springsecurity remember-me 功能

Posted 水军

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了springsecurity remember-me 功能相关的知识,希望对你有一定的参考价值。

 

  本文基于spring-security-web-4.1.2.RELEASE。

 

要实现rememberMe,有两种方案。

1.基于简单加密token的方法

首先需要在配置文件中加入<remember-me />,然后在登录页表单中加入复选框即可。

<input type="checkbox" name="remember-me" value="true" checked="checked"/>两周之内不必登陆

分析:

这种方式实现方式是在当用户选择了记住我成功登录后,Spring Security会判断request中是否包含remember-me参数,判断逻辑在spring-security-web包的

  org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices中,如下:

        String paramValue = request.getParameter(parameter);

        if (paramValue != null) {
            if (paramValue.equalsIgnoreCase("true") || paramValue.equalsIgnoreCase("on")
                    || paramValue.equalsIgnoreCase("yes") || paramValue.equals("1")) {
                return true;
            }
        }

然后服务器将会生成一个token放入cookie(该cookie默认名称remember-me)中。token值由如下方式组成:

base64(username+":"+expirationTime+":"+md5Hex(username+":"+expirationTime+":"+password+":"+key))

  • username:登录的用户名。
  • password:登录的密码。
  • expirationTime:token失效的日期和时间,以毫秒表示。
  • key:用来防止修改token的一个key。

生成cookie的逻辑在org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices中。源码如下:

String username = retrieveUserName(successfulAuthentication);
        String password = retrievePassword(successfulAuthentication);

        // If unable to find a username and password, just abort as
        // TokenBasedRememberMeServices is
        // unable to construct a valid token in this case.
        if (!StringUtils.hasLength(username)) {
            logger.debug("Unable to retrieve username");
            return;
        }

        if (!StringUtils.hasLength(password)) {
            UserDetails user = getUserDetailsService().loadUserByUsername(username);
            password = user.getPassword();

            if (!StringUtils.hasLength(password)) {
                logger.debug("Unable to obtain password for user: " + username);
                return;
            }
        }

        int tokenLifetime = calculateLoginLifetime(request, successfulAuthentication);
        long expiryTime = System.currentTimeMillis();
        // SEC-949
        expiryTime += 1000L * (tokenLifetime < 0 ? TWO_WEEKS_S : tokenLifetime);
      //生成加密后的token
        String signatureValue = makeTokenSignature(expiryTime, username, password);

        setCookie(new String[] { username, Long.toString(expiryTime), signatureValue },
                tokenLifetime, request, response);

以后客户端再次访问受限资源时,spring-security解码名为remember-me的cookie,获得有效期限和username,判断后自动在系统中认证,从而实现免登录。

这样做是存在安全隐患的,那就是在用户获取到实现记住我功能的cookie后,任何用户都可以在该cookie过期之前通过该cookie进行自动登录,即是说无法防范cookie被盗用后带来的风险。

如果希望我们的应用能够更安全一点,可以使用接下来要介绍的持久化token方式,或者不使用Remember-Me功能,因为Remember-Me功能总是有点不安全的。

2.基于persistent(持久化)token的方法

最简单的实现方式如下:

a.配置文件:

   
<!-- token有两种持久化方案,一种基于内存(InMemoryTokenRepositoryImpl),一种基于数据库(JdbcTokenRepositoryImpl)-->
<!-- 这里我们选择基于数据库的方式,需要注入dataSource(请自行配置DataSource)-->

  <remember-me data-source-ref="dataSource"/>

b.数据库中插入表 persistent_logins,插入表的语句是 org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl 提供的,其中还定义了固定的sql语句来查询token。请自行阅读源码。

 create table persistent_logins (username varchar(64) not null default ‘‘, series varchar(64) primary key, token varchar(64) not null , last_used timestamp not null)

c.在登录页表单中加入复选框

<input type="checkbox" name="remember-me" value="true" checked="checked"/>两周之内不必登陆

这样就完成了持久化token的设置。

 

分析:

基于持久化token的方法采用这样的实现逻辑:

       (1)用户选择了“记住我”成功登录后,将会把username、随机产生的序列号、生成的token存入一个数据库表中,同时将它们的组合生成一个cookie发送给客户端浏览器。

       (2)当下一次没有登录的用户访问系统时,首先检查cookie,如果对应cookie中包含的username、序列号和token与数据库中保存的一致,则表示其通过验证,系统将重新生成一个新的token替换数据库中对应组合的旧token,序列号保持不变,同时删除旧的cookie,重新生成包含新生成的token,就的序列号和username的cookie发送给客户端。

       (3)如果检查cookie时,cookie中包含的username和序列号跟数据库中保存的匹配,但是token不匹配。这种情况极有可能是因为你的cookie被人盗用了,由于盗用者使用你原本通过认证的cookie进行登录了导致旧的token失效,而产生了新的token。这个时候Spring Security就可以发现cookie被盗用的情况,它将删除数据库中与当前用户相关的所有token记录,这样盗用者使用原有的cookie将不能再登录,同时提醒用户其帐号有被盗用的可能性。

       (4)如果对应cookie不存在,或者包含的username和序列号与数据库中保存的不一致,那么将会引导用户到登录页面。

从以上逻辑我们可以看出持久化token的方法比简单加密token的方法更安全,因为一旦你的cookie被人盗用了,你只要再利用原有的cookie试图自动登录一次,那么该用户相关token将会失效,同时用户可以发现自己的cookie有被盗用的可能性。

另外,可以通过复写 类org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl 并配置<remember-me token-repository-ref=‘‘/>来应用自定义的数据库表,相信看过源码的同学们都做得到。

以上是关于springsecurity remember-me 功能的主要内容,如果未能解决你的问题,请参考以下文章

258.Spring Boot+Spring Security:记住我(Remember-Me): 基于简单加密token的方案

259.Spring Boot+Spring Security:记住我(Remember-Me): 基于持久化token的方案

spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法

场景应用:SpringSecurity记住我功能实现

Spring Security 入门(1-12)Spring Security - remember me!

Spring Security(12)——Remember-Me功能