Spring Security學習之rememberMe自動登錄的實現(xiàn)

更新時間：2020年06月28日 08:35:22 作者：西紅柿雞蛋面~

這篇文章主要給大家介紹了關于Spring Security學習之rememberMe自動登錄的相關資料，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面來一起學習學習吧

前言

自動登錄是將用戶的登錄信息保存在用戶瀏覽器的cookie中，當用戶下次訪問時，自動實現(xiàn)校驗并建立登錄態(tài)的一種機制。

Spring Security提供了兩種非常好的令牌：

散列算法加密用戶必要的登錄信息并生成令牌
數(shù)據(jù)庫等持久性數(shù)據(jù)存儲機制用的持久化令牌

散列加密方案

在Spring Security中加入自動登錄的功能非常簡單：

 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http.authorizeRequests()
  .antMatchers("/api/user/**").hasRole("user") //user 角色訪問/api/user/開頭的路由
  .antMatchers("/api/admin/**").hasRole("admin") //admin 角色訪問/api/admin/開頭的路由
  .antMatchers("/api/public/**").permitAll()   //允許所有可以訪問/api/public/開頭的路由
  .and()
  .formLogin()
  .and()
  .rememberMe().userDetailsService(userDetailsService()); //記住密碼
 }

重啟服務后訪問受限 API，這次在表單登錄頁中多了一個可選框:

勾選“Remember me on this computer”可選框（簡寫為Remember-me），按照正常的流程登錄，并在開發(fā)者工具中查看瀏覽器cookie，可以看到除JSESSIONID外多了一個值：

這是Spring Security默認自動登錄的cookie字段。在不配置的情況下，過期時間是兩個星期:

Spring Security會在每次表單登錄成功之后更新此令牌，具體處理方式在源碼中:

RememberConfigurer:

持久化令牌方案

在持久化令牌方案中，最核心的是series和token兩個值，它們都是用MD5散列過的隨機字符串。不同的是，series僅在用戶使用密碼重新登錄時更新，而token會在每一個新的session中都重新生成。

解決了散列加密方案中一個令牌可以同時在多端登錄的問題。每個會話都會引發(fā)token的更新，即每個token僅支持單實例登錄。

自動登錄不會導致series變更，而每次自動登錄都需要同時驗證series和token兩個值，當該令牌還未使用過自動登錄就被盜取時，系統(tǒng)會在非法用戶驗證通過后刷新 token 值，此時在合法用戶的瀏覽器中，該token值已經(jīng)失效。當合法用戶使用自動登錄時，由于該series對應的 token 不同，系統(tǒng)可以推斷該令牌可能已被盜用，從而做一些處理。例如，清理該用戶的所有自動登錄令牌，并通知該用戶可能已被盜號等

Spring Security使用PersistentRememberMeToken來表明一個驗證實體:

public class PersistentRememberMeToken {
 private final String username;
 private final String series;
 private final String tokenValue;
 private final Date date;

 public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) {
  this.username = username;
  this.series = series;
  this.tokenValue = tokenValue;
  this.date = date;
 }

 public String getUsername() {
  return this.username;
 }

 public String getSeries() {
  return this.series;
 }

 public String getTokenValue() {
  return this.tokenValue;
 }

 public Date getDate() {
  return this.date;
 }
}

需要使用持久化令牌方案,需要傳入PersistentTokenRepository的實例：

PersistentTokenRepository接口主要涉及token的增刪查改四個接口：

MyPersistentTokenRepositoryImpl使我們實現(xiàn)PersistentTokenRepository接口：

@Service
public class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository {

 @Autowired
 private JPAPersistentTokenRepository repository;

 @Override
 public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) {
  MyPersistentToken myPersistentToken = new MyPersistentToken();
  myPersistentToken.setSeries(persistentRememberMeToken.getSeries());
  myPersistentToken.setUsername(persistentRememberMeToken.getUsername());
  myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue());
  myPersistentToken.setUser_last(persistentRememberMeToken.getDate());
  repository.save(myPersistentToken);
 }

 @Override
 public void updateToken(String series, String tokenValue, Date lastUsed) {
  MyPersistentToken myPersistentToken = repository.findBySeries(series);
  myPersistentToken.setUser_last(lastUsed);
  myPersistentToken.setTokenValue(tokenValue);
  repository.save(myPersistentToken);
 }

 @Override
 public PersistentRememberMeToken getTokenForSeries(String series) {
  MyPersistentToken myPersistentToken = repository.findBySeries(series);
  PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last());
  return persistentRememberMeToken;
 }

 @Override
 @Transactional
 public void removeUserTokens(String username) {
  repository.deleteByUsername(username);
 }
}

public interface JPAPersistentTokenRepository extends JpaRepository<MyPersistentToken,Long> {
 MyPersistentToken findBySeries(String series);
 void deleteByUsername(String username);
}

@Entity
@Table(name = "persistent_token")
public class MyPersistentToken {
 @Id
 @GeneratedValue(strategy = GenerationType.SEQUENCE)
 private Long id;
 private String username;
 @Column(unique = true)
 private String series;
 private String tokenValue;
 private Date user_last;

 public Long getId() {
  return id;
 }

 public void setId(Long id) {
  this.id = id;
 }

 public String getUsername() {
  return username;
 }

 public void setUsername(String username) {
  this.username = username;
 }

 public String getSeries() {
  return series;
 }

 public void setSeries(String series) {
  this.series = series;
 }

 public String getTokenValue() {
  return tokenValue;
 }

 public void setTokenValue(String tokenValue) {
  this.tokenValue = tokenValue;
 }

 public Date getUser_last() {
  return user_last;
 }

 public void setUser_last(Date user_last) {
  this.user_last = user_last;
 }
}

當自動登錄認證時，Spring Security 通過series獲取用戶名、token以及上一次自動登錄時間三個信息，通過用戶名確認該令牌的身份，通過對比 token 獲知該令牌是否有效，通過上一次自動登錄時間獲知該令牌是否已過期，并在完整校驗通過之后生成新的token。

總結

到此這篇關于Spring Security學習之rememberMe自動登錄實現(xiàn)的文章就介紹到這了,更多相關Spring Security rememberMe自動登錄內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: