问题标签 [remember-me]

我在 cookie 中使用 2 个变量（7 天到期），即用户 ID 和哈希。哈希是用户代理和用户 ID 的 sha1 编码。在这种情况下，一些黑客可以登录谁知道被盗 cookie 的浏览器。我应该遵循哪种方式或哪种做法最适合记住我的安全问题？

我有一个登录系统。如何使用 cookie实现安全的记住我的系统。

我应该在 cookie 用户名和密码中存储什么值，但如何保护它？

我在让我的网站在会话结束时自动注销经过身份验证的用户（用户关闭浏览器）时遇到了一些问题。

这就是我的 web.config 中的内容：

这是我登录用户的方式：

当我关闭浏览器时，用户仍然处于登录状态。如何通过一个选项让网站忘记用户，让用户自己决定网站是否应该记住？

提前致谢 ：）

米

我正在尝试使用 Spring Security 的<remember-me/>authentification。我的安全上下文中的行如下所示：

虽然我使用自己的UserDetailsService（测试和工作）实现，但我也尝试过使用默认的实现相同的问题，即：

1. 登录时选中“记住我”复选框，会按预期生成 cookie：

   名称：SPRING_SECURITY_REMEMBER_ME_COOKIE；值：c2FzczoxMjg1NTIxOTI1NzY4OmIxODQ5YTE2ZDY1MDVmZDFhNWRlN2Y2NzFlMzc1MmI0；主机：本地主机；路径：/webapp；安全：否；有效期至：2010 年 9 月 26 日星期日 17:25:25 GMT）

2. 浏览器重新启动

3. 饼干还在

4. 尝试访问任何安全页面以“拒绝访问”错误结束：

   org.springframework.security.access.AccessDeniedException：访问被拒绝

   作为字符串的身份验证对象：org.springframework.security.authentication.RememberMeAuthenticationToken@ffcaab94：主体：de.myapp.businessobjects.AppUser@35c12e：用户名：用户名；密码保护]; 启用：真；AccountNonExpired：真；凭据非过期：真；AccountNonLocked：真；个人信息：32768；; 凭证：[受保护]；已认证：真实；详细信息：org.springframework.security.web.authentication.WebAuthenticationDetails@957e：RemoteIpAddress：127.0.0.1；会话ID：空；未授予任何权限

我很困惑，不知道出了什么问题或从哪里开始调试。请帮忙？

我想要的只是一个简单的记住我。我读了http://static.springsource.org/spring-security/site/docs/3.0.x/reference/remember-me.html

到目前为止我做了什么：

1. 创建了我自己UserDetailsService的与 Hibernate / JPA 一起工作。我的意思。不考虑任何记住我的东西
2. 通过 appContext 考虑配置<security:remember-me key="89dqj219dn910lsAc12" user-service-ref="jpaUserDetailsService" token-validity-seconds="864000"/>
3. 检查，cookieSPRING_SECURITY_REMEMBER_ME_COOKIE确实设置了
4. 登录到受保护的站点并且可以正常工作

5. 当我重新启动浏览器时，我不断收到错误消息：

   org.springframework.security.access.AccessDeniedException：访问被拒绝作为字符串的身份验证对象：org.springframework.security.authentication.RememberMeAuthenticationToken@9ab72a70：主体：de.myapp.businessobjects.AppUser@61f68b18：用户名：myad；密码保护]; 启用：真；AccountNonExpired：真；凭据非过期：真；AccountNonLocked：真；个人信息：65537；; 凭证：[受保护]；已认证：真实；详细信息：org.springframework.security.web.authentication.WebAuthenticationDetails@957e：RemoteIpAddress：127.0.0.1；会话ID：空；授予权限：ROLE_ADMIN、ROLE_USER

这是我的 secContext.xml：

最后是一些调试跟踪

我真的不知道从哪里继续调试。我错过了什么？我必须创建自己的记住我的实现吗？

我真的很感激一个工作示例应用程序，它演示了 springs remember-me 的默认实现......

- - - - 编辑 - - - - - -

我刚刚编译并运行了 springsecurity 本身的 remember-me 参考应用程序：spring-security\samples\tutorial帐户应用程序和联系人应用程序。实际上，我有完全相同的问题？！​​？。我试过firefox、opera和ie ...我心碎了...

浏览器记住密码功能很不错，但是当您确实有多个部分的多个登录名时，它会出现问题，例如：

• / - 一次登录
• /private/ - 另一个登录
• /admin/ - 另一个登录

问题是您可以做些什么来使浏览器更智能并为每个部分正确记住/自动完成用户/密码。

我最感兴趣的是 Chrome 和 Firefox :)

是否可以使用 jquery 实现“记住我”？如果是这样，有什么建议可以做到吗？

编辑：

我正在尝试使用 jquery cookies.store 关于用户名和密码的 cookie 记住用户名和密码，并在下次阅读并重定向到特定页面。

我有一个 asp.net 登录 Web 表单，其中包含（用户名文本框 - 密码文本框）加上记住我复选框选项当用户登录时，我执行以下代码

就像用户通过身份验证后的代码一样，我通过调用方法记录他登录数据库AddForLogin(username);
但是如果用户选择在登录时记住我，然后他尝试在任何时候不执行此登录方法时访问站点，因为它使用 cookie ...所以我有很多问题：

1-这是记录登录操作的最佳方式还是有其他更好的方式？
2-在我的情况下，如果用户选择记住我，如何记录登录操作？

我想使用evercookie javascript库来接收用户cookie并让spring security rememberme-service使用它。

我阅读了一些关于实现自定义记住我服务的内容，但我认为我只需要使用 evercookie 库在客户端发现 cookie。我对 cookie 处理的了解为零，所以任何帮助如何实现 evercookie 库以便通过库设置和发现 cookie 将不胜感激。

evercookie: samy.pl

我们有一个客户使用我们创建的网站。这需要标准的用户名/密码组合来访问站点内容。

在IE、FF和Chrome中，浏览器提供了记住登录凭据的功能，但我们的客户端使用的是一些内置的Lotus Notes浏览器，它似乎不提供此服务。由于Lotus Notes浏览器似乎是IE的包装器，因此清除浏览器中的登录缓存可能就足够了。

我们的客户无论如何都不是超级用户，我们也无权访问Lotus Notes系统。如果它没有帮助并导致我们的客户端丢失任何现有的登录凭据，我们不想清除浏览器中的登录缓存。

问题 1：有人知道Lotus Notes浏览器是否可以记住登录凭据？

如果是：
问题 2：任何人都可以确认清除浏览器中的登录缓存会强制它提供记住登录凭据吗？