实现记住我没有密钥

Question

我找到了一些实现“记住我”功能的示例，只需

<remember-me/>

其他样本将其实现为：

<remember-me key="_spring_security_remember_me"/>

我想知道这两个声明之间的区别是什么，_spring_security_remember_me是一个预定义的键吗？谢谢。

Answer 1

默认键可以在AuthenticationConfigBuilder.createRememberMeFilter()中找到。

    final String DEF_KEY = "SpringSecured";

如果没有在<remember-me>中指定值，则使用该值。

Answer 2

在文档中，key属性用于散列存储在cookie中的值。它防止恶意用户试图解码cookie，因为没有密钥，他们无法做到这一点(当然，这要困难得多)。

Answer 3

对于将来寻找rememberme().key()特性的人来说，似乎从SpringBoot2.2.6开始，如果没有提供SecureRandom生成器，就可以生成密钥。下面是在org.springframework.security.config.http.AuthenticationConfigBuilder.createRememberMeFilter中找到的实现

private String createKey() {
    SecureRandom random = new SecureRandom();
    return Long.toString(random.nextLong());
}