Code ví dụ Spring Security Remember Me (Tự động login)

Code ví dụ Spring Security Remember Me (Tự động login).

(Xem thêm: Ví dụ Spring Boot Remember Me (annotation config))

Ở bài này mình sẽ sử dụng lại ví dụ Spring Security, Tạo form login – XML Config

Bình thường sau khi đăng nhập, người dùng sẽ phải đăng nhập lại sau khi session timeout (thường là 30 phút hoặc cài đặt trong file web.xml) tuy nhiên với những trường hợp người dùng không muốn phải đăng nhập nhiều lần thì ta thường thấy có chức năng ‘remember me’, khi sử dụng chức năng này người dùng sẽ không phải login lại sau khi session timeout.

Cơ chế hoạt động của chức năng ‘remember me’, sau khi login với lựa chọn ‘remember me’ hệ thống sẽ ghi một cookie lên trình duyệt, mỗi khi truy cập các trang/đường dẫn yêu cầu đăng nhập thì hệ thống sẽ kiểm tra cookie đó, nếu cookie hợp lệ và còn hạn thì người dùng không cần phải login lại.

Cấu hình Spring Security Remember Me

Để bật chức năng Spring Security Remember Me ta dùng thẻ <remember-me key="uniqueAndSecret"/>

Ví dụ:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:beans="http://www.springframework.org/schema/beans"
  xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

  <http auto-config="true">
    <intercept-url pattern="/admin**" access="hasRole('ROLE_ADMIN')" />
    <form-login login-page="/login" login-processing-url="/j_spring_security_login"
      default-target-url="/admin" authentication-failure-url="/login?error"
      username-parameter="username" password-parameter="password" />
    <logout logout-url="/j_spring_security_logout"
      logout-success-url="/logout" delete-cookies="JSESSIONID" />

    <remember-me key="uniqueAndSecret" token-validity-seconds="1296000"/>
  </http>

  <authentication-manager>
    <authentication-provider>
      <user-service>
        <user name="kai" password="{noop}123456" authorities="ROLE_ADMIN" />
      </user-service>
    </authentication-provider>
  </authentication-manager>
</beans:beans>

Thuộc tính token-validity-seconds dùng để xác định thời gian hết hạn cho cookie remember me. (mặc định là 2 tuần)

Form login

<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<title>login</title>
</head>
<body>
  <h1>Spring MVC-Security Login Form</h1>
  <h2>${message}</h2>

  <form name='loginForm' action="<c:url value='j_spring_security_login' />" method='POST'>
    <table>
      <tr>
        <td>User:</td>
        <td><input type='text' name='username'></td>
      </tr>
      <tr>
        <td>Password:</td>
        <td><input type='password' name='password' /></td>
      </tr>
      <tr>
                <td>Remember Me:</td>
                <td><input type="checkbox" name="remember-me" /></td>
            </tr>
      <tr>
        <td colspan='2'><input name="submit" type="submit" value="login" /></td>
      </tr>
    </table>
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />

  </form>
</body>
</html>

Lưu ý, sau khi logout hoặc thay đổi password thì token remember me sẽ không còn tác dụng, ta phải login với remember me lại.

Demo:

Đăng nhập với tài khoản kai/123456 và chọn ‘Remember Me’

Spring security tự động đăng nhập

Kiển thị cookie của trang web sau khi đăng nhập

Spring security tự động login

Ta thấy có cookies ‘remember-me’ với thời gian hết hạn (username, password chứa trong nội dung)

Thử xóa cookie ‘JSESSIONID’ và tải lại trang /admin

Spring security remember me xml config

Vẫn truy cập bình thường vì ta đã có cookie ‘remember-me’ chưa hết hạn.

Code ví dụ Spring Security Remember Me (Tự động login)

Bây giờ bạn thử xóa cookie ‘JSESSIONID’ cho trường hợp login không chọn ‘Remember Me’ ta sẽ không thể truy cập được trang /admin mà buộc phải login lại.

Code ví dụ Spring Security Remember Me (Tự động login) stackjava.com

Okay, Done!

Download code ví dụ trên tại đây.

 

References:

https://docs.spring.io/spring-security/site/docs/3.0.x/reference/remember-me.html

 

2 thoughts on “Code ví dụ Spring Security Remember Me (Tự động login)

    • Mặc định sau khi login thành công bằng Spring Security nó đã lưu đối tượng UserDetail vào session rồi.
      (https://stackjava.com/category/spring-security)

      Nếu bạn muốn lưu đối tượng thông tin người đăng nhập theo ý mình vào session thì làm như sau:
      – Trong thẻ form-login của file cấu hình spring security có thuộc tính authentication-success-handler-ref, nó sẽ trỏ tới bean dùng để xử lý sau khi login thành công, trong bean này bạn thêm thông tin người đăng nhập vào session là được

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *