Date getUser_last() {

return user_last;

}

public void setUser_last(Date user_last) {

this.user_last = user_last;

}

}

当自动登录认证时，Spring Security 通过series获取用户名、token以及上一次自动登录时间三个信息，通过用户名确认该令牌的身份，通过对比 token 获知该令牌是否有效，通过上一次自动登录时间获知该令牌是否已过期，并在完整校验通过之后生成新的token。

总结

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。