效果:在用户的session(会话)过期或者浏览器关闭后,应用程序仍能记住它。用户可选择是否被记住。(在登录界面选择)
 
“记住”是什么意思?
    就是下次你再访问的时候,直接进入系统,而不需要输入用户名密码。
 
实现原理:使用一个remember-me cookie存储在浏览器内,用户通过该浏览器再次访问网站的时候,网站识别出remember-me cookie,此用户自动登录。
 
两种方式:
①基于Token  => 依赖于“加密签名”,即服务端根据参数生成一个Token进行对比
②基于持久化 => 依赖于数据存储,即服务端将保留Token
 
一、基于Token的Remember-Me
Remember-me cookie : Base64编码过的字符串,存储在浏览器内
包含以下信息:
  • 用户名
  • 过期时间
  • MD5Hash码(token/signature) =>由过期时间、用户名、密码、<remember-me>元素秘钥等字段生成
注意:cookie中并不包含密码,有包含就危险了,虽然MD5码是由密码字段参与生成的,不过MD5是单向的,几乎不可能被破解,况且又不是只有密码,还有其他字段存在
 
Cookie都是不可靠的,如何应用于安全服务?
答:可以将cookie中的token和后台生成的token进行对比,实行“校验”操作
 
操作流程:
    ①用户将Remeber-me cookie发到后台,即包括用户名,过期时间,token
    ②后台通过用户名获取到对应密码
    ③后台利用用户名、密码、过期时间、<remember-me>元素的key这几个字段生成Token
    ④将生成的Token与Cookie中的Token进行对比
    ⑤如果Token相同,则用户自动登录系统

 
为何安全?
答:因为如果不知道key和密码基本不可能生成Token,其一,key只有此应用知道,写死在配置文件里的,其二,密码只有用户本人知道。
 
绝对安全吗?
答:不是的,按照上面的逻辑,只要token是对的,就能登录。这就有问题了,如果token不是本人在用呢?实际上token可能会被窃取。
想象这样一种情况,有个恶意用户通过网络嗅探,获取到了某个用户发请求时候带上的token,然后他也在某天发请求的时候也带上这个token,是不是就直接登录了呢?

 
那怎么防止Token被人嗅探到呢?
答:利用SSL安全协议,即https,用户和服务端的连接是安全的,收发的信息不会被嗅探到。
 
二、基于Persistent(持久化)的Remember-Me
   
Remember-me cookie:
  • Series identifiers(序列化标识符)=> 标识用户初始化登录,不会改变
  • Token => 每次使用Remember-Me特性后,都会改变(每次自动登录都会改变Token)
 
与基于Token的Remember-Me有何不同?
    ①基于Token的Token是通过MD5生成。而基于Persistent的Token是直接根据从数据库中取
    ②基于Token的Token(或者叫签名)除非到达过期时间,或者用户更改了密码,否则不会过期。而基于Persistent的Token,是每次用完就过期了,后台会生成新的Token存储在数据库供下次自动登录使用。
 

Spring Security 之 Remember-Me (记住我)的更多相关文章

  1. Spring Security构建Rest服务-0900-rememberMe记住我

    Spring security记住我基本原理: 登录的时候,请求发送给过滤器UsernamePasswordAuthenticationFilter,当该过滤器认证成功后,会调用RememberMeS ...

  2. Spring Security 实现记住我

    开篇一张图,道理全靠悟. 示例如下: 1.    新建Maven项目  remember_me 2.   pom.xml <project xmlns="http://maven.ap ...

  3. Spring Security框架下实现两周内自动登录"记住我"功能

    本文是Spring Security系列中的一篇.在上一篇文章中,我们通过实现UserDetailsService和UserDetails接口,实现了动态的从数据库加载用户.角色.权限相关信息,从而实 ...

  4. spring security实现记住我下次自动登录功能

    目录 spring security实现记住我下次自动登录功能 一.原理分析 二.实现方式 2.1 简单实现方式 2.2 数据库实现方式 三.区分是密码登录还是rememberme登录 spring ...

  5. spring security remember me实现自动登录

    1 默认策略 在我们自定义的login中增加一个选择框 <input type="submit" value="Login" /> <br/& ...

  6. 第一章 Spring Security是什么?

    1. 介绍 1.1 Spring Security是什么? Spring Security是一个强大的和高度可定制的身份验证和访问控制框架. 它是保证基于spring的应用程序安全的实际标准. 1.2 ...

  7. 使用 Spring Security 保护 Web 应用的安全

    安全一直是 Web 应用开发中非常重要的一个方面.从安全的角度来说,需要考虑用户认证和授权两个方面.为 Web 应用增加安全方面的能力并非一件简单的事情,需要考虑不同的认证和授权机制.Spring S ...

  8. 【Spring】关于Boot应用中集成Spring Security你必须了解的那些事

    Spring Security Spring Security是Spring社区的一个顶级项目,也是Spring Boot官方推荐使用的Security框架.除了常规的Authentication和A ...

  9. Spring Security 入门详解(转)

    1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理 ...

随机推荐

  1. 20155326 2017-2018-1 《信息安全系统设计基础》第2周学习及课堂总结myod

    20155326 2017-2018-1 <信息安全系统设计基础>第1次学习及课堂总结myod 虚拟机之前出了一些问题,然后我重新弄了一个新的虚拟机. 先在虚拟机里面安装了git. 安完以 ...

  2. noip第24课作业

    1.  马走日 [问题描述] 马在中国象棋以日子形规则移动.请编写一段程序给定n*m大小的棋盘,以及马的初始位置(x,y),要求不能重复经过棋盘上的同一个点,计算马可以有多少途径遍历棋盘上的所有点. ...

  3. hdu 4282 枚举,非二分

    http://acm.hdu.edu.cn/showproblem.php?pid=4282 对于方程X^Z + Y^Z + XYZ = K,已知K求此方程解的个数,其中要求X<Y,Z>1 ...

  4. ace富文本编辑器

    在线文本编辑器(ACE Editor) ACE是一个实现了语法着色功能的基于Web的代码编辑器,具有良好的代码提示功能和大量的主题. 一.资源获取 官方网址:https://ace.c9.io/ Gi ...

  5. 前端开发 - jQuery

    本节内容 一.jQuery概述 二.选择器 三.操作DOM 四.修改DOM结构 五.事件 六.动画 七.AJAX(待续) 八.扩展(待续) 一.jQuery概述 jQuery 是一个 JavaScri ...

  6. LogisticRegression in MLLib (PySpark + numpy+matplotlib可视化)

    参考'LogisticRegression in MLLib' (http://www.cnblogs.com/luweiseu/p/7809521.html) 通过pySpark MLlib训练lo ...

  7. 魔方Newlife.Cube权限系统的使用及模版覆盖详解

    讲人:大石头 时间:2018-11-14 晚上20:00 地点:钉钉群(组织代码BKMV7685)QQ群:1600800 内容:魔方Newlife.Cube权限系统的使用及模版覆盖详解 准备 源码地址 ...

  8. Django(ORM常用字段)

    day68 参考:http://www.cnblogs.com/liwenzhou/p/8688919.html 1. Django ORM常用字段:             1. AutoField ...

  9. [Visual Studio] 记一次排错:打不开 Nuget 包管理器里的安装package页面,无法 安装 / 恢复 包

    出差一阵子PC很久没用了, 回来在用Visual Studio (2017) 的时候, 工程里无法安装Package了  >_<    --- 也不知道电脑做了什么?--- Nuget包管 ...

  10. JS 跨域认识及如何解决

    什么是跨域 指的是浏览器不允许javascrip脚本向其他域名发起ajax请求. 跨域的各种情况判定 URL 说明 是否允许通信 http://www.a.com/a.js http://www.a. ...