我在我的应用程序中使用Spring Security进行身份验证和授权。我将Neo4j数据库作为后端,并实现了userDetailsService以进行身份验证。
然而,每当我的应用程序重新启动时,用户就被迫再次登录。 为了解决这个问题,我考虑将会话信息存储在redis数据库中,并在应用程序启动时将数据加载到Spring Security上下文中。
如果有任何文章和指针来实现相同的功能,请传递给我。
我正在考虑以下实现, 1) 对于每个成功的身份验证,将用户详细信息和会话详细信息存储在redis中。 这必须在UserDetailsService实现的loadUserByUsername()方法中实现 2) 当用户注销时,从redis中删除数据,我在哪里可以做这个操作?是否有任何Spring Security函数可以调用此操作? 3) 在应用程序重新启动时,从redis加载所有数据到Spring Security,我需要在哪里编写这个逻辑?
请让我知道是否我漏掉了任何信息。
您只需要实现一个安全上下文存储的 SecurityContextRepository
我认为可以仅给标准过滤器提供不同的存储库,但我并不确定,反正我需要自己实现...
现在将会直接支持将session存储在Redis中
http://docs.spring.io/spring-session/docs/current/reference/html5/guides/httpsession.html
您需要配置Spring Security的记住我(remember-me)功能。
记住我或持久登录认证是指网站能够在会话之间记住主体的身份。通常通过向浏览器发送cookie来实现,未来的会话中检测到该cookie并导致自动登录。Spring Security提供了必要的钩子来执行这些操作,并具有两个具体的记住我实现。一个使用哈希来保留基于cookie的令牌的安全性,另一个使用数据库或其他持久存储机制来存储生成的令牌。
更多信息请参阅Spring Security文档: http://static.springsource.org/spring-security/site/docs/3.1.x/reference/remember-me.html
您可以使用开箱即用的实现或注入自己的实现(前面提到的redis)。
