基于持久化的token的方法
实现原理:将生成的 token 存入 cookie 中并发送到客户端浏览器,待到下次用户访问系统时,系统将直接从客户端 cookie 中读取 token 进行认证。
实现过程:
- 用户选择了 “记住我” 成功登录后,将会把 username、随机产生的序列号、生成的 token 存入一个数据库表中,同时将它们的组合生成一个 cookie 发送给客户端浏览器。
- 当下一次没有登录的用户访问系统时,首先检查 cookie,如果对应 cookie 中包含的 username、序列号和 token 与数据库中保存的一致,则表示其通过验证,系统将重新生成一个新的 token 替换数据库中对应组合的旧 token,序列号保持不变,同时删除旧的 cookie,重新生成包含新生成的 token,就的序列号和 username 的 cookie 发送给客户端。
- 如果检查 cookie 时,cookie 中包含的 username 和序列号跟数据库中保存的匹配,但是 token 不匹配。这种情况极有可能是因为你的 cookie 被人盗用了,由于盗用者使用你原本通过认证的 cookie 进行登录了导致旧的 token 失效,而产生了新的 token。这个时候 Spring Security 就可以发现 cookie 被盗用的情况,它将删除数据库中与当前用户相关的所有 token 记录,这样盗用者使用原有的 cookie 将不能再登录,同时提醒用户其帐号有被盗用的可能性。
- 如果对应 cookie 不存在,或者包含的 username 和序列号与数据库中保存的不一致,那么将会引导用户到登录页面。
2:使用持久化的token,必须在专门建立一张数据表:
1 create table persistent_logins (username varchar(64) not null, 2 series varchar(64) primary key, 3 token varchar(64) not null, 4 last_used timestamp not null)
通过 remember-me 元素来使用,只是这个时候我们需要其 data-source-ref 属性指定对应的数据源,且需要指明使用哪个user-service-ref="userDetailsService",如果没有配置专门的userDetailsService,将会使用默认的userDetailsService
需要增加的配置有:
在<http>节点加入下列一行代码
1 <security:remember-me key="elim" user-service-ref="userDetailsService" data-source-ref="dataSource"/>
配置userDetailsService
<bean id="userDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
<property name="dataSource" ref="dataSource"/>
</bean>
在登陆界面需要加一行代码:
1 <input name="_spring_security_remember_me" type="checkbox" value="true"/> 2 记住密码
name必须为_spring_security_remember_me
在登陆页面上选择记住密码登陆成功以后
查看cookie
