springsecurity remember-me 功能
本文基于spring-security-web-4.1.2.RELEASE。
要实现rememberMe,有两种方案。
1.基于简单加密token的方法
首先需要在配置文件中加入<remember-me />,然后在登录页表单中加入复选框即可。
<input type="checkbox" name="remember-me" value="true" checked="checked"/>两周之内不必登陆
分析:
这种方式实现方式是在当用户选择了记住我成功登录后,Spring Security会判断request中是否包含remember-me参数,判断逻辑在spring-security-web包的
org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices中,如下:
String paramValue = request.getParameter(parameter); if (paramValue != null) { if (paramValue.equalsIgnoreCase("true") || paramValue.equalsIgnoreCase("on") || paramValue.equalsIgnoreCase("yes") || paramValue.equals("1")) { return true; } }
然后服务器将会生成一个token放入cookie(该cookie默认名称remember-me)中。token值由如下方式组成:
base64(username+":"+expirationTime+":"+md5Hex(username+":"+expirationTime+":"+password+":"+key))
- username:登录的用户名。
- password:登录的密码。
- expirationTime:token失效的日期和时间,以毫秒表示。
- key:用来防止修改token的一个key。
生成cookie的逻辑在org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices中。源码如下:
String username = retrieveUserName(successfulAuthentication); String password = retrievePassword(successfulAuthentication); // If unable to find a username and password, just abort as // TokenBasedRememberMeServices is // unable to construct a valid token in this case. if (!StringUtils.hasLength(username)) { logger.debug("Unable to retrieve username"); return; } if (!StringUtils.hasLength(password)) { UserDetails user = getUserDetailsService().loadUserByUsername(username); password = user.getPassword(); if (!StringUtils.hasLength(password)) { logger.debug("Unable to obtain password for user: " + username); return; } } int tokenLifetime = calculateLoginLifetime(request, successfulAuthentication); long expiryTime = System.currentTimeMillis(); // SEC-949 expiryTime += 1000L * (tokenLifetime < 0 ? TWO_WEEKS_S : tokenLifetime); //生成加密后的token String signatureValue = makeTokenSignature(expiryTime, username, password); setCookie(new String[] { username, Long.toString(expiryTime), signatureValue }, tokenLifetime, request, response);
以后客户端再次访问受限资源时,spring-security解码名为remember-me的cookie,获得有效期限和username,判断后自动在系统中认证,从而实现免登录。
这样做是存在安全隐患的,那就是在用户获取到实现记住我功能的cookie后,任何用户都可以在该cookie过期之前通过该cookie进行自动登录,即是说无法防范cookie被盗用后带来的风险。
如果希望我们的应用能够更安全一点,可以使用接下来要介绍的持久化token方式,或者不使用Remember-Me功能,因为Remember-Me功能总是有点不安全的。
2.基于persistent(持久化)token的方法
最简单的实现方式如下:
a.配置文件:
<!-- token有两种持久化方案,一种基于内存(InMemoryTokenRepositoryImpl),一种基于数据库(JdbcTokenRepositoryImpl)--> <!-- 这里我们选择基于数据库的方式,需要注入dataSource(请自行配置DataSource)--> <remember-me data-source-ref="dataSource"/>
b.数据库中插入表 persistent_logins,插入表的语句是 org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl 提供的,其中还定义了固定的sql语句来查询token。请自行阅读源码。
create table persistent_logins (username varchar(64) not null default '', series varchar(64) primary key, token varchar(64) not null , last_used timestamp not null)
c.在登录页表单中加入复选框
<input type="checkbox" name="remember-me" value="true" checked="checked"/>两周之内不必登陆
这样就完成了持久化token的设置。
分析:
基于持久化token的方法采用这样的实现逻辑:
(1)用户选择了“记住我”成功登录后,将会把username、随机产生的序列号、生成的token存入一个数据库表中,同时将它们的组合生成一个cookie发送给客户端浏览器。
(2)当下一次没有登录的用户访问系统时,首先检查cookie,如果对应cookie中包含的username、序列号和token与数据库中保存的一致,则表示其通过验证,系统将重新生成一个新的token替换数据库中对应组合的旧token,序列号保持不变,同时删除旧的cookie,重新生成包含新生成的token,就的序列号和username的cookie发送给客户端。
(3)如果检查cookie时,cookie中包含的username和序列号跟数据库中保存的匹配,但是token不匹配。这种情况极有可能是因为你的cookie被人盗用了,由于盗用者使用你原本通过认证的cookie进行登录了导致旧的token失效,而产生了新的token。这个时候Spring Security就可以发现cookie被盗用的情况,它将删除数据库中与当前用户相关的所有token记录,这样盗用者使用原有的cookie将不能再登录,同时提醒用户其帐号有被盗用的可能性。
(4)如果对应cookie不存在,或者包含的username和序列号与数据库中保存的不一致,那么将会引导用户到登录页面。
从以上逻辑我们可以看出持久化token的方法比简单加密token的方法更安全,因为一旦你的cookie被人盗用了,你只要再利用原有的cookie试图自动登录一次,那么该用户相关token将会失效,同时用户可以发现自己的cookie有被盗用的可能性。
另外,可以通过复写 类org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl 并配置<remember-me token-repository-ref=''/>来应用自定义的数据库表,相信看过源码的同学们都做得到。
