Spring 安全性:记住我 token 仅工作一次-6ren

Spring 安全性:记住我 token 仅工作一次

转载作者：行者123 更新时间：2023-12-03 23:37:03

29

4

我在Spring安全方面遇到了一个非常奇怪的问题。

“记住我” token 似乎只能持续一次自动登录，此后，它将停止工作。

1.登录后:

2.然后，我手动删除JSESSIONID cookie并重新加载页面

3.我再次删除JSESSIONID cookie，然后再次重新加载页面。

现在，我已注销!

在控制台中，我得到以下信息:

SEVERE [http-nio-8080-exec-10] org.apache.catalina.core.StandardWrapperValve.invoke Servlet.service() for servlet [dispatcher] in context with path [] threw exception
 org.springframework.security.web.authentication.rememberme.CookieTheftException: Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack.

我读到这可能是浏览器同时发出多个请求的结果，我检查了一下(禁用了所有资源，只保留了纯HTML，但无济于事)

这是我的配置

@EnableWebSecurity
public class Security extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailsService customUserDetailsService;

    @Autowired
    DataSource dataSource;

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests().antMatchers("/assets/**").permitAll();
        http.authorizeRequests().anyRequest().authenticated();

        http.formLogin().permitAll();    
        http.rememberMe().tokenRepository(persistentTokenRepository()).userDetailsService(customUserDetailsService);

        http.logout().permitAll();
    }

    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);
        return tokenRepository;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider());
    }

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(customUserDetailsService);
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(11);
    }
}

最佳答案

从配置中拉取dataSource对我有用，尝试一下

@Autowired
JpaConfiguration jpaConfig;

@Bean(name = "persistentTokenRepository")
public PersistentTokenRepository persistentTokenRepository() {
    JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
    tokenRepository.setDataSource(jpaConfig.dataSource());
    return tokenRepository;
}

或者您也可以尝试提高 token 的有效性

 @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests().antMatchers("/assets/**").permitAll();
        http.authorizeRequests().anyRequest().authenticated();

        http.formLogin().permitAll();    
        http.rememberMe().tokenRepository(persistentTokenRepository()).userDetailsService(customUserDetailsService)
            .tokenValiditySeconds(1209600);

        http.logout().permitAll();
    }

关于 Spring 安全性:记住我 token 仅工作一次，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/49804331/

29

4

0

文章推荐： api - 指定时间的 Youtube API 事件

文章推荐： sql-server-2008 - 如何使用 powershell 配置 SQL Native Client？

文章推荐： sharepoint-2010 - 无法删除未引用的网站栏

assembly - 他们如何如此快地将十进制转换为十六进制(记住)？
我观察到很少有逆向工程师，他们将十进制转换为十六进制的速度如此之快。这简直太神奇了。我一直没有机会问他们。就我个人而言，我真的很讨厌这个转换，而且我总是使用计算器进行转换。我想知道这种转换是否有某种
Java - 记住/保存输入字段的程序
我有一个程序使用三个 JTextField 字段作为主要数据输入字段。我想要它，以便当用户终止程序然后再次打开它时，他们的最后一个条目仍将在字段中。我怎样才能做到这一点？我需要某种数据库还是有更简单
javascript - 记住 $(this) 是什么
我有以下脚本将 jquery 生成的对象的颜色更改为蓝色: $(".objects_list").live('click', function(event) { $(this).css("co
reactjs - 记住 React 中的所有内容是一种不好的做法吗？
这个问题在这里已经有了答案: Is it a good idea to memoize all of my react components? (2 个答案) 关闭去年。我知道使用 React.m
r - 记住 Rcpp 函数？
我在 R 中编写了一个递归函数并使用 memoise 来加速它。我试图通过在 Rcpp 中编写它然后记住 Rcpp 函数来进一步加快它的速度，但 R 函数更快。为什么会这样，有什么方法可以加快我的使用
iphone - NSUserDefaults 记住 View
我的应用程序包含几个 View ，我想在应用程序启动且用户尚未完成向导时显示一个小设置。我知道我可以使用 NSUserDefaults 实现此目的，但我不确定如何使其根据 NSUserDefaults
delphi - Delphi“记住”旧的DCU依赖关系
我正在从一台机器（相同版本的Delphi）开发应用程序。该应用程序的原始版本使用了TMS包中的TMoneyEdit组件。在移动项目时，我想删除对该产品的依赖。因此，在源代码中，我删除了TMoneyEd
sql - 如何“记住”一个值插入到SQLite的两个表？
我有一个触发器，希望将相同的随机值插入两个表中。我该怎么做呢？在TableAB上插入后创建触发器insertTrigger 开始插入TableA（id，num）VALUES（RANDOM（），1）
Javascript 记住 HTML 标签内容并在持续时间后替换
我有以下代码，通过 .swf 解决方案将服务器 IP 复制到客户端的剪贴板。正如您所看到的，它用成功的“已复制”消息替换了“复制 IP”按钮。我该如何让“复制 IP”按钮在显示成功消息 5 秒后返回，
javascript - 记住 GPS 权限状态
我正在使用 GPS 定位功能，问题是权限弹出窗口一遍又一遍地出现(每次新的网址刷新/按 F5 键)。我如何记住用户在浏览器中选择的状态(已批准或已拒绝)。 if (navigator.geoloca
javascript - 记住 "click"之前的原始状态
有一个按钮(实际上有很多)，它有一个事件处理程序: el.onclick = function(){ if(this.className.indexOf("minimized") != -1)
javascript - 记住 JavaScript 跨页幻灯片中的图像编号
我正在制作一个纯 html+JavaScript 幻灯片。幻灯片位于网站的侧边栏中，该网站为每个具有幻灯片侧边栏的页面加载了 php。唯一没有侧边栏的页面是主页。幻灯片放映工作正常。然而，可以理解的
javascript - 记住 Chrome 扩展中的大字符串
我想制作一个 Chrome 扩展程序，它将存储来自用户的潜在大型代码片段(以及代码片段的名称)并使用它们。我希望用户能够上传包含这些片段的文件(或者更好的是，将这些片段复制并粘贴到扩展程序选项页面的
methods - 记住 Groovy 中的成员方法
我有一个方法是 pure function并需要一段时间才能运行。我想记住这个方法，以便后续调用更快。我可以在 Groovy 的文档中看到，您可以通过以下方式内存闭包: foo = {…}.memoi
jquery - 记住 jQuery 中的触发器
[jQuery][1] 始终记住您的鼠标触发器，无论是单击还是悬停。因此，如果您鼠标输入和鼠标退出四次，它将执行该事件四次。如何让它“忘记”触发器，以便当我用鼠标输入和退出触发器时它只执行一次？编
unix - 记住 *nix 命令行参数
对于我的开发人员工作，我几乎整天都在 *nix shell 环境中工作，但似乎仍然无法记住我每天不使用的程序的名称和参数细节。我想知道其他“临时健忘症患者”是如何处理这个问题的。你有一个大的备忘单吗？
php - 记住 cookie 中的表单值以便稍后完成
我有一个表格，在客户填写各种表格后，我希望能够浏览网站，并返回表格并保持填写状态。我考虑过在浏览器的客户端中保留 cookie，您可能会推荐其他方法吗？关于代码，这里是 o 想到的 javascr
swift 。记住 Facebook 登录信息
好的，我已经实现了 Facebook 登录按钮: loginButton.readPermissions = ["public_profile", "email", "user_friends"] l
javascript - 记住 AngularJS 中选项卡之间的计数
我在移动应用程序中使用 AngularJS。用户能够将产品添加到订单中。但是我使用了不同的选项卡，以便用户可以在类别之间切换，并且对于每个类别，都会显示属于该类别的产品。这些产品可以添加到他/她的订单
android - 记住 ListView 中选中的复选框
我有一个使用自定义适配器、布局和模型类的 ListView (包含文本和复选框)。我想将选定的复选框保存在 sqlite 数据库中，以便当我导航到另一个 Activity 然后返回时，选定的复选框保持

首页

博学

6Ren·AI

商城

Spring 安全性:记住我 token 仅工作一次