問題タブ [remember-me]

これに関連する概念をよりよく理解しようとしているだけなので、与えられた要件に基づいてログインの実装についてより良い決定を下すことができます。

ユーザーが[記憶する]チェックボックスをオンにした場合、aspログインコントロールの[記憶する]はどのくらいの期間記憶されますか？

Rails 3 アプリケーションで「Remember Me」機能を実装するためのベスト プラクティスは何ですか?

ユーザーのログイン時にセッション情報 (セッション ID + ユーザー ID) をデータベースに保存しますが、現時点ではプラグインを使用したくありません。

ポインタやコードサンプルは大歓迎です。

ログインの一部として、いくつかの「RememberMe」機能を作成しています。

ログインプロセス中に次のように永続的なCookieを作成すると、次のようになります。

そして、私のWeb.Configは次のようになります。

ユーザーがログインの詳細を再度入力するように求められるまで、Cookieはどのくらいの期間有効ですか？また、永続的なCookieを設定するときに使用されるデフォルトの時間はありますか/どのくらいですか？

asp.netログインページに次のコードがあります。

私が望むシナリオは次のとおりです。

ユーザーがログインページに入ると、認証Cookieを持っているかどうかがチェックされ、持っている場合は、デフォルトページ（認証されたユーザーのみが表示できるページ）に自動的にリダイレクトされます。

これはどのように達成できますか？

Spring Security 2.0.4 を使用するレガシー アプリに取り組んでいます。カスタム AbstractPreAuthenticatedProcessingFilter と PreAuthenticatedAuthenticationProvider を作成しました。顧客のログイン サーバーから送信されたリクエストのパラメータとして送信された電子メール アドレスに基づいて、ユーザーを作成および認証します。（あまり安全ではありませんが、それが要件です）

これはすべて正常に機能しますが、私の問題は、ユーザーが認証されたらカスタム Cookie を作成して、ログイン サーバーによってリダイレクトされることなく現在のセッションの外部でアプリにアクセスできるようにする必要があることです。

AbstractPreAuthenticatedProcessingFilter または PreAuthenticatedAuthenticationProvider の HttpServletRepsonse オブジェクトにアクセスできないため、応答に Cookie を設定することはできません。AbstractPreAuthenticatedProcessingFilter クラスに RememberMeServices を実装できますが、これが正しい方法かどうかはわかりません。

誰かが私を正しい方向に向けることができますか? カスタム記憶機能を作成する必要がありますか? ユーザーが認証されたら、Cookie を設定するだけです (まだ存在しない場合)。その後、今後のリクエストのために、AbstractPreAuthenticatedProcessingFilter 内の Cookie を検証し、認証されたプリンシパルを返すことができます。

私は現在、プログラムでユーザーをログインさせています (Facebook やログイン フォームを使用する以外の方法でログインする場合など)。

私が代わりにやりたいことは、ログインフォームでremember-meオプションをオンに設定したかのようにユーザーをログインさせることです。RememberMeAuthenticationTokenの代わりにを使用する必要があると思いUsernamePasswordAuthenticationTokenます。keyしかし、コンストラクターの引数には何を入れればよいでしょうか?

更新:ここで説明されている永続的なトークン アプローチを使用しています。そのため、単純なハッシュベースのトークン アプローチのようなキーはありません。

高度なフレームワークを使用せずに、Cookie を使用して Java サーブレットに簡単な記憶オプションを実装する必要があります。

まず、ログイン時に Cookie を作成し、ブラウザ (クライアント) に応答して送信します。Cookie に保存される値は、ユーザー名 + パスワードからの単純なハッシュです。

Cookie を送信して、ブラウザからの着信要求をどのように管理すればよいですか? 私のアプローチは、登録ユーザー間で、ユーザー名 + パスワードのハッシュが Cookie の値と等しいユーザーがいるかどうかを確認することですか? このアプローチは正しいですか？

また、賞味期限の仕組みがよくわかりませんでした。Cookie の有効期限が切れた場合、ブラウザーは Cookie を削除しますか?

最新のブラウザはすべて、パスワードを記憶する機能を実装していますか? または、一部のブラウザでは Cookie を介して実装する必要がありますか? Opera、FireFox、IE、Chrome、Safariなどを考えています...

つまり、(たとえば) Web サイトにログインすると、Firefox は、入力されたパスワードと、提供されたユーザー ログイン ID を記憶することを提案します。後で、ユーザーはそれを再入力する必要はありません。

編集

より正確には、HTMLパスワードなどのフォームフィールドを実際に参照しています...

「remember me」認証ではなく「通常」認証を使用して、成功ハンドラーと失敗ハンドラーを設定し、これをsecurity.ymlファイルに追加します。

しかし、ユーザーのセッションが期限切れになり、再認証に「remember me」Cookie が使用される場合、「remember me」再認証をリッスンする方法が見つかりませんでした。どうすればこれを達成できるかについてのアイデアはありますか?

認証と承認は正しく機能しています。ただし、アプリケーションで正しく機能していないことを忘れないでください。

私は、多くのSpringセキュリティのカスタマイズを伴うSpringセキュリティ（一度に1つのみ）を使用して、データベース認証とldap認証の両方を使用しました。

以下は私の春のセキュリティコンテキストファイルです。

以下は私のログインページです。

覚えているトークン自体は作成されていません。

助けてください。