我在Spring Boot 2应用程序中添加了记住我的功能。最初,我使用持久机制添加了它,但我注意到持久表上只有一行可供一个用户使用,所以如果您登录两个不同的浏览器,它就不起作用。这是有问题的,因为我们经常使用相同的帐户来开发和测试该应用程序。
因此,我添加了一个application.properties选项,只在生产中启用持久机制。现在有了cookie,只记得我在两个不同的浏览器上也能工作,但我注意到它在应用程序重启时不起作用。
这是预期的行为吗?难道没有一种方法可以在服务器重新启动时不持久地记住我吗?
这是我配置的一部分:
@Value("${remember_me.cookie_only}")
private boolean remember_me_cookie_only;
@Autowired
public DataSource dataSource;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http.authorizeRequests()
.antMatchers(...)
;
http.authorizeRequests().and().exceptionHandling().accessDeniedPage("/accessDenied");
http.authorizeRequests().and().formLogin()
// Submit URL of login page.
.loginProcessingUrl("/j_spring_security_check") // Submit URL
.loginPage("/loginMe")//
.defaultSuccessUrl("/loginOK",true)//
.failureUrl("/loginMe?error=true")//
.usernameParameter("username")//
.passwordParameter("password")
.failureHandler(customAuthenticationFailureHandler())
.and()
.rememberMe()
.rememberMeParameter("remember-me")
.rememberMeCookieName("remember-me")
.tokenValiditySeconds(24 * 60 * 60)
.and()
.logout()
.invalidateHttpSession(true)
.deleteCookies("JSESSIONID")
.logoutUrl("/logout")
.logoutSuccessUrl("/loginMe")
.logoutSuccessHandler(logoutSuccessHandler())
.and()
.sessionManagement()
.invalidSessionUrl("/timeout");
if (! remember_me_cookie_only) {
http.rememberMe().tokenRepository(persistentTokenRepository());
}
@Bean
public PersistentTokenRepository persistentTokenRepository() {
JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
tokenRepository.setDataSource(dataSource);
return tokenRepository;
}
看起来您没有设置记住我键。如果未设置,Spring Security将在每次启动时生成一个新密钥,使以前的记住我的cookie无效。
.rememberMe()
.key("mySecretKey")
(用随机但持久的字符串替换"mySecretKey"。(