自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验并建立登录态的一种机制。
Spring Security提供了两种非常好的令牌:
- 散列算法加密用户必要的登录信息并生成令牌
- 数据库等持久性数据存储机制用的持久化令牌
散列加密方案
在Spring Security中加入自动登录的功能非常简单:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/api/user/**").hasRole("user") //user 角色访问/api/user/开头的路由
.antMatchers("/api/admin/**").hasRole("admin") //admin 角色访问/api/admin/开头的路由
.antMatchers("/api/public/**").permitAll() //允许所有可以访问/api/public/开头的路由
.and()
.formLogin()
.and()
.rememberMe().userDetailsService(userDetailsService()); //记住密码
}
重启服务后访问受限 API,这次在表单登录页中多了一个可选框:
勾选“Remember me on this computer”可选框(简写为Remember-me),按照正常的流程登录,并在开发者工具中查看浏览器cookie,可以看到除JSESSIONID外多了一个值:
这是Spring Security默认自动登录的cookie字段。在不配置的情况下,过期时间是两个星期:
Spring Security会在每次表单登录成功之后更新此令牌,具体处理方式在源码中:
RememberConfigurer: