Spring Security學(xué)習(xí)之rememberMe自動(dòng)登錄如何實(shí)現(xiàn)
小編給大家分享一下Spring Security學(xué)習(xí)之rememberMe自動(dòng)登錄如何實(shí)現(xiàn)�,希望大家閱讀完這篇文章后大所收獲��,下面讓我們一起去探討方法吧!
自動(dòng)登錄是將用戶的登錄信息保存在用戶瀏覽器的cookie中�����,當(dāng)用戶下次訪問(wèn)時(shí)�,自動(dòng)實(shí)現(xiàn)校驗(yàn)并建立登錄態(tài)的一種機(jī)制��。
Spring Security提供了兩種非常好的令牌:
散列算法加密用戶必要的登錄信息并生成令牌
數(shù)據(jù)庫(kù)等持久性數(shù)據(jù)存儲(chǔ)機(jī)制用的持久化令牌
散列加密方案
在Spring Security中加入自動(dòng)登錄的功能非常簡(jiǎn)單:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/api/user/**").hasRole("user") //user 角色訪問(wèn)/api/user/開(kāi)頭的路由
.antMatchers("/api/admin/**").hasRole("admin") //admin 角色訪問(wèn)/api/admin/開(kāi)頭的路由
.antMatchers("/api/public/**").permitAll() //允許所有可以訪問(wèn)/api/public/開(kāi)頭的路由
.and()
.formLogin()
.and()
.rememberMe().userDetailsService(userDetailsService()); //記住密碼
}重啟服務(wù)后訪問(wèn)受限 API�����,這次在表單登錄頁(yè)中多了一個(gè)可選框:
勾選“Remember me on this computer”可選框(簡(jiǎn)寫(xiě)為Remember-me)���,按照正常的流程登錄���,并在開(kāi)發(fā)者工具中查看瀏覽器cookie�,可以看到除JSESSIONID外多了一個(gè)值:
這是Spring Security默認(rèn)自動(dòng)登錄的cookie字段。在不配置的情況下��,過(guò)期時(shí)間是兩個(gè)星期:
Spring Security會(huì)在每次表單登錄成功之后更新此令牌���,具體處理方式在源碼中:
RememberConfigurer:
持久化令牌方案
在持久化令牌方案中�,最核心的是series和token兩個(gè)值���,它們都是用MD5散列過(guò)的隨機(jī)字符串���。不同的是,series僅在用戶使用密碼重新登錄時(shí)更新��,而token會(huì)在每一個(gè)新的session中都重新生成���。
解決了散列加密方案中一個(gè)令牌可以同時(shí)在多端登錄的問(wèn)題�����。每個(gè)會(huì)話都會(huì)引發(fā)token的更新��,即每個(gè)token僅支持單實(shí)例登錄����。
自動(dòng)登錄不會(huì)導(dǎo)致series變更,而每次自動(dòng)登錄都需要同時(shí)驗(yàn)證series和token兩個(gè)值���,當(dāng)該令牌還未使用過(guò)自動(dòng)登錄就被盜取時(shí)�����,系統(tǒng)會(huì)在非法用戶驗(yàn)證通過(guò)后刷新 token 值�����,此時(shí)在合法用戶的瀏覽器中��,該token值已經(jīng)失效����。當(dāng)合法用戶使用自動(dòng)登錄時(shí)���,由于該series對(duì)應(yīng)的 token 不同�,系統(tǒng)可以推斷該令牌可能已被盜用�����,從而做一些處理���。例如���,清理該用戶的所有自動(dòng)登錄令牌,并通知該用戶可能已被盜號(hào)等
Spring Security使用PersistentRememberMeToken來(lái)表明一個(gè)驗(yàn)證實(shí)體:
public class PersistentRememberMeToken {
private final String username;
private final String series;
private final String tokenValue;
private final Date date;
public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) {
this.username = username;
this.series = series;
this.tokenValue = tokenValue;
this.date = date;
}
public String getUsername() {
return this.username;
}
public String getSeries() {
return this.series;
}
public String getTokenValue() {
return this.tokenValue;
}
public Date getDate() {
return this.date;
}
}需要使用持久化令牌方案,需要傳入PersistentTokenRepository的實(shí)例:
PersistentTokenRepository接口主要涉及token的增刪查改四個(gè)接口:
MyPersistentTokenRepositoryImpl使我們實(shí)現(xiàn)PersistentTokenRepository接口:
@Service
public class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository {
@Autowired
private JPAPersistentTokenRepository repository;
@Override
public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) {
MyPersistentToken myPersistentToken = new MyPersistentToken();
myPersistentToken.setSeries(persistentRememberMeToken.getSeries());
myPersistentToken.setUsername(persistentRememberMeToken.getUsername());
myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue());
myPersistentToken.setUser_last(persistentRememberMeToken.getDate());
repository.save(myPersistentToken);
}
@Override
public void updateToken(String series, String tokenValue, Date lastUsed) {
MyPersistentToken myPersistentToken = repository.findBySeries(series);
myPersistentToken.setUser_last(lastUsed);
myPersistentToken.setTokenValue(tokenValue);
repository.save(myPersistentToken);
}
@Override
public PersistentRememberMeToken getTokenForSeries(String series) {
MyPersistentToken myPersistentToken = repository.findBySeries(series);
PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last());
return persistentRememberMeToken;
}
@Override
@Transactional
public void removeUserTokens(String username) {
repository.deleteByUsername(username);
}
}public interface JPAPersistentTokenRepository extends JpaRepository<MyPersistentToken,Long> {
MyPersistentToken findBySeries(String series);
void deleteByUsername(String username);
}@Entity
@Table(name = "persistent_token")
public class MyPersistentToken {
@Id
@GeneratedValue(strategy = GenerationType.SEQUENCE)
private Long id;
private String username;
@Column(unique = true)
private String series;
private String tokenValue;
private Date user_last;
public Long getId() {
return id;
}
public void setId(Long id) {
this.id = id;
}
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getSeries() {
return series;
}
public void setSeries(String series) {
this.series = series;
}
public String getTokenValue() {
return tokenValue;
}
public void setTokenValue(String tokenValue) {
this.tokenValue = tokenValue;
}
public Date getUser_last() {
return user_last;
}
public void setUser_last(Date user_last) {
this.user_last = user_last;
}
}當(dāng)自動(dòng)登錄認(rèn)證時(shí)���,Spring Security 通過(guò)series獲取用戶名���、token以及上一次自動(dòng)登錄時(shí)間三個(gè)信息,通過(guò)用戶名確認(rèn)該令牌的身份���,通過(guò)對(duì)比 token 獲知該令牌是否有效���,通過(guò)上一次自動(dòng)登錄時(shí)間獲知該令牌是否已過(guò)期,并在完整校驗(yàn)通過(guò)之后生成新的token���。
看完了這篇文章�,相信你對(duì)Spring Security學(xué)習(xí)之rememberMe自動(dòng)登錄如何實(shí)現(xiàn)有了一定的了解,想了解更多相關(guān)知識(shí)����,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀���!
