前言

自動(dòng)登錄是將用戶(hù)的登錄信息保存在用戶(hù)瀏覽器的cookie中，當(dāng)用戶(hù)下次訪(fǎng)問(wèn)時(shí)，自動(dòng)實(shí)現(xiàn)校驗(yàn)并建立登錄態(tài)的一種機(jī)制。

Spring Security提供了兩種非常好的令牌：

散列加密方案

在Spring Security中加入自動(dòng)登錄的功能非常簡(jiǎn)單：

@Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers('/api/user/**').hasRole('user') //user 角色訪(fǎng)問(wèn)/api/user/開(kāi)頭的路由 .antMatchers('/api/admin/**').hasRole('admin') //admin 角色訪(fǎng)問(wèn)/api/admin/開(kāi)頭的路由 .antMatchers('/api/public/**').permitAll() //允許所有可以訪(fǎng)問(wèn)/api/public/開(kāi)頭的路由 .and() .formLogin() .and() .rememberMe().userDetailsService(userDetailsService()); //記住密碼 }

重啟服務(wù)后訪(fǎng)問(wèn)受限 API，這次在表單登錄頁(yè)中多了一個(gè)可選框:

勾選“Remember me on this computer”可選框（簡(jiǎn)寫(xiě)為Remember-me），按照正常的流程登錄，并在開(kāi)發(fā)者工具中查看瀏覽器cookie，可以看到除JSESSIONID外多了一個(gè)值：

這是Spring Security默認(rèn)自動(dòng)登錄的cookie字段。在不配置的情況下，過(guò)期時(shí)間是兩個(gè)星期:

Spring Security會(huì)在每次表單登錄成功之后更新此令牌，具體處理方式在源碼中:

RememberConfigurer:

持久化令牌方案

在持久化令牌方案中，最核心的是series和token兩個(gè)值，它們都是用MD5散列過(guò)的隨機(jī)字符串。不同的是，series僅在用戶(hù)使用密碼重新登錄時(shí)更新，而token會(huì)在每一個(gè)新的session中都重新生成。

解決了散列加密方案中一個(gè)令牌可以同時(shí)在多端登錄的問(wèn)題。每個(gè)會(huì)話(huà)都會(huì)引發(fā)token的更新，即每個(gè)token僅支持單實(shí)例登錄。

自動(dòng)登錄不會(huì)導(dǎo)致series變更，而每次自動(dòng)登錄都需要同時(shí)驗(yàn)證series和token兩個(gè)值，當(dāng)該令牌還未使用過(guò)自動(dòng)登錄就被盜取時(shí)，系統(tǒng)會(huì)在非法用戶(hù)驗(yàn)證通過(guò)后刷新 token 值，此時(shí)在合法用戶(hù)的瀏覽器中，該token值已經(jīng)失效。當(dāng)合法用戶(hù)使用自動(dòng)登錄時(shí)，由于該series對(duì)應(yīng)的 token 不同，系統(tǒng)可以推斷該令牌可能已被盜用，從而做一些處理。例如，清理該用戶(hù)的所有自動(dòng)登錄令牌，并通知該用戶(hù)可能已被盜號(hào)等

Spring Security使用PersistentRememberMeToken來(lái)表明一個(gè)驗(yàn)證實(shí)體:

public class PersistentRememberMeToken { private final String username; private final String series; private final String tokenValue; private final Date date; public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) { this.username = username; this.series = series; this.tokenValue = tokenValue; this.date = date; } public String getUsername() { return this.username; } public String getSeries() { return this.series; } public String getTokenValue() { return this.tokenValue; } public Date getDate() { return this.date; }}

需要使用持久化令牌方案,需要傳入PersistentTokenRepository的實(shí)例：

PersistentTokenRepository接口主要涉及token的增刪查改四個(gè)接口：

MyPersistentTokenRepositoryImpl使我們實(shí)現(xiàn)PersistentTokenRepository接口：

@Servicepublic class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository { @Autowired private JPAPersistentTokenRepository repository; @Override public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) { MyPersistentToken myPersistentToken = new MyPersistentToken(); myPersistentToken.setSeries(persistentRememberMeToken.getSeries()); myPersistentToken.setUsername(persistentRememberMeToken.getUsername()); myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue()); myPersistentToken.setUser_last(persistentRememberMeToken.getDate()); repository.save(myPersistentToken); } @Override public void updateToken(String series, String tokenValue, Date lastUsed) { MyPersistentToken myPersistentToken = repository.findBySeries(series); myPersistentToken.setUser_last(lastUsed); myPersistentToken.setTokenValue(tokenValue); repository.save(myPersistentToken); } @Override public PersistentRememberMeToken getTokenForSeries(String series) { MyPersistentToken myPersistentToken = repository.findBySeries(series); PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last()); return persistentRememberMeToken; } @Override @Transactional public void removeUserTokens(String username) { repository.deleteByUsername(username); }}

public interface JPAPersistentTokenRepository extends JpaRepository<MyPersistentToken,Long> { MyPersistentToken findBySeries(String series); void deleteByUsername(String username);}

@Entity@Table(name = 'persistent_token')public class MyPersistentToken { @Id @GeneratedValue(strategy = GenerationType.SEQUENCE) private Long id; private String username; @Column(unique = true) private String series; private String tokenValue; private Date user_last; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public String getSeries() { return series; } public void setSeries(String series) { this.series = series; } public String getTokenValue() { return tokenValue; } public void setTokenValue(String tokenValue) { this.tokenValue = tokenValue; } public Date getUser_last() { return user_last; } public void setUser_last(Date user_last) { this.user_last = user_last; }}

當(dāng)自動(dòng)登錄認(rèn)證時(shí)，Spring Security 通過(guò)series獲取用戶(hù)名、token以及上一次自動(dòng)登錄時(shí)間三個(gè)信息，通過(guò)用戶(hù)名確認(rèn)該令牌的身份，通過(guò)對(duì)比 token 獲知該令牌是否有效，通過(guò)上一次自動(dòng)登錄時(shí)間獲知該令牌是否已過(guò)期，并在完整校驗(yàn)通過(guò)之后生成新的token。

總結(jié)

到此這篇關(guān)于Spring Security學(xué)習(xí)之rememberMe自動(dòng)登錄實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Spring Security rememberMe自動(dòng)登錄內(nèi)容請(qǐng)搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！