前一节学习了如何限制登录尝试次数,今天在这个基础上再增加一点新功能:Remember Me. 很多网站,比如博客园,在登录页面就有这个选项,勾选“下次自动登录”后,在一定时间段内,只要不清空浏览器Cookie,就可以自动登录。
一、spring-security.xml 最简单的配置
1 <http auto-config="true" use-expressions="true"> 2 ... 3 <remember-me /> 4 </http>
即:在<http></http>节点之间,加一行<rember-me/>,然后
1 <authentication-manager erase-credentials="false"> 2 ... 3 </authentication-manager>
在<authentication-manager>节点增加一个属性erase-credentials="false" ,配置的修改就算完了
二、登录页login.jsp
1 <input id="_spring_security_remember_me" name="_spring_security_remember_me" type="checkbox" value="true"/>
加上这个checkbox勾选框即可
原理简析:按上面的步骤修改后,如果在登录时勾选了Remember Me,登录成功后,会在浏览器中生成一个名为SPRING_SECURITY_REMEMBER_ME_COOKIE的Cookie项,默认有效值为2周,其值是一个加密字符串,其值据说与用户名、密码等敏感数据有关!
下次再进入该页面时,Spring Security的springSecurityFilterChain这个Filter会检测有没有这个Cookie,如果有,就自动登录。
三、安全性分析
安全性分析:这样虽然很方便,但是大家都知道Cookie毕竟是保存在客户端的,很容易盗取,而且cookie的值还与用户名、密码这些敏感数据相关,虽然加密了,但是将敏感信息存在客户端,毕竟不太安全。
建议:对于一些重要操作,比如:电子商务中的在线支付、修改用户密码等需要本人亲自操作的业务环节,还是要将用户引导至登录页,重新登录,以保证安全。为了达到这个目的,代码就必须在jsp前端以java后端,有办法检测出当前登录的用户,是否通过“Remember Me Cookie”自动登录,还是通过“输入用户名、密码”安全登录。
在jsp前端检查是否Remember Me自动登录很简单,直接使用security提供的tag标签即可,类似下面这样:
1 <%@taglib prefix="sec" uri="http://www.springframework.org/security/tags"%> 2 ... 3 <sec:authorize access="isRememberMe()"> 4 ... 5 </sec:authorize>
在java 服务端的Controller中,可这样检测:
1 /** 2 * 判断用户是否从Remember Me Cookie自动登录 3 * @return 4 */ 5 private boolean isRememberMeAuthenticated() { 6 7 Authentication authentication = SecurityContextHolder.getContext() 8 .getAuthentication(); 9 if (authentication == null) { 10 return false; 11 } 12 13 return RememberMeAuthenticationToken.class 14 .isAssignableFrom(authentication.getClass()); 15 }
此外,spring security还提供了remember me的另一种相对更安全的实现机制 :在客户端的cookie中,仅保存一个无意义的加密串(与用户名、密码等敏感数据无关),然后在db中保存该加密串-用户信息的对应关系,自动登录时,用cookie中的加密串,到db中验证,如果通过,自动登录才算通过。
先在db中创建一张表:
1 --Remember Me持久化保存记录 2 create table PERSISTENT_LOGINS 3 ( 4 username VARCHAR2(64) not null, 5 series VARCHAR2(64) not null, 6 token VARCHAR2(64) not null, 7 last_used DATE not null 8 ); 9 10 alter table PERSISTENT_LOGINS 11 add constraint PK_PERSISTENT_LOGIN primary key (series);
然后将spring-security.xml中<remember-me/> 改为:
1 <remember-me data-source-ref="dataSource" 2 token-validity-seconds="1209600" 3 remember-me-parameter="remember-me" />
data-source-ref指定数据源,token-validity-seconds表示cookie的有效期(秒为单位),remember-me-parameter对应登录页上checkbox的名字。
这样处理后,勾选Remember me登录会在PERSISTENT_LOGINS表中,生成一条记录:
logout时,该记录以及客户端的cookie都会同时清空。
最后,如果不想用默认的表名persistent_logins,可研究下:
org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl
org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices
这二个类的源码 以及 相关文章:
http://forum.spring.io/forum/spring-projects/security/126343-spring-3-1-persistenttokenbasedremembermeservices-and-usernamepasswordauthentication
http://www.fengfly.com/document/springsecurity3/remember-me.html
http://docs.huihoo.com/spring/spring-security/3.0.x/remember-me.html#remember-me-persistent-token