zoukankan      html  css  js  c++  java

  • 【杂谈】Remember-Me的实现

    前言

      此篇随笔记录了Remember-Me实现过程中出现的问题和解决方案,以及相关的思考。

    正文

    1. RememberMe是什么?

    RememberMe意为记住我,对应登录界面的那个勾选项。另一种说法,就是自动登录。

    2. 那什么又是自动登录呢?

    我们知道Tomcat或者其他Servlet容器的会话都是有时限的,比如Tomcat的会话时间为30分钟,如果30分钟内没有访问,会话将被清除,这时候就不满足登录状态了。那你发出下一个请求,按照正常逻辑就会被拦截下来,告知你没有登录,然后跳转到登录界面让你重新登录。自动登录做的就是,当会话过期后,请求会根据Cookie信息实现透明登录。也就是重新又登录了一遍,产生了一个新的会话。但是在用户看来,他根本不知道发生了什么,而且重新登录的过程中不需要再让用户输入账号密码。

    3. 为什么不把会话时间调大一点呢?

    Tomcat的会话时间是可配置的。你可以设置成3天或者更久。但是这样就加大了服务器的开销。你设置3天,意味着一个HttpSession将会由Tomcat保留3天。(这里到底是保存在内存还是磁盘尚不确定,运行时内存的可能比较大),前面说了RemememberMe其实是自动登录,也就是说,它不会影响会话存在的时间。而且新会话的产生只能由新的请求触发。

    如果用户登录后只浏览了10分钟,就挂着不动了,在都没有进行登出操作的情况下。对比一下两种方案的最大开销(服务端保留无用会话的时间)

    第一种:3天会话时间  => 3天 - 10分钟 => 3*24*60 - 10 = 4310 分钟 

    第二种:30分钟会话时间(默认) => 30 - 10 分钟 = 20分钟

    4. RememberMe的原理是什么?

    本质上就是Cookie。在登录成功后,如果用户有勾选“记住我”,则服务端在响应中加上Remember-Me的cookie,让浏览器保存一段时间,如7天。在7天之内,如果用户会话过期,可凭此实现透明的重新登录。

    5. Cookie中包含哪些内容呢?

    1. 用户账号  => 不然无法知道谁要登录,而且需要依此获取密码,生成新签名进行比对

    2. 过期时间 => 过期的时间节点,即如果浏览器没有及时自动清除此cookie,服务端收到后要据此删除。

    3. 与密码有关的签名 => 如果没有密码的相关信息,那就很容易地通过伪造cookie,来登录其他人的账号。但是密码又不能是明文,必须经过加密。而且不能或者不能太容易被解开。

    6. Spring Security中的Cookie格式

    Base64(username:expireTime:MD5(username:expireTime:password:secretKey))

    其中,签名signature由username、expireTime、password、secretKey组成的字符串,进过MD5加密而成。随后再整合username、expireTime利用Base64编码而成,Base64是可解码的。最终结果,基本上就是一条乱码了。

    7. Cookie有了,服务端要怎么处理呢?

    那就是Filter的事情了。需要定义一个Remember Me的Filter专门处理这个Cookie。值得一提的是,校验Cookie重新认证的过程还是要查数据库的,所以应该做到只有在必要的时候,即会话过期的时候,才执行校验操作。

    8. Remember Me Filter与Login Filter的兼容

    Login Filter所做的就是,让没有登录的用户,必须登录后才能处理请求。一般会直接返回错误码,让前端跳转到登录页,或者直接重定向到登录页。所以Remeber Me Filter肯定要放置在Login Filter之前。即会话过期后,先进行的应该是自动登录。

    9. 登出后,Cookie的删除

    用户执行登出操作后,肯定要删除浏览器的Cookie。否则,在Cookie过期之前,还是可以通过自动登录的方式,进入网站。但是,你不可能要求用户去操作浏览器,删除Cookie。这些操作应该由服务端完成。但是HTTP协议只有Set-Cookie的头,却没有类似Remove-Cookie这样的头。HttpServletResponse也没有明确的API可以删除客户端的Cookie。后来想到即可以通过添加不保存的同名Cookie来覆盖要删除的Cookie,后来参考了下Security的实现,发现它也是这么做的。代码如下:

    public void logout(HttpServletRequest request, HttpServletResponse response) {
    //利用覆盖的方法删除客户端的remember-me cookie
    Cookie cookie = new Cookie("remember-me", (String)null);
    cookie.setMaxAge(0);
    response.addCookie(cookie);
    request.getSession().invalidate();
}
  • 相关阅读:
    Volley的post使用
    android中asynctask的使用实例
    android中HttpClient的应用(POST方法)
    gson在android中的应用
    7、Web应用程序中的安全向量 -- 使用Retail部署配置
    6、Web应用程序中的安全向量 -- customErrors(适当的错误报告和堆栈跟踪)
    5、Web应用程序中的安全向量 -- Open Redirect Attack(开放重定向)
    4、Web应用程序中的安全向量 -- over-posting(重复提交)
    3、Web应用程序中的安全向量 -- cookie盗窃
    2、Web应用程序中的安全向量 -- CSRF/XSRF(跨站请求伪造)
  • 原文地址:https://www.cnblogs.com/longfurcat/p/10547834.html
Copyright © 2011-2022 走看看