10.5 Remember-Me Authentication

5.5.1概览

Remember-me与 UsernamePasswordAuthenticationFilter 一起使用,并通过 AbstractAuthenticationProcessingFilter 超类中的钩子实现。它也应用于 BasicAuthenticationFilter。钩子将在适当的时间调用具体的 RememberMeServices 。界面如下:

Authentication autoLogin(HttpServletRequest request, HttpServletResponse response);

void loginFail(HttpServletRequest request, HttpServletResponse response);

void loginSuccess(HttpServletRequest request, HttpServletResponse response,

    Authentication successfulAuthentication);

请参考JavaDoc以更全面地讨论方法的作用,注意,尽管在这个阶段 AbstractAuthenticationProcessingFilter 只调用LoginFail()和LoginsAccess()方法。每当 SecurityContextholder 不包含一个 Authentication 时,RememberMeAuthenticationFilter 就会调用 autologin() 方法。因此,此接口为基础的remember-me实现提供了与身份验证相关事件的充分通知,并在候选Web请求可能包含cookie并希望被记住时委托给实现。这种设计允许任何数量的“remember-me”实现策略。上面我们已经看到了Spring Security 提供了两种实现。我们依次看这些。

TokenBasedRememberMeServices

此实现支持第10.5.2节 “Simple Hash-Based Token Approach”     中描述的更简单的方法。TokenBasedRememberMeServices 生成一个RememberMeauthenticationToken,由RememberMeauthenticationProvider 处理。此身份验证提供程序和 TokenBasedRememberMeServices 之间共享key。此外,TokenBasedRememberMeServices 需要一个 UserDetailsService ,它可以从中检索用于签名比较的用户名和密码,并生成 RememberMeAuthenticationToken 以包含正确的 GrantedAuthority s。应用程序应提供某种注销命令,以使用户请求以后使cookie失效。TokenBasedRememberMeServices 还实现了Spring Security的 LogoutHandler 接口,因此可以与 LogoutHandler 一起使用,以便自动清除cookie。

应用程序上下文中启用“记住我”服务所需的bean如下:

"org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">

"org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">

"org.springframework.security.authentication.RememberMeAuthenticationProvider">

不要忘记将 RememberMeServices 实现添加到您的UsernamePasswordAuthenticationFilter.setRememberMeServices()属性中,在AuthenticationManager.setProviders()列表中包含RememberMeAuthenticationProvider,并将RememberMeAuthenticationFilter添加到您的FilterChainProxy 中(通常在您的UsernamePasswordAuthenticationFilter之后)。

PersistentTokenBasedRememberMeServices

此类的使用方式与 TokenBasedRememberMeServices相同,但它还需要配置一个 PersistentTokenRepository 来存储令牌。这里有两种标准实现。

InMemoryTokenRepositoryImpl,仅用于测试。

JDBCtokenRepositoryImpl,它将令牌存储在数据库中。

上面第10.5.3节 “Persistent Token Approach”. 描述了数据库模式。

你可能感兴趣的:(10.5 Remember-Me Authentication)