# rememe-me 认证

# 概述

Remember-Me 或 Persistent-Login 身份验证是指网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送一个 cookie 来实现的,在将来的会话中会检测到该 cookie,并导致自动登录。 Spring 安全性为这些操作的发生提供了必要的挂钩,并且具有两个具体的 Rememe-me 实现。一种是使用散列来保护基于 Cookie 的令牌的安全性,另一种是使用数据库或其他持久存储机制来存储生成的令牌。

注意,这两个实现都需要UserDetailsService。如果你使用的身份验证提供程序不使用UserDetailsService(例如,LDAP 提供程序),那么它将无法工作,除非你的应用程序上下文中也有UserDetailsService Bean。

# 一种简单的基于散列的令牌方法

这种方法使用散列来实现一个有用的 rememe-me 策略。本质上,在成功进行交互身份验证后,cookie 会被发送到浏览器,cookie 的组成如下:

base64(username + ":" + expirationTime + ":" +
md5Hex(username + ":" + expirationTime + ":" password + ":" + key))

username:          As identifiable to the UserDetailsService
password:          That matches the one in the retrieved UserDetails
expirationTime:    The date and time when the remember-me token expires, expressed in milliseconds
key:               A private key to prevent modification of the remember-me token

因此,Rememe-Me 令牌仅在指定的时间段内有效,并且前提是用户名、密码和密钥不会更改。值得注意的是,这有一个潜在的安全问题,因为捕获的 Rememe-Me 令牌可以从任何用户代理使用,直到令牌过期为止。这是与摘要身份验证相同的问题。如果委托人知道某个令牌已被捕获,他们可以很容易地更改其密码,并立即使所有发行的 Rememe-Me 令牌无效。如果需要更重要的安全性,则应该使用下一节中描述的方法。或者,根本不应该使用 Rememe-me 服务。

如果你熟悉名称空间配置一章中讨论的主题,那么只需添加<remember-me>元素,就可以启用 rememe 身份验证:

<http>
...
<remember-me key="myAppKey"/>
</http>

UserDetailsService通常会被自动选择。如果你的应用程序上下文中有多个应用程序,那么你需要指定应该使用user-service-ref属性中的哪个属性,其中的值是你的UserDetailsService Bean 的名称。

# 持久令牌方法

这种方法是以http://jaspan.com/improved_persistent_login_cookie_best_practice (opens new window)为基础的,对[1]作了一些小的修改。要在名称空间配置中使用这种方法,你需要提供一个数据源引用:

<http>
...
<remember-me data-source-ref="someDataSource"/>
</http>

数据库应该包含一个persistent_logins表,该表使用以下 SQL(或等效的 SQL)创建:

create table persistent_logins (username varchar(64) not null,
								series varchar(64) primary key,
								token varchar(64) not null,
								last_used timestamp not null)

# Remember-Me 接口和实现

remember-me 用于UsernamePasswordAuthenticationFilter,并通过AbstractAuthenticationProcessingFilter超类中的钩子实现。它也在BasicAuthenticationFilter中使用。钩子将在适当的时候调用一个具体的RememberMeServices。界面如下所示:

Authentication autoLogin(HttpServletRequest request, HttpServletResponse response);

void loginFail(HttpServletRequest request, HttpServletResponse response);

void loginSuccess(HttpServletRequest request, HttpServletResponse response,
	Authentication successfulAuthentication);

请参考 Javadoc 以更全面地讨论这些方法的作用,尽管在此阶段注意AbstractAuthenticationProcessingFilter只调用loginFail()loginSuccess()方法。当SecurityContextHolder不包含Authentication时,autoLogin()方法被RememberMeAuthenticationFilter调用。因此,该接口为底层的 Rememe-Me 实现提供了与身份验证相关的事件的充分通知,并在候选 Web 请求可能包含 Cookie 并希望被记住时将其委托给实现。这种设计允许任意数量的 rememe-me 实现策略。我们在上文中已经看到, Spring Security 提供了两种实现方式。我们将依次讨论这些问题。

# TokenBaseDreMemberMeservices

该实现支持一种简单的基于散列的令牌方法中描述的更简单的方法。TokenBasedRememberMeServices生成一个RememberMeAuthenticationToken,它由RememberMeAuthenticationProvider处理。在此身份验证提供程序和TokenBasedRememberMeServices之间共享key。此外,TokenBasedRememberMeServices需要一个 UserDetailsService,它可以从中检索用户名和密码以进行签名比较,并生成RememberMeAuthenticationToken以包含正确的GrantedAuthoritys。应用程序应该提供某种类型的注销命令,如果用户请求,该命令会使 cookie 无效。TokenBasedRememberMeServices还实现了 Spring Security 的LogoutHandler接口,因此可以与LogoutFilter一起使用,以自动清除 cookie。

在应用程序上下文中启用 Remember-Me 服务所需的 bean 如下:

<bean id="rememberMeFilter" class=
"org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
<property name="rememberMeServices" ref="rememberMeServices"/>
<property name="authenticationManager" ref="theAuthenticationManager" />
</bean>

<bean id="rememberMeServices" class=
"org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
<property name="userDetailsService" ref="myUserDetailsService"/>
<property name="key" value="springRocks"/>
</bean>

<bean id="rememberMeAuthenticationProvider" class=
"org.springframework.security.authentication.RememberMeAuthenticationProvider">
<property name="key" value="springRocks"/>
</bean>

不要忘记将RememberMeServices实现添加到UsernamePasswordAuthenticationFilter.setRememberMeServices()属性中,在AuthenticationManager.setProviders()列表中包含RememberMeAuthenticationProvider,并将RememberMeAuthenticationFilter添加到FilterChainProxy(通常在UsernamePasswordAuthenticationFilter之后)。

# 坚持以 DREMEMBERMESERVICE 为基础

这个类可以以与TokenBasedRememberMeServices相同的方式使用,但是它还需要配置一个PersistentTokenRepository来存储令牌。有两种标准的实现方式。

  • InMemoryTokenRepositoryImpl仅用于测试。

  • JdbcTokenRepositoryImpl,它将令牌存储在数据库中。

上面在持久令牌方法中描述了数据库模式。


1。本质上,用户名不包含在 cookie 中,以防止暴露有效的登录名。在本文的评论部分对此进行了讨论。

Session ManagementOpenID