【杂谈】Remember-Me的实现

前言

　　此篇随笔记录了Remember-Me实现过程中出现的问题和解决方案，以及相关的思考。

正文

1. RememberMe是什么？

RememberMe意为记住我，对应登录界面的那个勾选项。另一种说法，就是自动登录。

2. 那什么又是自动登录呢？

我们知道Tomcat或者其他Servlet容器的会话都是有时限的，比如Tomcat的会话时间为30分钟，如果30分钟内没有访问，会话将被清除，这时候就不满足登录状态了。那你发出下一个请求，按照正常逻辑就会被拦截下来，告知你没有登录，然后跳转到登录界面让你重新登录。自动登录做的就是，当会话过期后，请求会根据Cookie信息实现透明登录。也就是重新又登录了一遍，产生了一个新的会话。但是在用户看来，他根本不知道发生了什么，而且重新登录的过程中不需要再让用户输入账号密码。

3. 为什么不把会话时间调大一点呢？

Tomcat的会话时间是可配置的。你可以设置成3天或者更久。但是这样就加大了服务器的开销。你设置3天，意味着一个HttpSession将会由Tomcat保留3天。（这里到底是保存在内存还是磁盘尚不确定，运行时内存的可能比较大），前面说了RemememberMe其实是自动登录，也就是说，它不会影响会话存在的时间。而且新会话的产生只能由新的请求触发。

如果用户登录后只浏览了10分钟，就挂着不动了，在都没有进行登出操作的情况下。对比一下两种方案的最大开销（服务端保留无用会话的时间）

第一种：3天会话时间  => 3天 - 10分钟 => 3*24*60 - 10 = 4310 分钟

第二种：30分钟会话时间（默认） => 30 - 10 分钟 = 20分钟

4. RememberMe的原理是什么？

本质上就是Cookie。在登录成功后，如果用户有勾选“记住我”，则服务端在响应中加上Remember-Me的cookie，让浏览器保存一段时间，如7天。在7天之内，如果用户会话过期，可凭此实现透明的重新登录。

5. Cookie中包含哪些内容呢？

1. 用户账号  => 不然无法知道谁要登录，而且需要依此获取密码，生成新签名进行比对

2. 过期时间 => 过期的时间节点，即如果浏览器没有及时自动清除此cookie，服务端收到后要据此删除。

3. 与密码有关的签名 => 如果没有密码的相关信息，那就很容易地通过伪造cookie，来登录其他人的账号。但是密码又不能是明文，必须经过加密。而且不能或者不能太容易被解开。

6. Spring Security中的Cookie格式

Base64(username:expireTime:MD5(username:expireTime:password:secretKey))

其中，签名signature由username、expireTime、password、secretKey组成的字符串，进过MD5加密而成。随后再整合username、expireTime利用Base64编码而成，Base64是可解码的。最终结果，基本上就是一条乱码了。

7. Cookie有了，服务端要怎么处理呢？

那就是Filter的事情了。需要定义一个Remember Me的Filter专门处理这个Cookie。值得一提的是，校验Cookie重新认证的过程还是要查数据库的，所以应该做到只有在必要的时候，即会话过期的时候，才执行校验操作。

8. Remember Me Filter与Login Filter的兼容

Login Filter所做的就是，让没有登录的用户，必须登录后才能处理请求。一般会直接返回错误码，让前端跳转到登录页，或者直接重定向到登录页。所以Remeber Me Filter肯定要放置在Login Filter之前。即会话过期后，先进行的应该是自动登录。

9. 登出后，Cookie的删除

用户执行登出操作后，肯定要删除浏览器的Cookie。否则，在Cookie过期之前，还是可以通过自动登录的方式，进入网站。但是，你不可能要求用户去操作浏览器，删除Cookie。这些操作应该由服务端完成。但是HTTP协议只有Set-Cookie的头，却没有类似Remove-Cookie这样的头。HttpServletResponse也没有明确的API可以删除客户端的Cookie。后来想到即可以通过添加不保存的同名Cookie来覆盖要删除的Cookie，后来参考了下Security的实现，发现它也是这么做的。代码如下：

public void logout(HttpServletRequest request, HttpServletResponse response) {
    //利用覆盖的方法删除客户端的remember-me cookie
    Cookie cookie = new Cookie("remember-me", (String)null);
    cookie.setMaxAge(0);
    response.addCookie(cookie);
    request.getSession().invalidate();
}