1.RememberMe简介及用法

简介: RememberMe功能并非保存用户名密码,而是通过服务端生成持久化令牌(Token),借助Cookie实现关闭浏览器后仍保持登录状态。勾选“记住我”后,系统在响应头设置remember-me令牌,后续请求自动携带该令牌验证身份。为提升安全性,可将Token存入数据库并增加二次校验机制,防止令牌泄露带来的风险。

1.基本简介

RememberMe功能十分常见,如下图的QQ邮箱登录时的“记住我”的功能选项。

这里读者朋友们可能会有一个常见误区,“记住我”就是把用户的用户名/密码使用Cookie保存在浏览器,下次登录时不用再次输入,这个理解是非常不对的。

我们这里所说的RememberMe是一种服务器端的行为。传统的登录方式基于Session会话,一旦用户关闭浏览器重新打开,就要重新登录,这样太过于烦琐,如果有一种机制可以让用户关闭并重新打开浏览器之后,还能保持登录状态就会方便很多,这种实现之一就是RememberMe。

其大概实现如下面的流程所示,但是读者可能也发现这种将用户密码保存在浏览器的行为存在安全隐患。

2.基本用法

在前两天的内容后,我们直接在原有代码修改,增添RememberMe功能。

1.注册配置信息

package com.yzxb.SpringSecurity.config;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .rememberMe()
                .key("ikun")
                .and()
                .csrf().disable();
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("ikun")
                .password("5201314")
                .roles("admin");
    }
}

2.重启验证功能

此时重启项目,访问我们原来的接口:http://localhost:8080/demo/index,会发现登录窗口多了一个勾选框,当我们勾选之后,登录。之后关闭浏览器再次访问上述地址,就会发现无需重复登录了。

注意这里不要重启后端服务


那么这一切就因为多了一个勾选框就实现的流程,到底是怎么实现的呢?我们大概可以猜出来他会告诉服务端是否开启RememberMe功能,当请求后,我们会发现响应头多了一个Set-Cookie参数,如下图:

在响应头给了一个remember-me的字符串,以后所有的请求头Cookie字段都会自动携带这个令牌,服务端可以利用该令牌校验用户身份是否合法。

大致流程如上所述,但是读者们应该想起来我们前面说的问题了,这种令牌一旦泄露,不怀好意的Ikun们可以拿这个令牌随意访问系统,从而给系统带来风险和性能压力。怎么优化呢?

类似于我们前面的自定义认证一样,将Token持久化到DB即可。这里我们也可以做进一步的二次校验,从而保证系统的全局安全。

相关文章
|
7月前
|
Dubbo IDE API
SpringCloud工程部署启动
本文介绍SpringCloud微服务工程搭建全过程,涵盖项目创建、模块配置、数据库部署及服务远程调用实现,通过RestTemplate完成跨服务数据交互,帮助开发者掌握微服务基础架构与调用机制。
SpringCloud工程部署启动
|
7月前
|
前端开发 安全 Java
1.自定义认证前端页面
本文介绍Spring Security前后端集成的完整流程:前端引入login.html页面,后端新增接口与配置类,通过WebSecurityConfigurerAdapter实现登录认证,包含表单登录、权限控制及CSRF关闭等关键配置,并演示启动后自动跳转登录页、验证成功访问接口的全过程。
|
7月前
|
Java
@Inherited
@Inherited 是 Java 中的元注解,用于修饰其他注解,使其在类继承中可被子类继承。当某注解使用 @Inherited 时,若父类应用了该注解,其子类会自动继承该注解。但仅适用于类继承,接口之间或类实现接口时均不继承注解。
|
28天前
|
存储 人工智能 弹性计算
阿里云正式推出首个 OPC 专属产品套餐,护航 OPC 从起步到规模化全阶段
2026年,AI驱动“一人公司”(OPC)兴起。阿里云首发OPC创新助力计划,推出Starter/Lite/Pro三档全栈云套餐,覆盖验证、增长到成熟全周期:低成本试错、高稳架构、全球加速与安全防护,并提供Token补贴、1V1技术护航及生态资源支持。(239字)
阿里云正式推出首个 OPC 专属产品套餐,护航 OPC 从起步到规模化全阶段
|
27天前
|
存储 人工智能 Java
2026年AgentScope Java 2.0详解:架构升级、分布式企业级智能体底座全解析
在AI智能体规模化落地的当下,原型验证阶段的简单运行已经无法满足企业生产环境的严苛要求。多数企业在部署AI智能体时,普遍遭遇分布式扩展困难、多租户数据隔离缺失、长期运行稳定性差、权限管控薄弱、模型调用易中断等一系列工程化难题。2026年6月,阿里正式推出**AgentScope Java 2.0**版本,作为AgentScope多语言体系的重要升级产物,该版本面向JVM生态深度优化,聚焦企业级生产场景,将分布式部署、多租户隔离、安全权限、容错机制等能力内化为框架原生特性,真正实现了从原型Demo到工业级智能体底座的跨越。本文结合框架架构、核心组件、关键能力、部署模式、扩展机制以及落地场景展开全
807 0
|
3月前
|
数据采集 人工智能 数据可视化
桌面 AI 智能体来了!我用 QoderWork 把一天的工作压进了一小时
阿里云QoderWork是一款本地运行的桌面AI智能体,主打“不止聊天,搞定一切”。它可直接读写本地文件、自主规划任务、一键生成Word/PPT/Excel/PDF,并支持网页抓取与自定义Skill。实测竞品调研从2天缩至11分钟,销售分析5分钟完成,真正解放双手。
|
7月前
|
uml C语言
系统时序图
时序图(Sequence Diagram)是UML中描述对象间消息传递时间顺序的交互图。横轴为对象,纵轴为时间,通过消息展现动态协作。强调时间顺序,可用于建模系统交互、展示并发进程。主要元素包括角色、对象、生命线、控制焦点和各类消息,如同步、异步与返回消息,支持自关联调用,直观呈现系统行为流程。
系统时序图
|
7月前
|
安全 Java 数据安全/隐私保护
认识SpringSecurity
Spring Security 是基于过滤器链的成熟安全框架,提供认证、鉴权及防御 CSRF 等攻击的核心功能,支持多种认证方式与灵活的权限控制模型。
|
运维 算法 机器人
阿里云AnalyticDB具身智能方案:破解机器人仿真数据、算力与运维之困
本文将介绍阿里云瑶池旗下的云原生数据仓库AnalyticDB MySQL推出的全托管云上仿真解决方案,方案采用云原生架构,为开发者提供从开发环境、仿真计算到数据管理的全链路支持。
|
7月前
|
SQL 容灾 Nacos
Seata的部署和集成
本文介绍Seata分布式事务框架的部署与微服务集成。首先下载并解压Seata Server,修改配置文件application.yml,并在Nacos中配置seataServer.properties及数据库信息。创建seata数据库并运行SQL脚本初始化事务表。启动TC服务后,注册至Nacos。各微服务引入Seata依赖,配置application.yml连接TC。为实现高可用,搭建多节点TC集群,通过Nacos统一管理事务组映射,实现异地容灾与动态切换。微服务从Nacos读取client.properties,灵活绑定TC集群,提升系统稳定性与可维护性。(238字)

热门文章

最新文章