springsecurity开启remember-me,关闭浏览器再登录后端报错
SEVERE: Servlet.service() for servlet [springMvcServlet] in context with path [/brate] threw exception
org.springframework.security.web.authentication.rememberme.CookieTheftException: Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack.
at
.......
【原因】:
持久令牌机制的工作原理。
从头开始(persistent_logins 表中没有条目):
登录成功: 将使用一些随机散列为用户创建一个持久令牌。 为用户创建了一个带有令牌详细信息的 cookie。 为用户创建一个会话。
只要用户仍然有一个活动会话,就不会在身份验证时调用记住我功能。
用户会话过期后: 记住我功能启动并使用 cookie 从数据库中获取持久令牌。如果持久化令牌与来自 cookie 的令牌匹配,那么每个人都会在用户通过身份验证时感到高兴,生成一个新的随机散列,并用它更新持久化令牌,并且用户的 cookie 也会针对后续请求进行更新。
但如果 cookie 中的令牌与持久令牌的令牌不匹配,那么您会收到 CookieTheftException。令牌不匹配的最常见原因是 2 个或更多请求连续快速发出,第一个请求将通过,为后续请求生成新哈希,但第二个请求仍将使用旧令牌它并因此导致异常。
我的这个问题就是vue前端加载页面连续向后端发了两个请求导致了remember-me失效。