問題タブ [remember-me]

ユーザーIDとハッシュであるCookie（7日間の有効期限）で2つの変数を使用しています。ハッシュは、ユーザー エージェントとユーザー ID の sha1 エンコードです。この場合、盗まれた Cookie のブラウザを知っているハッカーがログインできます。セキュリティの問題を記憶するには、どの方法に従うべきか、またはどのプラクティスが最適ですか?

ログインシステムがあります。Cookie を使用して安全な記憶システムを実装するにはどうすればよいですか。

Cookie のユーザー名とパスワードにどのような値を保存する必要がありますか?どうすればそれを保護できますか?

セッションが終了したとき（ユーザーがブラウザーを閉じたとき）に、認証されたユーザーをWebサイトから自動的にログアウトさせることに問題があります。

これは私のweb.configにあるものです：

これが私がユーザーにログインする方法です：

ブラウザを閉じても、ユーザーはまだログインしています。オプションを使用してWebサイトにユーザーを忘れさせるには、ユーザー自身がWebサイトを記憶するかどうかを決定できますか？

前もって感謝します ：）

M

<remember-me/>Spring Security の認証を利用しようとしています。セキュリティ コンテキストの行は次のようになります。

私はUserDetailsService（テスト済みで動作中の）独自の実装を使用していますが、同じ問題が発生しているデフォルトのものでも試しました。これは次のとおりです。

1. 「remember-me」チェックボックスをオンにしてログインすると、期待どおりに Cookie が生成されます。

   名前: SPRING_SECURITY_REMEMBER_ME_COOKIE; 値: c2FzczoxMjg1NTIxOTI1NzY4OmIxODQ5YTE2ZDY1MDVmZDFhNWRlN2Y2NzFlMzc1MmI0; ホスト: ローカルホスト; パス: /webapp; 安全: いいえ; 有効期限: 2010 年 9 月 26 日 (日) 17:25:25 GMT)

2. ブラウザが再起動しました

3. クッキーはまだある

4. 保護されたページにアクセスしようとすると、「アクセスが拒否されました」というエラーが発生します。

   org.springframework.security.access.AccessDeniedException: アクセスが拒否されました

   文字列としての認証オブジェクト: org.springframework.security.authentication.RememberMeAuthenticationToken@ffcaab94: プリンシパル: de.myapp.businessobjects.AppUser@35c12e: ユーザー名: ユーザー名; 守られたパスワード]; 有効: true; AccountNonExpired: 真; credentialsNonExpired: true; AccountNonLocked: 真; 個人情報: 32768; ; 資格情報: [保護]; 認証済み: true; 詳細: org.springframework.security.web.authentication.WebAuthenticationDetails@957e: RemoteIpAddress: 127.0.0.1; セッション ID: null; いかなる権限も付与されていません

何が問題なのか、どこからデバッグを開始すればよいのかわからず、混乱しています。助けてください？

私が欲しいのは、単純な記憶だけです。http://static.springsource.org/spring-security/site/docs/3.0.x/reference/remember-me.htmlを読みました

私がこれまでに行ったこと：

1. UserDetailsServiceHibernate / JPAで動作するように独自に作成しました。私の実装。覚えているものは考慮されません
2. appContext による考慮された構成<security:remember-me key="89dqj219dn910lsAc12" user-service-ref="jpaUserDetailsService" token-validity-seconds="864000"/>
3. CookieSPRING_SECURITY_REMEMBER_ME_COOKIEが実際に設定されていることを確認しました
4. セキュリティで保護されたサイトにログインし、機能する

5. ブラウザを再起動すると、エラーが発生し続けます。

   org.springframework.security.access.AccessDeniedException: アクセスが拒否されました文字列としての認証オブジェクト: org.springframework.security.authentication.RememberMeAuthenticationToken@9ab72a70: プリンシパル: de.myapp.businessobjects.AppUser@61f68b18: ユーザー名: myad; 守られたパスワード]; 有効: true; AccountNonExpired: 真; credentialsNonExpired: true; AccountNonLocked: 真; 個人情報: 65537; ; 資格情報: [保護]; 認証済み: true; 詳細: org.springframework.security.web.authentication.WebAuthenticationDetails@957e: RemoteIpAddress: 127.0.0.1; セッション ID: null; 付与された権限: ROLE_ADMIN、ROLE_USER

そして、ここに私のsecContext.xmlがあります:

そして最後にいくつかのデバッグ トレース

どこでデバッグを続けるべきか本当にわかりません。私は何を逃したのですか？remember-me の独自の実装を作成する必要がありますか?

springs remember-me のデフォルトの実装を示す実用的なサンプル アプリケーションを本当に感謝しています...

- - - - 編集 - - - - - -

springsecurity 自体によって、remember-me リファレンス アプリ (spring-security\samples\tutorialアカウント アプリと連絡先アプリ) をコンパイルして実行しました。実際、私はまったく同じ問題を抱えています?!?。私はfirefox、opera、そしてieを試しました...私は粉々になりました...

ブラウザのパスワード記憶機能は素晴らしい機能ですが、いくつかのセクションに複数のログインがある場合、次のような問題があります。

• / - 1 回のログイン
• /private/ - 別のログイン
• /admin/ - 別のログイン

問題は、ブラウザをよりスマートにし、各セクションのユーザー/パスワードの適切な復元/オートコンプリートを行うために何ができるかです。

私は主にChromeとFirefoxに興味があります:)

jqueryを使用して「Remember Me」を実装することは可能ですか? もしそうなら、それを行う方法はありますか？

編集：

ユーザー名とパスワードに関するjquery cookies.store Cookieを使用してユーザー名とパスワードを記憶しようとしています。

(ユーザー名 textBox - パスワード textBox ) と [Remember Me CheckBox] オプションを持つ asp.net ログイン Web フォームがあります。ユーザー ログイン時に以下のコードを実行します。

ユーザーが認証された後のコードのように、メソッドを呼び出してdbにログインしたことを記録しますAddForLogin(username);
しかし、ユーザーがログイン時に私を記憶することを選択した場合、Cookieを使用するため、このログインメソッドが実行されないときはいつでもサイトにアクセスしようとします...だから私は多くの質問があります:

1-これはログイン操作をログに記録するための最良の方法ですか、それとも他に良い方法はありますか?
2-私の場合、ユーザーが選択したことを覚えている場合にログイン操作をログに記録する方法は?

evercookie javascript ライブラリを使用してユーザーの Cookie を受け取り、Spring Security rememberme-service でそれを使用させたいと思います。

カスタムの「remember-me」サービスの実装について少し読んだことがありますが、evercookie ライブラリを使用してクライアント側で Cookie を検出するだけでよいと思います。Cookie の処理に関する知識がまったくないため、evercookie ライブラリを実装して、Cookie が設定され、ライブラリを介して検出されるようにする方法を教えていただければ幸いです。

エバークッキー: samy.pl

私たちが作成したウェブサイトを使用するクライアントがいます。サイトのコンテンツにアクセスするには、標準のユーザー名とパスワードの組み合わせが必要です。

IE、FF、Chromeでは、ブラウザはログインクレデンシャルを記憶するように提供していますが、クライアントは組み込みのLotus Notesブラウザを使用しており、このサービスを提供していないようです。Lotus NotesブラウザはIEのラッパーのように見えるため、ブラウザのログインキャッシュをクリアするだけで十分な場合があります。

私たちのクライアントは決してスーパーユーザーではなく、 LotusNotesシステムにアクセスすることはできません。それが役に立たず、クライアントが既存のログインクレデンシャルを失う原因となる場合は、ブラウザのログインキャッシュをクリアしたくありません。

質問1 ： Lotus Notesブラウザがログイン資格情報を記憶できるかどうか誰かが知っていますか？

はいの場合：
質問2：ブラウザでログインキャッシュをクリアすると、ログインクレデンシャルを記憶するように強制されることを誰かが確認できますか？