• (三)Spring Security rememberMe实现自动登录


    自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验并建立登录态的一种机制。
    Spring Security提供了两种非常好的令牌:

    • 散列算法加密用户必要的登录信息并生成令牌
    • 数据库等持久性数据存储机制用的持久化令牌

    散列加密方案

    在Spring Security中加入自动登录的功能非常简单:

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
                    .antMatchers("/api/user/**").hasRole("user")  //user 角色访问/api/user/开头的路由
                    .antMatchers("/api/admin/**").hasRole("admin") //admin 角色访问/api/admin/开头的路由
                    .antMatchers("/api/public/**").permitAll()                 //允许所有可以访问/api/public/开头的路由
                    .and()
                    .formLogin()
                    .and()
                    .rememberMe().userDetailsService(userDetailsService());      //记住密码
        }
    
    
    

    重启服务后访问受限 API,这次在表单登录页中多了一个可选框:


    勾选“Remember me on this computer”可选框(简写为Remember-me),按照正常的流程登录,并在开发者工具中查看浏览器cookie,可以看到除JSESSIONID外多了一个值:

    这是Spring Security默认自动登录的cookie字段。在不配置的情况下,过期时间是两个星期:

    Spring Security会在每次表单登录成功之后更新此令牌,具体处理方式在源码中:



    RememberConfigurer:

    持久化令牌方案

    在持久化令牌方案中,最核心的是series和token两个值,它们都是用MD5散列过的随机字符串。不同的是,series仅在用户使用密码重新登录时更新,而token会在每一个新的session中都重新生成。
    解决了散列加密方案中一个令牌可以同时在多端登录的问题。每个会话都会引发token的更
    新,即每个token仅支持单实例登录。
    自动登录不会导致series变更,而每次自动登录都需要同时验证series和token两个值,当该
    令牌还未使用过自动登录就被盗取时,系统会在非法用户验证通过后刷新 token 值,此时在合法用户
    的浏览器中,该token值已经失效。当合法用户使用自动登录时,由于该series对应的 token 不同,系统
    可以推断该令牌可能已被盗用,从而做一些处理。例如,清理该用户的所有自动登录令牌,并通知该
    用户可能已被盗号等
    Spring Security使用PersistentRememberMeToken来表明一个验证实体:

    public class PersistentRememberMeToken {
        private final String username;
        private final String series;
        private final String tokenValue;
        private final Date date;
    
        public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) {
            this.username = username;
            this.series = series;
            this.tokenValue = tokenValue;
            this.date = date;
        }
    
        public String getUsername() {
            return this.username;
        }
    
        public String getSeries() {
            return this.series;
        }
    
        public String getTokenValue() {
            return this.tokenValue;
        }
    
        public Date getDate() {
            return this.date;
        }
    }
    

    需要使用持久化令牌方案,需要传入PersistentTokenRepository的实例:

    PersistentTokenRepository接口主要涉及token的增删查改四个接口:

    MyPersistentTokenRepositoryImpl使我们实现PersistentTokenRepository接口:

    @Service
    public class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository {
    
        @Autowired
        private JPAPersistentTokenRepository  repository;
    
        @Override
        public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) {
            MyPersistentToken myPersistentToken = new MyPersistentToken();
            myPersistentToken.setSeries(persistentRememberMeToken.getSeries());
            myPersistentToken.setUsername(persistentRememberMeToken.getUsername());
            myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue());
            myPersistentToken.setUser_last(persistentRememberMeToken.getDate());
            repository.save(myPersistentToken);
        }
    
        @Override
        public void updateToken(String series, String tokenValue, Date lastUsed) {
            MyPersistentToken myPersistentToken = repository.findBySeries(series);
            myPersistentToken.setUser_last(lastUsed);
            myPersistentToken.setTokenValue(tokenValue);
            repository.save(myPersistentToken);
        }
    
        @Override
        public PersistentRememberMeToken getTokenForSeries(String series) {
            MyPersistentToken myPersistentToken = repository.findBySeries(series);
            PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last());
            return persistentRememberMeToken;
        }
    
        @Override
        @Transactional
        public void removeUserTokens(String username) {
            repository.deleteByUsername(username);
        }
    }
    
    public interface JPAPersistentTokenRepository extends JpaRepository<MyPersistentToken,Long> {
        MyPersistentToken findBySeries(String series);
        void deleteByUsername(String username);
    }
    
    @Entity
    @Table(name = "persistent_token")
    public class MyPersistentToken {
        @Id
        @GeneratedValue(strategy = GenerationType.SEQUENCE)
        private Long id;
        private  String username;
        @Column(unique = true)
        private  String series;
        private  String tokenValue;
        private  Date user_last;
    
        public Long getId() {
            return id;
        }
    
        public void setId(Long id) {
            this.id = id;
        }
    
        public String getUsername() {
            return username;
        }
    
        public void setUsername(String username) {
            this.username = username;
        }
    
        public String getSeries() {
            return series;
        }
    
        public void setSeries(String series) {
            this.series = series;
        }
    
        public String getTokenValue() {
            return tokenValue;
        }
    
        public void setTokenValue(String tokenValue) {
            this.tokenValue = tokenValue;
        }
    
        public Date getUser_last() {
            return user_last;
        }
    
        public void setUser_last(Date user_last) {
            this.user_last = user_last;
        }
    }
    

    当自动登录认证时,Spring Security 通过series获取用户名、token以及上一次自动登录时间三个信息,通过用户名确认该令牌的身份,通过对比 token 获知该令牌是否有效,通过上一次自动登录时间获知该令牌是否已过期,并在完整校验通过之后生成新的token。

  • 相关阅读:
    Python高级特性-迭代
    Python列表生成式测试
    Python函数基础学习(定义、函数参数、递归函数)
    Html介绍,认识head标签
    Html介绍,认识html文件基本结构
    Html介绍,标签的语法
    Html介绍,认识html标签
    Html介绍,了解html与css关系
    Html介绍,如何用代码展示我制作的第一个网页?
    C++走向远洋——38(用对象数组操作长方柱类)
  • 原文地址:https://www.cnblogs.com/hanliukui/p/16842685.html
Copyright © 2020-2023  润新知