最新下载
热门教程
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
java中spring security的remember me异常解决办法
时间:2022-06-29 00:43:03 编辑:袖梨 来源:一聚教程网
想想也不可能,网络中不会时不时出现cookie theft攻击吧。看了官方文档,也没给出解释,后来在oschina看到一篇分析的文章,才明白其中的缘由,文章《是谁动了我的cookie?Spring Security自动登录功能开发经历总结》。
从这篇文章的分析结合spring secutiy的源码来看,在每次持久化登录校验token完毕之后,会更新token的值并写入cookie。而token的校验是通过加密处理写入cookie中的字符串与持久化存储的token做对比看是否一致来判断登录信息。问题就出在这里,每次更新完token之后写入cookie的途中失败,导致cookie中token是旧值,而持久化存储的是新值。
那为什么会出现更新完token之后写入cookie的途中失败呢?那篇文章的作者分析的很到位,①多线程操作②服务端发生500异常③浏览器取消请求等等。
文章的作者建议不使用PersistentTokenBasedRememberMeServices,而改为使用TokenBasedRememberMeServices,TokenBasedRememberMeServices采用的是对用户名密码进行加密生成cookie的方式,token并未进行持久化存储。该方案被很多国内网站采用。
首先需要在applicationContext.xml文件中配置rememberMeServices:
| 代码如下 | 复制代码 |
当然这里的userDetailsService必须配置,它通常是实现了一个org.springframework.security.core.userdetails.UserDetailsService接口的java bean,你自己实现即可。
最后,在sec:http标签中配置sec:remember-me:
| 代码如下 | 复制代码 |
|
|
|
随后,重启你的应用,以后再也不用担心CookieTheftException了。
相关文章
- 上古卷轴4重制版技能书位置一览 07-02
- 上古卷轴4重制版刷金币方法分享 07-02
- ps怎么给线稿上色 photoshop中给漫画线稿上色教程 07-02
- SideShift Token(XAI币)的客户端 07-02
- 上古卷轴4重制版标准版和豪华版区别以及售价一览 07-02
- 币安币价格预测:技术信号显示可能升至680美元 - 勇敢新币 07-02