Spring Security 配置 Remember Me

1。概述

本教程将展示如何使用 Spring Security 在 Web 应用程序中启用和配置 Remember Me。之前已经讨论过设置安全和简单表单登录的 MVC 应用程序

该机制将能够跨多个会话识别用户——首先要了解的是,Remember Me 仅在会话超时后才会启动。默认情况下,用户在 30 分钟不活跃后会超时,但在 web.xml可以配置超时时间

注意:本教程重点介绍基于标准 cookie 的方法。对于持久化方法,请查看 Spring Security -- Persistent Remember Me 指南。

2。安全配置

让我们看看如何使用 Java 设置安全配置:

@Configuration
@EnableWebSecurity
public class SecSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean("authenticationManager")
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
            return super.authenticationManagerBean();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user1").password("{noop}user1Pass").roles("USER")
            .and()
            .withUser("admin1").password("{noop}admin1Pass").roles("ADMIN");
    }

    @Override
    protected void configure(final HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/anonymous*").anonymous()
            .antMatchers("/login*").permitAll()
            .anyRequest().authenticated()
            
            .and()
            .formLogin()
            .loginPage("/login.html")
            .loginProcessingUrl("/login")
            .failureUrl("/login.html?error=true")
            
            .and()
            .logout().deleteCookies("JSESSIONID")
            
            .and()
            .rememberMe().key("uniqueAndSecret")
            ;
    }
}

如您所见,使用 rememberMe() 的基本配置非常简单,同时通过附加选项保证可扩展性。 key 在这里很重要——它是整个应用程序的私有秘钥,将在生成令牌的内容时使用。

此外,可以使用 tokenValiditySeconds() 令牌有效时间从默认的 2 周配置为 - 例如 - 一天:

rememberMe().key("uniqueAndSecret").tokenValiditySeconds(86400)

我们还可以看看等价的 XML 配置:


    
    
    

    
    

    



    
        
            
            
        
    

3。登录表格

登录表单类似于我们用于表单登录的那个





    

Login

User:
Password:
Remember Me:

注意新添加的 checkbox 输入会映射到 remember-me。这个添加的输入足以在Remember Me激活的情况下登录。

此默认路径也可以更改为:

.rememberMe().rememberMeParameter("remember-me-new")

4。Cookie

该机制将在用户登录时创建一个额外的 cookie——"remember-me" cookie。

Remember Me cookie 包含以下数据:

  • 用户名 -- 标识登录的主体
  • expirationTime -- 使 cookie 过期;默认为 2 周
  • MD5 hash -- 前 2 个值的 -- usernameexpirationTime ,加上 password 和预定义的 key

这里首先要注意的是 usernamepassword 都是 cookie 的一部分——这意味着,如果其中任何一个被更改,cookie 将不再有效。此外,可以从 cookie 中读取 username

此外,如果 Remember Me 的 cookie 被捕获,此机制可能会受到攻击。 cookie 将是有效且可用的,直到它过期或更改凭据。

5。实际使用

要查看 Remember Me 机制的工作情况,您需要:

  • 登录时记得我活跃
  • 等待会话过期(或删除浏览器中的 JSESSIONID cookie)
  • 刷新页面

如果 Remember Me 已经失效,cookie 过期后用户应该被 redirected back to the login page 。登录以后用户会在在新令牌/cookie 的帮助下保持登录状态

6。结论

本教程展示了如何在安全配置中设置和配置 Remember Me,并简要描述了记录在 cookie 的数据类型。

具体实现可以在示例 Github 项目 -- 这是一个基于 Eclipse 的项目,所以它应该很容易导入和运行。

当项目在本地运行时,可以在 [localhost] 上访问 login.htmlhttp://localhost:8080/spring-... "Access the project on localhost")。

本文由博客一文多发平台 OpenWrite 发布!

你可能感兴趣的:(后端java)