当你登录了某个网站,过了好几天再去访问,可能会发现当前已经是登录状态,因为客户端一直保存着你的登录信息。虽然服务端session也可以维持用户会话状态,但是如果要维持一两周甚至更长时间,会造成服务端数据量太大。所以这里存储在客户端如cookie。
rememberMe实现自动登录
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.rememberMe()
.tokenValiditySeconds(3600 * 24 * 14) //保存2周
.and()
.csrf().disable();
rememberMe() 就会自动开启此功能。此时登录页面上会多了一个remember me的选项,勾选
登录时会发现多传了一个参数 remember-me:on,
看一下cookie,多了一个remember-me,当你在服务端的session超时后,就会尝试通过浏览器上的remember-me来登录。
用数据库保存token
上面的做法,其实仍然是把remember-me保存在服务端做验证,仍然占用服务端资源,当然也无法支持集群。改进方案就是把remember-me信息保存到数据库。
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.and()
.rememberMe()
.tokenValiditySeconds(3600 * 24 * 14)
.tokenRepository(tokenRepository())//令牌存储到数据库
.and()
.csrf().disable();
}
@Autowired
DataSource dataSource;
@Bean
public PersistentTokenRepository tokenRepository() {
JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
tokenRepository.setDataSource(dataSource);
//tokenRepository.setCreateTableOnStartup(true); //第一次自动建表,之后关闭
return tokenRepository;
}
tokenRepository.setCreateTableOnStartup(true)会自动创建persistent_logins表,如果已经创建好了表,就要关掉这一行。以下是登录后persistent_logins表记录,客户端remember-me值用base64解码后,就是series和token。
- username:用户账号
- series:相当于主键,验证自动登录时,通过它来查找用户token,这个值是不会变的。
- token:通过用户账号、密码、时间、密钥(系统随机生成)等进行加密算法,得到的结果就是token。自动登录时,通过remember-me解码的series查到数据库中的token,对比remember-me解码的token,如果一致,则自动登录成功,同时更新token和客户端remember-me,提高安全性。
- last_used:最后一次使用自动登录的时间。