自動(dòng)登錄是我們?cè)谲浖_(kāi)發(fā)時(shí)一個(gè)非常常見(jiàn)的功能，例如我們登錄 QQ 郵箱：

很多網(wǎng)站我們?cè)诘卿浀臅r(shí)候都會(huì)看到類(lèi)似的選項(xiàng)，畢竟總讓用戶輸入用戶名密碼是一件很麻煩的事。

自動(dòng)登錄功能就是，用戶在登錄成功后，在某一段時(shí)間內(nèi)，如果用戶關(guān)閉了瀏覽器并重新打開(kāi)，或者服務(wù)器重啟了，都不需要用戶重新登錄了，用戶依然可以直接訪問(wèn)接口數(shù)據(jù)

作為一個(gè)常見(jiàn)的功能，我們的 Spring Security 肯定也提供了相應(yīng)的支持，本文我們就來(lái)看下 Spring Security 中如何實(shí)現(xiàn)這個(gè)功能。

一、加入 remember-me

為了配置方便，加入兩個(gè)依賴(lài)即可：

配置類(lèi)中添加如下代碼：

大家看到，這里只需要添加一個(gè) .rememberMe() 即可，自動(dòng)登錄功能就成功添加進(jìn)來(lái)了。

接下來(lái)我們隨意添加一個(gè)測(cè)試接口：

這個(gè)時(shí)候大家發(fā)現(xiàn)，默認(rèn)的登錄頁(yè)面多了一個(gè)選項(xiàng)，就是記住我。我們輸入用戶名密碼，并且勾選上記住我這個(gè)框，然后點(diǎn)擊登錄按鈕執(zhí)行登錄操作。

可以看到，登錄數(shù)據(jù)中，除了 username 和 password 之外，還有一個(gè) remember-me，之所以給大家看這個(gè)，是想告訴大家，如果你你需要自定義登錄頁(yè)面，RememberMe 這個(gè)選項(xiàng)的 key 該怎么寫(xiě)。

登錄成功之后，就會(huì)自動(dòng)跳轉(zhuǎn)到 hello 接口了。我們注意，系統(tǒng)訪問(wèn) hello 接口的時(shí)候，攜帶的 cookie：

大家注意到，這里多了一個(gè) remember-me，這就是這里實(shí)現(xiàn)的核心，關(guān)于這個(gè) remember-me 我一會(huì)解釋?zhuān)覀兿葋?lái)測(cè)試效果。

接下來(lái)，我們關(guān)閉瀏覽器，再重新打開(kāi)瀏覽器。正常情況下，瀏覽器關(guān)閉再重新打開(kāi)，如果需要再次訪問(wèn) hello 接口，就需要我們重新登錄了。但是此時(shí)，我們?cè)偃ピL問(wèn) hello 接口，發(fā)現(xiàn)不用重新登錄了，直接就能訪問(wèn)到，這就說(shuō)明我們的 RememberMe 配置生效了（即下次自動(dòng)登錄功能生效了）。

二、原理分析

按理說(shuō)，瀏覽器關(guān)閉再重新打開(kāi)，就要重新登錄，現(xiàn)在竟然不用等了，那么這個(gè)功能到底是怎么實(shí)現(xiàn)的呢？

首先我們來(lái)分析一下 cookie 中多出來(lái)的這個(gè) remember-me，這個(gè)值一看就是一個(gè) Base64 轉(zhuǎn)碼后的字符串，我們可以使用網(wǎng)上的一些在線工具來(lái)解碼，可以自己簡(jiǎn)單寫(xiě)兩行代碼來(lái)解碼：

執(zhí)行這段代碼，輸出結(jié)果如下：

s = yolo:1601473566505:9f0f9b0c903bccbe7f30ac465ef136d9

可以看到，這段 Base64 字符串實(shí)際上用 : 隔開(kāi)，分成了三部分：

（1）第一段是用戶名，這個(gè)無(wú)需質(zhì)疑。
（2）第二段看起來(lái)是一個(gè)時(shí)間戳，我們通過(guò)在線工具或者 Java 代碼解析后發(fā)現(xiàn)，這是一個(gè)兩周后的數(shù)據(jù)。
（3）第三段我就不賣(mài)關(guān)子了，這是使用 MD5 散列函數(shù)算出來(lái)的值，他的明文格式是
username + ":" + tokenExpiryTime + ":" + password + ":" + key，最后的 key 是一個(gè)散列鹽值，可以用來(lái)防治令牌被修改。

了解到 cookie 中 remember-me 的含義之后，那么我們對(duì)于記住我的登錄流程也就很容易猜到了了。

在瀏覽器關(guān)閉后，并重新打開(kāi)之后，用戶再去訪問(wèn) hello 接口，此時(shí)會(huì)攜帶著 cookie 中的 remember-me 到服務(wù)端，服務(wù)到拿到值之后，可以方便的計(jì)算出用戶名和過(guò)期時(shí)間，再根據(jù)用戶名查詢(xún)到用戶密碼，然后通過(guò) MD5 散列函數(shù)計(jì)算出散列值，再將計(jì)算出的散列值和瀏覽器傳遞來(lái)的散列值進(jìn)行對(duì)比，就能確認(rèn)這個(gè)令牌是否有效。

流程就是這么個(gè)流程，接下來(lái)我們通過(guò)分析源碼來(lái)驗(yàn)證一下這個(gè)流程對(duì)不對(duì)。

三、源碼分析

接下來(lái)，我們通過(guò)源碼來(lái)驗(yàn)證一下我們上面說(shuō)的對(duì)不對(duì)。

這里主要從兩個(gè)方面來(lái)介紹，一個(gè)是 remember-me 這個(gè)令牌生成的過(guò)程，另一個(gè)則是它解析的過(guò)程。

1. 生成

生成的核心處理方法在：TokenBasedRememberMeServices#onLoginSuccess：

（1）首先從登錄成功的 Authentication 中提取出用戶名/密碼。
（2）由于登錄成功之后，密碼可能被擦除了，所以，如果一開(kāi)始沒(méi)有拿到密碼，就再?gòu)?UserDetailsService 中重新加載用戶并重新獲取密碼。
（3）再接下來(lái)去獲取令牌的有效期，令牌有效期默認(rèn)就是兩周。
（4）再接下來(lái)調(diào)用 makeTokenSignature 方法去計(jì)算散列值，實(shí)際上就是根據(jù) username、令牌有效期以及 password、key 一起計(jì)算一個(gè)散列值。如果我們沒(méi)有自己去設(shè)置這個(gè) key，默認(rèn)是在 RememberMeConfigurer#getKey 方法中進(jìn)行設(shè)置的，它的值是一個(gè) UUID 字符串。
（5）最后，將用戶名、令牌有效期以及計(jì)算得到的散列值放入 Cookie 中。

關(guān)于第四點(diǎn)，我這里再說(shuō)一下。

由于我們自己沒(méi)有設(shè)置 key，key 默認(rèn)值是一個(gè) UUID 字符串，這樣會(huì)帶來(lái)一個(gè)問(wèn)題，就是如果服務(wù)端重啟，這個(gè) key 會(huì)變，這樣就導(dǎo)致之前派發(fā)出去的所有 remember-me 自動(dòng)登錄令牌失效，所以，我們可以指定這個(gè) key。指定方式如下：

如果自己配置了 key，即使服務(wù)端重啟，即使瀏覽器打開(kāi)再關(guān)閉，也依然能夠訪問(wèn)到 hello 接口

這是 remember-me 令牌生成的過(guò)程。至于是如何走到 onLoginSuccess 方法的，這里可以給大家稍微提醒一下思路：

AbstractAuthenticationProcessingFilter#doFilter -> AbstractAuthenticationProcessingFilter#successfulAuthentication -> AbstractRememberMeServices#loginSuccess -> TokenBasedRememberMeServices#onLoginSuccess。

2. 解析

那么當(dāng)用戶關(guān)掉并打開(kāi)瀏覽器之后，重新訪問(wèn) /hello 接口，此時(shí)的認(rèn)證流程又是怎么樣的呢？

我們之前說(shuō)過(guò)，Spring Security 中的一系列功能都是通過(guò)一個(gè)過(guò)濾器鏈實(shí)現(xiàn)的，RememberMe 這個(gè)功能當(dāng)然也不例外。

Spring Security 中提供了 RememberMeAuthenticationFilter 類(lèi)專(zhuān)門(mén)用來(lái)做相關(guān)的事情，我們來(lái)看下 RememberMeAuthenticationFilter 的 doFilter 方法：

這個(gè)方法最關(guān)鍵的地方在于，如果從 SecurityContextHolder 中無(wú)法獲取到當(dāng)前登錄用戶實(shí)例，那么就調(diào)用 rememberMeServices.autoLogin 邏輯進(jìn)行登錄，我們來(lái)看下這個(gè)方法：

可以看到，這里就是提取出 cookie 信息，并對(duì) cookie 信息進(jìn)行解碼，解碼之后，再調(diào)用 processAutoLoginCookie 方法去做校驗(yàn)，processAutoLoginCookie 方法的代碼我就不貼了，核心流程就是首先獲取用戶名和過(guò)期時(shí)間，再根據(jù)用戶名查詢(xún)到用戶密碼，然后通過(guò) MD5 散列函數(shù)計(jì)算出散列值，再將拿到的散列值和瀏覽器傳遞來(lái)的散列值進(jìn)行對(duì)比，就能確認(rèn)這個(gè)令牌是否有效，進(jìn)而確認(rèn)登錄是否有效。

四、總結(jié)

看了上面的文章，大家可能已經(jīng)發(fā)現(xiàn)，如果我們開(kāi)啟了 RememberMe 功能，最最核心的東西就是放在 cookie 中的令牌了，這個(gè)令牌突破了 session 的限制，即使服務(wù)器重啟、即使瀏覽器關(guān)閉又重新打開(kāi)，只要這個(gè)令牌沒(méi)有過(guò)期，就能訪問(wèn)到數(shù)據(jù)。

一旦令牌丟失，別人就可以拿著這個(gè)令牌隨意登錄我們的系統(tǒng)了，這是一個(gè)非常危險(xiǎn)的操作。

但是實(shí)際上這是一段悖論，為了提高用戶體驗(yàn)（少登錄），我們的系統(tǒng)不可避免的引出了一些安全問(wèn)題，不過(guò)我們可以通過(guò)技術(shù)將安全風(fēng)險(xiǎn)降低到最小

到此這篇關(guān)于SpringBoot 配合 SpringSecurity 實(shí)現(xiàn)自動(dòng)登錄功能的代碼的文章就介紹到這了,更多相關(guān)SpringSecurity自動(dòng)登錄內(nèi)容請(qǐng)搜索服務(wù)器之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持服務(wù)器之家！

原文鏈接：https://blog.csdn.net/nanhuaibeian/article/details/108630616