Spring Security为我们提供了两种方式的自动登录,一种是基于Cookie的自动登录,想实现这种自动登录功能,需要使用TokenBasedRememberMeServices类,如果想扩展自己的特殊登录,可以继承该类;一种是基于持久化存储的自动登录,需要使用PersistentTokenBasedRememberMeServices类,两者都继承了抽象类AbstractRememberMeServices,实现了RememberMeServices接口,查看RememberMeServices源代码可以发现,该接口提供了三个方法,autoLogin方法是实现自动登录功能的,loginSuccess是当第一次登录成功时,记录用户相关凭证及自动登录相关设置到Cookie或持久化存储当中的,loginFailure是当我们密码修改或Cookie过期等进行自动登录时,导致登录失败调用的,主要作用是删除相关Cookie或持久化信息的。当我们访问一个未登录却需要登录验证的资源时,RememberMeAuthenticationFilter过滤器会调用这个方法,并通过Cookie或持久化存储得到用户凭证相关信息,并通过特有的RememberMeAuthenticationToken和RememberMeAuthenticationProvider来实现类似之前的用户自己登录的流程。
这里来看看如何实现基于Cookie的自动登录。
1.启用RememberService服务
<remember-me services-ref="rememberMeServices" key="ZhongGang"/>
2.配置自动登录凭证存储方式
<beans:bean id="rememberMeServices"
class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
<beans:property name="key" value="ZhongGang"/>
<!--<beans:property name="alwaysRemember" value="true"/>-->
<beans:property name="parameter" value="rememberMe"/>
<beans:property name="tokenValiditySeconds" value="604800"/>
<beans:property name="userDetailsService" ref="userService"/>
</beans:bean>
最后需要在拦截登录表单的过滤器,也就是继承或实现了AbstractAuthenticationProcessingFilter类中配置上这个rememberMeServices
<beans:bean id="multipleAuthenticationProcessingFilter"
class="com.template.security.filter.MultipleAuthenticationProcessingFilter">
<beans:constructor-arg value="/login/check"/>
<beans:property name="tokenResolvers">
<beans:list>
<beans:ref bean="backendAuthenticationTokenResolver"/>
<beans:ref bean="forendAuthenticationTokenResolver"/>
</beans:list>
</beans:property>
<beans:property name="authenticationManager" ref="authenticationManager"/>
<beans:property name="authenticationSuccessHandler" ref="multipleAuthenticationSuccessHandler"/>
<beans:property name="authenticationFailureHandler" ref="multipleAuthenticationFailureHandler"/>
<beans:property name="rememberMeServices" ref="rememberMeServices"/>
</beans:bean>