我在Spring Boot 2应用程序中添加了“记住我”功能。最初,我是使用持久性机制添加的,但是我注意到持久性表上只有一个用户的一行,因此如果您登录两个不同的浏览器,则行不起作用。这是有问题的,因为我们经常使用该应用程序通过相同的帐户进行开发和测试。
因此,我添加了application.properties选项以仅在生产中启用持久性机制。现在使用cookie时,只记得我也可以在两种不同的浏览器上工作,但是我注意到它在应用程序重启时不起作用。
这是预期的行为吗?有没有办法让服务器重启时不持久地记住我?
这是我的配置的一部分:
@Value("${remember_me.cookie_only}")
private boolean remember_me_cookie_only;
@Autowired
public DataSource dataSource;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http.authorizeRequests()
.antMatchers(...)
;
http.authorizeRequests().and().exceptionHandling().accessDeniedPage("/accessDenied");
http.authorizeRequests().and().formLogin()
// Submit URL of login page.
.loginProcessingUrl("/j_spring_security_check") // Submit URL
.loginPage("/loginMe")//
.defaultSuccessUrl("/loginOK",true)//
.failureUrl("/loginMe?error=true")//
.usernameParameter("username")//
.passwordParameter("password")
.failureHandler(customAuthenticationFailureHandler())
.and()
.rememberMe()
.rememberMeParameter("remember-me")
.rememberMeCookieName("remember-me")
.tokenValiditySeconds(24 * 60 * 60)
.and()
.logout()
.invalidateHttpSession(true)
.deleteCookies("JSESSIONID")
.logoutUrl("/logout")
.logoutSuccessUrl("/loginMe")
.logoutSuccessHandler(logoutSuccessHandler())
.and()
.sessionManagement()
.invalidSessionUrl("/timeout");
if (! remember_me_cookie_only) {
http.rememberMe().tokenRepository(persistentTokenRepository());
}
@Bean
public PersistentTokenRepository persistentTokenRepository() {
JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
tokenRepository.setDataSource(dataSource);
return tokenRepository;
}
答案 0 :(得分:1)
您似乎没有设置记住我的键。如果未设置,Spring Security将在每次启动时生成一个新密钥,从而使以前的“记住我” cookie无效。
.rememberMe()
.key("mySecretKey")
(用随机但持久的字符串替换"mySecretKey"。)