【SpringSecurity系列（八）】用户还能自动登录？

清华大学出版社正式出版发行了《深入浅出Spring Security》一书。本书通过深入讲解Spring Security功能，帮助读者掌握自动登录等常见功能的实现。

自动登录功能允许用户在一段时间内无需重新登录即可访问接口数据。Spring Security提供了支持该功能的方法，通过在配置中添加.rememberMe()实现。

作者介绍了“记住我”功能的实现过程，包括如何添加测试接口、登录过程中的remember-me选项，以及cookie中的remember-me标识。

该功能的原理是通过cookie中的remember-me值来识别用户是否需要登录。该值是Base64编码的字符串，包含用户名、时间戳和MD5散列值。服务端通过解码后的字符串验证用户身份，从而实现自动登录。

通过源码分析，作者揭示了remember-me令牌的生成与解析过程。TokenBasedRememberMeServices类负责生成令牌，而RememberMeAuthenticationFilter类负责解析令牌并进行自动登录。

作者总结指出，RememberMe功能的核心是cookie中的令牌。尽管存在安全风险，但技术可以将风险降到最低。作者预告将在下一篇文章中分享如何让RememberMe功能更安全的“持久化令牌方案”。