记住我remember-me功能的几种实现方式

最新推荐文章于 2023-06-09 10:12:20 发布
最新推荐文章于 2023-06-09 10:12:20 发布
阅读量1.8w 收藏 18
点赞数 9
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangchao2061/article/details/51179393
版权
        本文讨论几种记住我功能的实现方式。

        原理:用户登录后,服务端为用户生成一个Token,并放入客户端Cookie中。下次用户登录,服务端验证Cookie中的Token并自动登录。

  • 简单的Token生成方法
            Token=MD5Hex(username+分隔符+expiryTime+分隔符+password)
            CookieValue=Base64(username+分隔符+expiryTime+分隔符+Token)
            username:用户名。
            password:用户密码。
            expiryTime:Token的失效时间,以毫秒表示。

            该方法生成的Token不需要持久化,每次生成时失效时间不同,可保证Token不同(也可以在Token中增加一些变量,如系统配置的key)。用户第一次登陆时生成Token;第二次打开系统时,根据CookieValue中username查询数据库,并重新生成Token,验证用户提交Token是否正确,如果正确成功登入系统,如果不正确,调整到登陆页面。

            存在安全问题。当用户Cookie被窃取(HttpOnly增加安全性),任何用户都可以在Token失效之前登录。发现被盗用,可以修改password来使Token失效,或者系统在用户每次登入系统时都重新生成Token。

            缺点:由于Token没有持久化,所以需要从已知的变量(如username、password、expiryTime)重新生成来验证,password即使加密放入前台,也不是一个好的解决方法。纵然不使用password,也需要其他变量来保证Token的可靠性。

  • 持久化的Token生成方法

            Token的生成规则可以自定义,只要保证每次username的Token不一样就可,例如采用16位随机数(如Java的SecureRandom)。规则同上面类似,只是将Token与用户信息解耦。但是安全问题依旧存在。

  • 持久化Token生成方法并验证Cookie是否被窃取
            Token:随机生成策略,只要保证username唯一性。
            series:登录序列号,随机生成策略。用户输入用户名和密码登录时,该值重新生成。使用remember-me功能,该值保持不变,重新生成Token。
             expiryTime:Token过期时间。
            1)每次用户选择记住我并登录后,都重新随机生成series、Token,保存到数据库和前端Cookie中。
            2)下一次用户再次访问系统,情况一:前台Cookie中保存的series值在数据库中不存在,跳转到登录页面。情况二:series、Token与数据库中一致,则仍为合法用户,并保持series不变,重新随机生成Token,覆盖前台Cookie值。情况三:series在数据库中存在,但Token不一致,说明Cookie被窃取。


情况一、同用户相同浏览器访问系统
步骤
用户A浏览器
1 A登录成功,series=seriesA,token=tokenA
2 在Token失效之前该浏览器访问系统,合法,生成series=seriesA,token=tokenB。
3 Token失效,或者用户重新登录,生成series=seriesB,token=tokenC

情况二、同用户不同浏览器访问系统

步骤
用户A浏览器X
用户A浏览器Y
1 浏览器X登录成功,series=seriesA,token=tokenA  
2   浏览器Y访问,无series信息,用户重新登录,series=seriesB,token=tokenB
3 浏览器X再次问题,seriesA失效,需要重新登录  


情况三、Cookie被盗
步骤 用户A 黑客B
1 A登录成功,生成series=seriesA,token=tokenA  
2   盗取A Cookie,使用series=seriesA,token=tokenA登入系统成功,重新生成series=seriesA,token=tokenB
3 A再次访问,发现serieA相同,但是Token不同,提醒用户Cookie被盗  

              安全问题依然存在。当然,可以考虑用户访问等级,如用户名密码登录级别最高,而对于Token记住我登录次之,对于一些重要的业务操作时(如支付),还是需要进行用户身份认证。
            还可以考虑用户IP,但现在移动用户,经常切换WiFi和网络,所以IP也会发生变化。例如手机银行(如招行客户端)切换网络后,需要重新登录,提高安全性。
            还可以考虑,用户常用IP、城市等安全策略。

            还有Shiro也实现了该记住我功能,但是本人没有使用过,等退后学习了再来更新。













enyes_fang
关注
  • 9
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
passport-remember-me:记住我的Passport和Node.js Cookie身份验证策略
05-16
护照-记住我 基于“记住我” cookie进行身份验证的策略。 该模块使您可以在Node.js应用程序中使用“记住我” cookie(也称为持久登录)进行身份验证。 通过插入Passport,请记住我,身份验证可以轻松,毫不费力地集成到任何支持风格中间件(包括应用程序或框架中。 安装 $ npm install passport-remember-me 用法 配置策略 “记住我”身份验证策略使用存储在“记住我” cookie中的令牌对用户进行身份验证。 该策略需要verify回调,该回调使用令牌并done向用户提供的调用。 该策略还需要issue回调,发出新令牌。 出于安全原因,请记住,令牌在使用后应失效。 issue回调提供了一个新令牌,该令牌将存储在cookie中,以备下次使用。 passport.use(new RememberMeStrategy( function(
Spring Security 构建rest服务实现rememberme 记住功能
08-27
主要介绍了Spring Security 构建rest服务实现rememberme 记住功能,需要的朋友可以参考下
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2248
Spring Security 之 RememberMe
Spring Security实现RememberMe功能以及原理探究
热门推荐
不清不慎的博客
04-27 1万+
在大多数网站中,都会实现RememberMe这个功能,方便用户在下一次登录时直接登录,避免再次输入用户名以及密码去登录,下面,主要讲解如何使用Spring Security实现记住我这个功能以及深入源码探究它的原理。 首先,如下图所示为Spring Security实现RememberMe功能的原理图: 首先你进入登录页面,输入用户名以及密码进行登录,通过前几篇文章我们知道了Sprin...
SpringBoot整合SpringSecurity系列(5)-登录状态控制
TianXinCoord的博客
04-18 1299
文章目录一、Remember Me1.1 PersistentTokenRepository1.2 "记住我"功能配置二、系统退出控制三、403处理方案 一、Remember Me Spring Security中 Remember Me 为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true Spring Security在用户登录后会自动把登录信息存储到数据库,后续就可以不登录进行访问 Spring Security实现Remember Me功能底层实现依赖spring-
shareference实现记住我”的功能
12-11
android存储数据之sharedference 实现记住我的功能
记住功能实现
dianzhongqu2330的博客
05-26 285
一、登陆时记住功能实现。 1. 首先在前端界面添加一个单选框,当表单提交的时候会一起提交过来。同时单选框发送的属性值分为ture和false。 <input type="submit" id="btnLogin" value="登录" class="login-btn" /><span id="errorMsg" style="font-size:14px;c...
实现记住我”功能
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
05-15 2200
这章继续扩展功能,来一个“记住我”的功能实现,就是说用户在登录一次以后,系统会记住这个用户一段时间,这段时间内用户不需要重新登录就可以使用系统。
【深入浅出 Spring Security(七)】RememberMe的实现原理详讲
最新发布
qq_63691275的博客
06-09 1405
RememberMe 实质呢就是将令牌以 Cookie 的形式响应给浏览器,然后浏览器进行了本地存储,等下次再次访问资源的时候,即会拿该令牌连请求一起到服务器端,令牌会使得后台进行自动登录(即用户认证)。
记住我的实现方式
菩提本无树 明镜亦非台 本来无一物 何处惹尘埃
08-05 455
https://www.cnblogs.com/aspnet_csharp/archive/2012/10/18/2729609.html
实现记住密码功能
01-15
实现网页记住密码功能。。。。。。。。。。。。。。。。。。。。。。
remember-me:“记住我以前的旅行”的简单抽象
05-12
"remember-me": "git+ssh://[email protected]:holidayextras/remember-me.git#1.0.0" } } 用法 放 var rememberMe = require('rememberMe'); rememberMe.set( ); // sets default data (url) rememberMe.set( { foo:...
remember-me-feature
04-30
通过Vaadin实施“记住我” 登录... 您可以在阅读完整的教程下载,编译和运行示例git clone https://github.com/alejandro-du/remember-me-feature.gitcd remember-me-featuremvn clean package jetty:run将浏览器指向
Magento-Remember-Me:向 Magento 登录表单添加“记住我”选项
06-19
为登录表单添加“记住我”选项。 如果使用自定义主题修改登录模板请注意/app/design/frontend/base/default/template/rememberme/目录。 该目录中的模板会覆盖基本登录表单,因此需要在那里复制自定义更改。 此...
Hessian客户端向服务端发送请求头
fangchao2061的专栏
08-30 4326
Hessian 请求头
<jsp:include> 嵌套Servlet请求,导致Stream closed异常
fangchao2061的专栏
05-12 2792
说明:标签,只能嵌套一个实体页面,不能嵌套一个Servlet请求;如果嵌套一个Servlet请求,可能后台报Stream closed错误。               如果该标签引用一个Servlet请求,如时,后台报错如下: java.io.IOException: Stream closed at org.apache.jasper.runtime.JspWriterImpl.en
定位JVM中占CPU较高的堆栈
fangchao2061的专栏
05-28 1979
疑问: 在linux中,使用top命令,发现某java进程占用CPU较高,如何定位到是那个线程,执行哪些代码导致的呢?
递归删除指定文件夹下所有文件
fangchao2061的专栏
02-12 544
/** * 删除文件夹,包括文件夹下所有文件 * * @param path 文件夹路径 */ public static void deleteFile(String path) { File pathFile = new File(path); if (!pathFile.exists()) { return; } el
Spring Security如何使用Remember-me功能
04-28
Spring Security提供了Remember-me功能来让用户在下次访问时无需重新登录。要启用Remember-me功能,可以按照以下步骤进行配置: 1. 在Spring Security配置文件中启用Remember-me功能,例如: ``` http .rememberMe() .key("remember-me-key") .rememberMeParameter("remember-me") .tokenValiditySeconds(86400) .userDetailsService(userDetailsService); ``` 其中,key是用来加密Remember-me cookie的密钥,rememberMeParameter是用来接收Remember-me cookie的请求参数,tokenValiditySeconds是Remember-me cookie的有效期,userDetailsService是用来根据用户名获取用户信息的服务。 2. 在登录页面中添加Remember-me的复选框,例如: ``` <input type="checkbox" name="remember-me" value="true" /> Remember me ``` 3. 在登录成功后生成Remember-me cookie,例如: ``` @RequestMapping(value = "/login", method = RequestMethod.POST) public String login(@RequestParam("username") String username, @RequestParam("password") String password, @RequestParam(value = "remember-me", required = false) boolean rememberMe, HttpServletResponse response) { // 验证用户名和密码 // ... // 生成Remember-me cookie if (rememberMe) { TokenBasedRememberMeServices rememberMeServices = new TokenBasedRememberMeServices("remember-me-key", userDetailsService); rememberMeServices.setTokenValiditySeconds(86400); rememberMeServices.setAlwaysRemember(true); rememberMeServices.loginSuccess(request, response, authentication); } // ... } ``` 其中,如果用户勾选了Remember-me复选框,则调用TokenBasedRememberMeServices的loginSuccess方法生成Remember-me cookie。 4. 在下次访问时验证Remember-me cookie,例如: ``` http .csrf().disable() .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .rememberMe() .key("remember-me-key") .rememberMeParameter("remember-me") .tokenValiditySeconds(86400) .userDetailsService(userDetailsService); ``` 其中,Remember-me cookie会在每次请求时被自动验证,如果验证通过,则用户会被认为已经登录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值