前言
自動登錄是將用戶的登錄信息保存在用戶瀏覽器的cookie中,當用戶下次訪問時,自動實現校驗并建立登錄態的一種機制。
Spring Security提供了兩種非常好的令牌:
散列算法加密用戶必要的登錄信息并生成令牌
數據庫等持久性數據存儲機制用的持久化令牌
散列加密方案
在Spring Security中加入自動登錄的功能非常簡單:
|
1
2
3
4
5
6
7
8
9
10
11
|
@Overrideprotected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/api/user/**").hasRole("user") //user 角色訪問/api/user/開頭的路由 .antMatchers("/api/admin/**").hasRole("admin") //admin 角色訪問/api/admin/開頭的路由 .antMatchers("/api/public/**").permitAll() //允許所有可以訪問/api/public/開頭的路由 .and() .formLogin() .and() .rememberMe().userDetailsService(userDetailsService()); //記住密碼} |
重啟服務后訪問受限 API,這次在表單登錄頁中多了一個可選框:
勾選“Remember me on this computer”可選框(簡寫為Remember-me),按照正常的流程登錄,并在開發者工具中查看瀏覽器cookie,可以看到除JSESSIONID外多了一個值:
這是Spring Security默認自動登錄的cookie字段。在不配置的情況下,過期時間是兩個星期:
Spring Security會在每次表單登錄成功之后更新此令牌,具體處理方式在源碼中:
RememberConfigurer:
持久化令牌方案
在持久化令牌方案中,最核心的是series和token兩個值,它們都是用MD5散列過的隨機字符串。不同的是,series僅在用戶使用密碼重新登錄時更新,而token會在每一個新的session中都重新生成。
解決了散列加密方案中一個令牌可以同時在多端登錄的問題。每個會話都會引發token的更新,即每個token僅支持單實例登錄。
自動登錄不會導致series變更,而每次自動登錄都需要同時驗證series和token兩個值,當該令牌還未使用過自動登錄就被盜取時,系統會在非法用戶驗證通過后刷新 token 值,此時在合法用戶的瀏覽器中,該token值已經失效。當合法用戶使用自動登錄時,由于該series對應的 token 不同,系統可以推斷該令牌可能已被盜用,從而做一些處理。例如,清理該用戶的所有自動登錄令牌,并通知該用戶可能已被盜號等
Spring Security使用PersistentRememberMeToken來表明一個驗證實體:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
public class PersistentRememberMeToken { private final String username; private final String series; private final String tokenValue; private final Date date; public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) { this.username = username; this.series = series; this.tokenValue = tokenValue; this.date = date; } public String getUsername() { return this.username; } public String getSeries() { return this.series; } public String getTokenValue() { return this.tokenValue; } public Date getDate() { return this.date; }} |
需要使用持久化令牌方案,需要傳入PersistentTokenRepository的實例:
PersistentTokenRepository接口主要涉及token的增刪查改四個接口:
MyPersistentTokenRepositoryImpl使我們實現PersistentTokenRepository接口:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
@Servicepublic class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository { @Autowired private JPAPersistentTokenRepository repository; @Override public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) { MyPersistentToken myPersistentToken = new MyPersistentToken(); myPersistentToken.setSeries(persistentRememberMeToken.getSeries()); myPersistentToken.setUsername(persistentRememberMeToken.getUsername()); myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue()); myPersistentToken.setUser_last(persistentRememberMeToken.getDate()); repository.save(myPersistentToken); } @Override public void updateToken(String series, String tokenValue, Date lastUsed) { MyPersistentToken myPersistentToken = repository.findBySeries(series); myPersistentToken.setUser_last(lastUsed); myPersistentToken.setTokenValue(tokenValue); repository.save(myPersistentToken); } @Override public PersistentRememberMeToken getTokenForSeries(String series) { MyPersistentToken myPersistentToken = repository.findBySeries(series); PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last()); return persistentRememberMeToken; } @Override @Transactional public void removeUserTokens(String username) { repository.deleteByUsername(username); }} |
|
1
2
3
4
|
public interface JPAPersistentTokenRepository extends JpaRepository<MyPersistentToken,Long> { MyPersistentToken findBySeries(String series); void deleteByUsername(String username);} |
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
|
@Entity@Table(name = "persistent_token")public class MyPersistentToken { @Id @GeneratedValue(strategy = GenerationType.SEQUENCE) private Long id; private String username; @Column(unique = true) private String series; private String tokenValue; private Date user_last; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public String getSeries() { return series; } public void setSeries(String series) { this.series = series; } public String getTokenValue() { return tokenValue; } public void setTokenValue(String tokenValue) { this.tokenValue = tokenValue; } public Date getUser_last() { return user_last; } public void setUser_last(Date user_last) { this.user_last = user_last; }} |
當自動登錄認證時,Spring Security 通過series獲取用戶名、token以及上一次自動登錄時間三個信息,通過用戶名確認該令牌的身份,通過對比 token 獲知該令牌是否有效,通過上一次自動登錄時間獲知該令牌是否已過期,并在完整校驗通過之后生成新的token。
總結
到此這篇關于Spring Security學習之remember Me自動登錄實現的文章就介紹到這了,更多相關Spring Security remember Me自動登錄內容請搜索服務器之家以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持服務器之家!
原文鏈接:https://www.cnblogs.com/hanlk/p/13192283.html
