Spring Security笔记：Remember Me

前一节学习了如何限制登录尝试次数，今天在这个基础上再增加一点新功能：Remember Me. 很多网站，比如博客园，在登录页面就有这个选项，勾选“下次自动登录”后，在一定时间段内，只要不清空浏览器Cookie，就可以自动登录。

一、spring-security.xml 最简单的配置

1     <http auto-config="true" use-expressions="true">
2         ...
3         <remember-me />
4     </http>

即：在<http></http>节点之间，加一行<rember-me/>，然后

1  <authentication-manager erase-credentials="false">  
2       ...
3 </authentication-manager>

在<authentication-manager>节点增加一个属性erase-credentials="false" ，配置的修改就算完了

二、登录页login.jsp

1 <input id="_spring_security_remember_me" name="_spring_security_remember_me" type="checkbox" value="true"/>

 加上这个checkbox勾选框即可

原理简析：按上面的步骤修改后，如果在登录时勾选了Remember Me，登录成功后，会在浏览器中生成一个名为SPRING_SECURITY_REMEMBER_ME_COOKIE的Cookie项，默认有效值为2周，其值是一个加密字符串，其值据说与用户名、密码等敏感数据有关！

下次再进入该页面时，Spring Security的springSecurityFilterChain这个Filter会检测有没有这个Cookie，如果有，就自动登录。

三、安全性分析

安全性分析：这样虽然很方便，但是大家都知道Cookie毕竟是保存在客户端的，很容易盗取，而且cookie的值还与用户名、密码这些敏感数据相关，虽然加密了，但是将敏感信息存在客户端，毕竟不太安全。

建议：对于一些重要操作，比如：电子商务中的在线支付、修改用户密码等需要本人亲自操作的业务环节，还是要将用户引导至登录页，重新登录，以保证安全。为了达到这个目的，代码就必须在jsp前端以java后端，有办法检测出当前登录的用户,是否通过“Remember Me Cookie”自动登录，还是通过“输入用户名、密码”安全登录。

在jsp前端检查是否Remember Me自动登录很简单，直接使用security提供的tag标签即可，类似下面这样：

1 <%@taglib prefix="sec" uri="http://www.springframework.org/security/tags"%>
2 ...
3 <sec:authorize access="isRememberMe()">
4         ...    
5 </sec:authorize>

在java 服务端的Controller中，可这样检测：

 1     /**
 2      * 判断用户是否从Remember Me Cookie自动登录
 3      * @return
 4      */
 5     private boolean isRememberMeAuthenticated() {
 6 
 7         Authentication authentication = SecurityContextHolder.getContext()
 8                 .getAuthentication();
 9         if (authentication == null) {
10             return false;
11         }
12 
13         return RememberMeAuthenticationToken.class
14                 .isAssignableFrom(authentication.getClass());
15     }

此外，spring security还提供了remember me的另一种相对更安全的实现机制 :在客户端的cookie中，仅保存一个无意义的加密串（与用户名、密码等敏感数据无关），然后在db中保存该加密串-用户信息的对应关系，自动登录时，用cookie中的加密串，到db中验证，如果通过，自动登录才算通过。

先在db中创建一张表：

 1 --Remember Me持久化保存记录
 2 create table PERSISTENT_LOGINS
 3 (
 4   username  VARCHAR2(64) not null,
 5   series   VARCHAR2(64) not null,
 6   token     VARCHAR2(64) not null,
 7   last_used DATE not null
 8 );
 9 
10 alter table PERSISTENT_LOGINS
11   add constraint PK_PERSISTENT_LOGIN primary key (series);

然后将spring-security.xml中<remember-me/> 改为：

1 <remember-me data-source-ref="dataSource" 
2         token-validity-seconds="1209600" 
3         remember-me-parameter="remember-me" />

data-source-ref指定数据源，token-validity-seconds表示cookie的有效期（秒为单位），remember-me-parameter对应登录页上checkbox的名字。

这样处理后，勾选Remember me登录会在PERSISTENT_LOGINS表中，生成一条记录：

logout时，该记录以及客户端的cookie都会同时清空。

最后，如果不想用默认的表名persistent_logins，可研究下：

org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl

org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices

这二个类的源码 以及 相关文章：

http://forum.spring.io/forum/spring-projects/security/126343-spring-3-1-persistenttokenbasedremembermeservices-and-usernamepasswordauthentication

http://www.fengfly.com/document/springsecurity3/remember-me.html

http://docs.huihoo.com/spring/spring-security/3.0.x/remember-me.html#remember-me-persistent-token