Spring Security实现记住我功能的实战指南

在现代Web应用中，"记住我"功能是提升用户体验的重要特性之一。用户无需在每次访问时重新登录，这不仅方便，还能增强用户对应用的粘性。今天，我们将通过一个具体的实例，详细探讨如何在Spring Security中实现"记住我"功能。
一、"记住我"功能的实现原理
Spring Security通过RememberMeServices接口实现"记住我"功能。该接口有两种实现方式：
TokenBasedRememberMeServices：基于Base-64编码的Cookie实现，简单易用，但安全性较低。
PersistentTokenBasedRememberMeServices：基于持久化Token的方式，需要使用数据库表存储Token信息，安全性更高。
在本例中，我们将使用第一种方式——TokenBasedRememberMeServices，来实现"记住我"功能。
二、实现步骤

1. 配置Spring Security
   首先，我们需要在Spring Security的配置类中启用"记住我"功能。以下是具体的Java配置代码：
   java复制
   @Configuration
   @EnableWebSecurity
   @EnableWebMvc
   @ComponentScan
   public class AppConfig extends WebSecurityConfigurerAdapter {
   @Override
   protected void configure(HttpSecurity http) throws Exception {
   http.authorizeRequests()
   .anyRequest().authenticated()
   .and()
   .formLogin()
   .and()
   .rememberMe()
   .rememberMeCookieName(“example-app-remember-me”) // 自定义Cookie名称
   .tokenValiditySeconds(24 * 60 * 60); // 设置Token有效期为1天
   }

   @Override
   public void configure(AuthenticationManagerBuilder builder) throws Exception {
   builder.inMemoryAuthentication()
   .withUser(“joe”)
   .password(“123”)
   .roles(“ADMIN”);
   }

   @Bean
   public ViewResolver viewResolver() {
   InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
   viewResolver.setPrefix(“/WEB-INF/views/”);
   viewResolver.setSuffix(“.jsp”);
   return viewResolver;
   }
   }
   在上述配置中，rememberMe()方法默认会注册TokenBasedRememberMeServices。如果不指定Cookie名称和过期时间，Spring Security会默认使用名称为remember-me的Cookie，并设置其有效期为两周。

2. 创建控制器
   接下来，我们需要创建一个简单的控制器，用于处理用户的请求。以下是控制器的代码：
   java复制
   @Controller
   public class ExampleController {
   @RequestMapping(“/”)
   public String handleRequest(ModelMap map) {
   map.addAttribute(“time”, LocalDateTime.now().toString());
   return “my-page”;
   }
   }

3. 创建登录后的页面
   在src/main/webapp/WEB-INF/views/目录下，创建一个名为my-page.jsp的JSP页面，用于展示登录后的信息：
   HTML复制

Spring Security Example

Time: ${time}