• Spring Security 之 Remember-Me (记住我)


    效果在用户的session(会话)过期或者浏览器关闭后,应用程序仍能记住它。用户可选择是否被记住。(在登录界面选择)
     
    “记住”是什么意思?
        就是下次你再访问的时候,直接进入系统,而不需要输入用户名密码。
     
    实现原理:使用一个remember-me cookie存储在浏览器内,用户通过该浏览器再次访问网站的时候,网站识别出remember-me cookie,此用户自动登录。
     
    两种方式:
    ①基于Token  => 依赖于“加密签名”,即服务端根据参数生成一个Token进行对比
    ②基于持久化 => 依赖于数据存储,即服务端将保留Token
     
    一、基于Token的Remember-Me
    Remember-me cookie : Base64编码过的字符串,存储在浏览器内
    包含以下信息:
    • 用户名
    • 过期时间
    • MD5Hash码(token/signature) =>由过期时间、用户名、密码、<remember-me>元素秘钥等字段生成
    注意:cookie中并不包含密码,有包含就危险了,虽然MD5码是由密码字段参与生成的,不过MD5是单向的,几乎不可能被破解,况且又不是只有密码,还有其他字段存在
     
    Cookie都是不可靠的,如何应用于安全服务?
    答:可以将cookie中的token和后台生成的token进行对比,实行“校验”操作
     
    操作流程:
        ①用户将Remeber-me cookie发到后台,即包括用户名,过期时间,token
        ②后台通过用户名获取到对应密码
        ③后台利用用户名、密码、过期时间、<remember-me>元素的key这几个字段生成Token
        ④将生成的Token与Cookie中的Token进行对比
        ⑤如果Token相同,则用户自动登录系统
     
    为何安全?
    答:因为如果不知道key和密码基本不可能生成Token,其一,key只有此应用知道,写死在配置文件里的,其二,密码只有用户本人知道。
     
    绝对安全吗?
    答:不是的,按照上面的逻辑,只要token是对的,就能登录。这就有问题了,如果token不是本人在用呢?实际上token可能会被窃取。
    想象这样一种情况,有个恶意用户通过网络嗅探,获取到了某个用户发请求时候带上的token,然后他也在某天发请求的时候也带上这个token,是不是就直接登录了呢?
     
    那怎么防止Token被人嗅探到呢?
    答:利用SSL安全协议,即https,用户和服务端的连接是安全的,收发的信息不会被嗅探到。
     
    二、基于Persistent(持久化)的Remember-Me
       
    Remember-me cookie:
    • Series identifiers(序列化标识符)=> 标识用户初始化登录,不会改变
    • Token => 每次使用Remember-Me特性后,都会改变(每次自动登录都会改变Token)
     
    与基于Token的Remember-Me有何不同?
        ①基于Token的Token是通过MD5生成。而基于Persistent的Token是直接根据从数据库中取
        ②基于Token的Token(或者叫签名)除非到达过期时间,或者用户更改了密码,否则不会过期。而基于Persistent的Token,是每次用完就过期了,后台会生成新的Token存储在数据库供下次自动登录使用。
     
  • 相关阅读:
    NS2仿真:公交车移动周期模型及性能分析
    oracle 列行转换
    oracle dmp文件导出与导入
    fire workflow总结
    install mysql on centos7
    java反射机构应用
    table行颜色设置
    maven无法下依赖jar文件的解决方案
    windows环境jprofiler配置监控tomcat
    CAS tomcat6搭建
  • 原文地址:https://www.cnblogs.com/longfurcat/p/9281783.html
Copyright © 2020-2023  润新知