【SpringSecurity系列（九）】降低 RememberMe 的安全风险

《深入浅出Spring Security》一书简介

由清华大学出版社出版的《深入浅出Spring Security》一书现已发行，为那些有兴趣了解和掌握Spring Security的读者提供了资源。

降低Spring Boot自动登录的安全风险

文章探讨了如何通过持久化令牌方案和二次校验来降低Spring Boot中自动登录的安全风险。

持久化令牌

原理

持久化令牌方案在自动登录机制上增加了MD5散列函数计算的校验参数"series"和"token"，以增强安全性。这项机制通过限制用户的多端登录，帮助用户识别账户是否存在安全泄漏。

代码演示

通过数据库表来记录令牌信息，可以使用系统的默认JDBC操作或者自定义表。配置数据库连接并修改SecurityConfig，包括数据源的设置和JdbcTokenRepositoryImpl实例的配置。

测试

测试通过访问接口、登录并勾选"记住我"，验证持久化令牌是否配置成功。重启服务并关闭浏览器后重新访问接口，可以确认持久化令牌的有效性。

源码分析

分析了与令牌生成和校验相关的源码，特别是在PersistentTokenBasedRememberMeServices中的方法。说明了登录成功后的令牌创建过程，以及通过SecureRandom生成随机数并将其编码为Base64。令牌校验过程包括比对提供的令牌和数据库中的令牌，以确保安全性。