Remember-Me

已于 2022-04-05 16:51:31 修改
阅读量191 收藏
点赞数
分类专栏: Spring Security 文章标签: SpringSecurity Remenber_Me
于 2022-04-05 16:50:44 首次发布
原文链接:https://docs.spring.io/spring-security/reference/servlet/authentication/rememberme.html
版权

Remember-me 或者 persistent-login 身份验证是指网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送 cookie 来实现的,在以后的会话中检测到 cookie 并完成自动登录。Spring Security 提供了执行这些操作所需的挂钩,并有两个具体的 remember-me 实现。一种使用散列来保持基于 cookie 的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。

注意,这两个实现都需要 UserDetailsService。如果您使用的身份验证提供程序不使用 UserDetailsService (例如,LDAP 提供程序) ,那么除非在应用程序上下文中还有一个 UserDetailsService bean,否则它将无法工作。

一种简单的基于散列的令牌方法(Simple Hash-Based Token Approach)

这种方法使用散列来实现一个有用的 remember-me 策略。实际上,成功的交互式身份验证后,cookie 被发送到浏览器,其组成如下:

base64(username + ":" + expirationTime + ":" +
md5Hex(username + ":" + expirationTime + ":" password + ":" + key))

username:          作为 UserDetailsService 的标识
password:          与检索到的 UserDetails 中的一个匹配
expirationTime:   Remember-me 令牌失效的日期和时间,以毫秒表示
key:               一个用于防止修改 remember-me 令牌的私钥

因此,remember-me 令牌仅在指定的时间段内有效,并且用户名、密码和密钥不变。值得注意的是,这有一个潜在的安全问题,因为捕获的 remember-me 令牌将可以从任何用户代理使用,直到令牌过期为止。这与摘要式身份验证的问题相同。如果一个主体知道一个令牌已经被捕获,他们可以很容易地更改他们的密码并立即使所有记住我的令牌失效。如果需要更重要的安全性,应该使用下一节中描述的方法。或者,remember-me 服务根本不应该被使用。

如果您熟悉名称空间配置一章中讨论的主题,您可以通过添加 < remember-me > 元素来启用 remember-me 身份验证:

...
<remember-me key="myAppKey"/>
</http>

UserDetailsService 通常会被自动选择。如果应用程序上下文中有多个属性,则需要指定应该将哪个属性与 user-service-ref 属性一起使用,其中的值是 UserDetailsService bean 的名称。

持久令牌方法(Persistent Token Approach)

这种方法是基于 http://jaspan.com/improved_persistent_login_cookie_best_practice 的文章,只是做了一些小的修改(从本质上讲,用户名并不包含在 cookie 中,以防止无意中暴露一个有效的登录名)。为了在名称空间配置中使用这种方法,你需要提供一个数据源引用:

<http>
...
<remember-me data-source-ref="someDataSource"/>
</http>

数据库应该包含一个 persistent _ logins 表,该表使用以下 SQL (或等效)创建:

create table persistent_logins (username varchar(64) not null,
								series varchar(64) primary key,
								token varchar(64) not null,
								last_used timestamp not null)

Remember-Me 接口和实现

Remember-me 与 UsernamePasswordAuthenticationFilter 一起使用,并通过 AbstractAuthenticationProcessingFilter 超类中的钩子实现。它也在 BasicAuthenticationFilter 中使用。钩子会在适当的时候调用一个具体的记忆服务。接口是这样的:

Authentication autoLogin(HttpServletRequest request, HttpServletResponse response);

void loginFail(HttpServletRequest request, HttpServletResponse response);

void loginSuccess(HttpServletRequest request, HttpServletResponse response,
	Authentication successfulAuthentication);

请参考 Javadoc 以获得关于这些方法做什么的更全面的讨论,尽管在这个阶段要注意 AbstractAuthenticationProcessingFilter 只调用 loginFail ()和 loginSuccess ()方法。只要 SecurityContextHolder 不包含身份验证,RememberMeAuthenticationFilter 就会调用 autoLogin ()方法。因此,该接口为基础 remember-me 实现提供了与认证相关事件的充分通知,并在候选 web 请求可能包含 cookie 并希望被记住时委托实现。这种设计允许任何数量的记住我的实现策略。我们已经在上面看到 Spring Security 提供了两个实现。我们将依次看看这些。

TokenBasedRememberMeServices

此实现支持简单的基于散列的令牌方法中描述的更简单的方法。TokenBasedRememberMeServices生成一个RememberMeAuthenticationToken,该令牌RememberMeAuthenticationProvider处理。此身份验证提供程序和TokenBasedRememberMeServices之间共享密钥。此外,TokenBasedRememberMeServices需要UserDetailsService,它可以从该服务检索用户名和密码以进行签名比较,并生成RememberMeAuthenticationToken以包含正确的rantedAuthoritys。
应用程序应该提供某种注销命令,如果用户请求注销命令,该命令将使cookie无效。TokenBasedRememberMeServices还实现了Spring Security的LogoutHandler接口,因此可以与LogoutFilter一起使用,以自动清除cookie。应用程序上下文中启用Remory-Me服务所需的Bean如下所示:

<bean id="rememberMeFilter" class=
"org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
<property name="rememberMeServices" ref="rememberMeServices"/>
<property name="authenticationManager" ref="theAuthenticationManager" />
</bean>

<bean id="rememberMeServices" class=
"org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
<property name="userDetailsService" ref="myUserDetailsService"/>
<property name="key" value="springRocks"/>
</bean>

<bean id="rememberMeAuthenticationProvider" class=
"org.springframework.security.authentication.RememberMeAuthenticationProvider">
<property name="key" value="springRocks"/>
</bean>

不要忘记将你的 RememberMeServices 实现添加到你的 UsernamePasswordAuthenticationFilter.setRememberMeServices ()属性中,将 RememberMeAuthenticationProvider 包含在你的 AuthenticationManager.setProviders ()列表中,并将 RememberMeAuthenticationFilter 添加到你的 FilterChainProxy 中(通常在你的 UsernamePasswordAuthenticationFilter 之后)。

PersistentTokenBasedRememberMeServices

这个类可以像 TokenBasedRememberMeServices 一样使用,但是它还需要配置一个 PersistentTokenRepository 来存储这些令牌。有两种标准实现。

  • InMemoryTokenRepositoryImpl 基于内存的 Token Repository,只用于测试
  • JdbcTokenRepositoryImpl 基于数据库的 Token Repository
    上面在 持久令牌方法 中描述了数据库模式

参考 SpringSecurity 官方文档

C000der
关注
专栏目录
一个以约定为主的轻量化 Remember Me服务设计
大继的博客
11-26 258
起源:          由于老板讨厌第三方登陆.需要实现一个查看不需要在session超时登陆的动作。 问题:          1:现系统全以登陆为主系统已经完全开发完成,不能像shiro那样来嵌入各个登陆状态及权级.          2:必须在不改动现有代码现在这个功能 还好:         1: 多数增修是按POST 来处理(这里就是突破点) 需求: 1:需
Spring Security 配置 Remember Me
hunterzhang86的博客
10-03 396
1。概述 本教程将展示如何使用 Spring Security 在 Web 应用程序中启用和配置 Remember Me。之前已经讨论过设置安全和简单表单登录的 MVC 应用程序。 该机制将能够跨多个会话识别用户——首先要了解的是,Remember Me 仅在会话超时后才会启动。默认情况下,用户在 30 分钟不活跃后会超时,但在 web.xml 中可以配置超时时间。 注意:本教程重点介绍基于标准 cookie 的方法。对于持久化方法,请查看 Spring Security -- Persistent Rem
第十三章 RememberMe——《跟我学Shiro》
jinnianshilongnian的专栏
03-17 810
  目录贴: 跟我学Shiro目录贴   Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5471
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
spring security】前后端分离,设置rememberMe后通过cookie自动登录之KEY的使用(三)
Meditation_Crazy
10-18 750
问题 延续上章留下的问题,百度了下,搜到以下结果 结果1 https://www.jianshu.com/p/83973a37fd34
passport-remember-me:记住我的Passport和Node.js Cookie身份验证策略
05-16
$ npm install passport-remember-me 用法 配置策略 “记住我”身份验证策略使用存储在“记住我” cookie中的令牌对用户进行身份验证。 该策略需要verify回调,该回调使用令牌并done向用户提供的调用。 该策略还...
Spring Security(12)——Remember-Me功能
Elim的博客
06-08 9644
本文主要介绍Spring Security的Remember-Me机制,以及如何通过配置实现“记住我”功能。
remember-me:“记住我以前的旅行”的简单抽象
05-12
var rememberMe = require('rememberMe'); rememberMe.set( ); // sets default data (url) rememberMe.set( { foo: 'bar' } ); // sets default data and this data rememberMe.set( { url: 'foo' } ); //
spring security 3.0x remember-me 免登陆
08-03
.rememberMe().rememberMeServices(rememberMeServices()) .key("key") // 同上面的key .rememberMeParameter("remember-me") // 前端提交的参数名 .tokenRepository(persistentTokenRepository()) ....
Magento-Remember-Me:向 Magento 登录表单添加“记住我”选项
06-19
如果使用自定义主题修改登录模板请注意/app/design/frontend/base/default/template/rememberme/目录。 该目录中的模板会覆盖基本登录表单,因此需要在那里复制自定义更改。 此扩展通过延长 cookie 的生命周期来...
Shiro学习(13)RememberMe
04-07 592
Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览器还是记住你的; 3、访问一般的网页服务器端还是知
Shiro高版本默认密钥的漏洞利用
12-10 6457
在Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
Shiro第十三章-RememberMe和Cookie
海恩的博客
04-30 5947
简介 首先在登录页面选中remember me然后登录成功;如果是浏览器登录,一般会把remember me的cookie写到客户端保存下来; 关闭浏览器再次打开,会发现浏览器还是记住你的; 访问一般的网页服务端还是知道你是谁的,且能正常访问; 但是比如我们访问淘宝时,如果要查看我的订单或进行支付时,还是需要再进行身份验证,以确定当前用户还是你。 remember me...
【Shiro 框架总结】8 RememberMe
FullStackDeveloper0的博客
04-17 402
一、概述 Shiro 提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 首先在登录页面选中 RememberMe 然后登录成功;如果是浏览器登录,一般会把 RememberMe 的Cookie 写到客户端并 保存下来; 关闭浏览器再重新打开;会发现浏览器还是记住你的;...
Spring Security 中的 RememberMe 登录,so easy!
m0_71777195的博客
11-26 1128
RememberMe 这个功能非常常见,图 6-1 所示就是 QQ 邮箱登录时的“记住我”选项。提到 RememberMe,一些初学者往往会有一些误解,认为 RememberMe 功能就是把用户名/密码用 Cookie 保存在浏览器中,下次登录时不用再次输入用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户关闭浏览器重新打开,就要再次登录,这样太过于烦琐。
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3654
spring security 记住我 rememberMe
第十三章 RememberMe——《跟我学Shiro》
superviser3000的博客
07-06 626
目录贴: 跟我学Shiro目录贴 Shiro提供了记住我(RememberMe)的功能,比如访问如淘宝等一些网站时,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问,基本流程如下: 1、首先在登录页面选中RememberMe然后登录成功;如果是浏览器登录,一般会把RememberMe的Cookie写到客户端并保存下来; 2、关闭浏览器再重新打开;会发现浏览器还是记住你的...
java中shiro记住密码_java shiro配置记住密码功能 RememberMe
weixin_29009401的博客
03-01 482
2019独角兽企业重金招聘Python工程师标准>>> 一般来讲,记住密码的基本处理,就是把用户的一些基本信息(密码)存入浏览器的Cookie,下次登录的时候优先验证Cookie,后端做处理;以此来实现记住密码的功能!使用shiro自带的RememberMe功能,使用起来比较简单,只需简单的配置。需注意一点的是,网站如果对安全性要求比较高的,一般都不建议有记住密码的功能! 因为C...
SpringBoot Shiro(三) Remember Me记住密码(附源码)
飞奔的波大爷的博客
12-14 4810
Spring Boot Shiro Remember Me 本章接着上一章节《Spring Boot Shiro(二)用户认证(附源码)》 当用户成功登录后,关闭浏览器然后再打开浏览器访问,页面会跳转到登录页,之前的登录因为浏览器的关闭已经失效。 Shiro为我们提供了Remember Me的功能,用户的登录状态不会因为浏览器的关闭而失效,直到Cookie过期。 更改 ShiroConfig 继续...
Spring Security如何使用Remember-me功能
最新发布
04-28
Spring Security提供了Remember-me功能来让用户在下次访问时无需重新登录。要启用Remember-me功能,可以按照以下步骤进行配置: 1. 在Spring Security配置文件中启用Remember-me功能,例如: ``` http .rememberMe() .key("remember-me-key") .rememberMeParameter("remember-me") .tokenValiditySeconds(86400) .userDetailsService(userDetailsService); ``` 其中,key是用来加密Remember-me cookie的密钥,rememberMeParameter是用来接收Remember-me cookie的请求参数,tokenValiditySeconds是Remember-me cookie的有效期,userDetailsService是用来根据用户名获取用户信息的服务。 2. 在登录页面中添加Remember-me的复选框,例如: ``` <input type="checkbox" name="remember-me" value="true" /> Remember me ``` 3. 在登录成功后生成Remember-me cookie,例如: ``` @RequestMapping(value = "/login", method = RequestMethod.POST) public String login(@RequestParam("username") String username, @RequestParam("password") String password, @RequestParam(value = "remember-me", required = false) boolean rememberMe, HttpServletResponse response) { // 验证用户名和密码 // ... // 生成Remember-me cookie if (rememberMe) { TokenBasedRememberMeServices rememberMeServices = new TokenBasedRememberMeServices("remember-me-key", userDetailsService); rememberMeServices.setTokenValiditySeconds(86400); rememberMeServices.setAlwaysRemember(true); rememberMeServices.loginSuccess(request, response, authentication); } // ... } ``` 其中,如果用户勾选了Remember-me复选框,则调用TokenBasedRememberMeServices的loginSuccess方法生成Remember-me cookie。 4. 在下次访问时验证Remember-me cookie,例如: ``` http .csrf().disable() .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .rememberMe() .key("remember-me-key") .rememberMeParameter("remember-me") .tokenValiditySeconds(86400) .userDetailsService(userDetailsService); ``` 其中,Remember-me cookie会在每次请求时被自动验证,如果验证通过,则用户会被认为已经登录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值