spring security关于CookieTheftException异常：Invalid remember-me token (Series/token) mismatch

在编写好spring security的记住我之后，前台登录产生了remember-me的cookie，然后关闭浏览器再打开请求接口，此时浏览器的remember-me就消失了，在后端debug后发现AbstractRememberMeServices类里的autoLogin方法执行了两遍，第一遍运行没问题，然后第二遍走到processAutoLoginCookie方法后发现presentedToken.equals(token.getTokenValue()的值为false，也就是从tokenRepository里取出的token与接收到的解码后的cookie不一致，然后导致抛出CookieTheftException异常，之后下面的代码就会把数据库存的token和浏览器的cookie清除掉

更新一波
又重新跑了遍debug，发现在processAutoLoginCookie这个方法里，验证presentedToken.equals(token.getTokenValue()为true之后，还走了这一步

tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(), newToken.getDate());

也就是更新了token，所以在第二次验证presentedToken.equals(token.getTokenValue()时，之前的token与更新后的token不一致导致验证失败，下面是processAutoLoginCookie方法的代码

protected UserDetails processAutoLoginCookie(String[] cookieTokens,
            HttpServletRequest request, HttpServletResponse response) {

        if (cookieTokens.length != 2) {
            throw new InvalidCookieException("Cookie token did not contain " + 2
                    + " tokens, but contained '" + Arrays.asList(cookieTokens) + "'");
        }

        final String presentedSeries = cookieTokens[0];
        final String presentedToken = cookieTokens[1];

        PersistentRememberMeToken token = tokenRepository
                .getTokenForSeries(presentedSeries);

        if (token == null) {
            // No series match, so we can't authenticate using this cookie
            throw new RememberMeAuthenticationException(
                    "No persistent token found for series id: " + presentedSeries);
        }

        // We have a match for this user/series combination
      //这里验证前端传过来的token与数据库存的是否一致，第一次验证是一致的，第二次验证因为下面有个更新token的操作导致验证失败
        if (!presentedToken.equals(token.getTokenValue())) {
            // Token doesn't match series value. Delete all logins for this user and throw
            // an exception to warn them.
            tokenRepository.removeUserTokens(token.getUsername());

            throw new CookieTheftException(
                    messages.getMessage(
                            "PersistentTokenBasedRememberMeServices.cookieStolen",
                            "Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));
        }

        if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System
                .currentTimeMillis()) {
            throw new RememberMeAuthenticationException("Remember-me login has expired");
        }

        // Token also matches, so login is valid. Update the token value, keeping the
        // *same* series number.
        if (logger.isDebugEnabled()) {
            logger.debug("Refreshing persistent login token for user '"
                    + token.getUsername() + "', series '" + token.getSeries() + "'");
        }

        PersistentRememberMeToken newToken = new PersistentRememberMeToken(
                token.getUsername(), token.getSeries(), generateTokenData(), new Date());

        try {
                //在这里token更新了
            tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),
                    newToken.getDate());
            addCookie(newToken, request, response);
        }
        catch (Exception e) {
            logger.error("Failed to update token: ", e);
            throw new RememberMeAuthenticationException(
                    "Autologin failed due to data access problem");
        }

        return getUserDetailsService().loadUserByUsername(token.getUsername());
    }

瞎搞了一下，之前是先记住我登录，然后登录成功后关闭浏览器再打开浏览器直接请求接口，这时remember-me的cookie和数据库里面的token都没了，后面我的步骤跟上面一样，就是关闭浏览器再打开浏览器后，先重启了一下后端再请求接口，结果发现可以正常访问了，可真是神奇

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
a1767028198 2021-10-28 15:18
关注
PersistentTokenBasedRememberMeServices默认的tokenRepository是保存到map中，你正常登陆的时候，需要自己去写入到内存中，
如果你自己注入的msservice，String presentedSeries = cookieTokens[0]这里没问题，基本就是tokenRepository有问题了

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

spring security关于CookieTheftException异常：Invalid remember-me token (Series/token) mismatch spring
2021-10-28 13:57

回答 1 已采纳 PersistentTokenBasedRememberMeServices默认的tokenRepository是保存到map中，你正常登陆的时候，需要自己去写入到内存中，如果你自己注入的msserv
spring boot项目启动失败 intellij-idea java spring boot
2022-04-20 16:53

回答 1 已采纳 application.yml'Caused by: org.yaml.snakeyaml.error.YAMLException: java.nio.charset.MalformedInputEx
Errors compiling template: Invalid v-for expression: (item,index)in list vscode vue.js 前端框架
2021-08-23 10:37

回答 1 已采纳 in 前面少个空格
Invalid remember-me token (Series/token) mismatch
2022-07-23 15:41

侠客v的博客开启remember-me，关闭浏览器再登录后端报错 Invalid remember-me token (Series/token) mismatch.springsecurity
初学者eclipse报错：not well-formed (invalid token)
2016-05-11 15:58

回答 3 已采纳你的第二个activity缺少了一个>符号，希望能帮到你![图片说明](http://forum.csdn.net/PointForum/ui/scripts/csdn/Plugin/003/m
springboot-2.1.3 springsecurity 实现remember me 报错 java java-ee spring tomcat
2019-09-09 10:07

回答 1 已采纳 https://www.cnblogs.com/zgghb/p/6093196.html
python中binascii.Error: Invalid base64-encoded string问题怎么解决？ python
2022-08-01 22:13

回答 2 已采纳请看👉 ：python_base64_binascii.Error: Incorrect padding解决
Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack.
2018-07-14 12:25

Dongguabai的博客今天在配置SpringSecurity记住我功能的时候项目启动出现了这样一个异常：原来是我在配置记住我的时候忘记了添加UserDetailsService实现类，UserDetailsService的作用就是获取用户信息进行校验，记住我功能需要使用...
Unity Warning: Mapping new ns http://schemas.android.com/repository/android/common/02 to old ns android unity
2022-07-04 17:09

回答 1 已采纳删掉C:\Users\black.android\debug.keystore，然后重启一下AS
UnicodeDecodeError: 'utf-8' codec can't decode byte 0x89 in position 0: invalid start byte flask python
2022-04-04 11:44

回答 2 已采纳不是应该用二进制模式传吗 with open(image_loca_path,"rb") as f:
关于#javascript#的问题：用vue做项目，美国那边报错Uncaught SyntaxError: Invalid or unexpected token javascript vue.js
2021-09-27 08:30

回答 3 已采纳这个是什么浏览器啊，可能是兼容问题。你换个浏览器试试。
spring rememberme safari 不起做作用出现Invalid remember-me token (Series/token) mismatch. Implies previou...
2017-08-30 19:16

weixin_30872867的博客 Just so that we are on the same page I will first take a minute to explain how I understand this persistent token mechanism to work.Starting from scratch (no entries in the persistent_logins table):On...
Uncaught SyntaxError: Invalid or unexpected token at html javascript 前端
2022-09-22 10:13

回答 4 已采纳用模板符号吧 var htmlContent = `<a data-toggle="modal" style="cursor:pointer;" onclick="dataUpdate($
spring security rememberMe 提升安全性讲解！
2022-09-03 17:23

千城丶Y的博客 spring security RememberMe 提升安全性
史上最简单的Spring Security教程（三十七）：RememberMe记住我原理剖析
2020-10-20 19:06

银河架构师的博客用户登录中常用的RememberMe-记住我功能，通俗来讲，即用户成功登录一次以后，系统自动记住该用户一段时间（可配置，Spring Security 框架默认为两周）。而在此时间段内，用户不必重新登录即可访问系统资源。本文...
SpringSecurity remember me异常记录
2020-03-10 17:52

Chauncy00的博客只记录异常,还未处理 17:48:09.046 [http-nio-80-exec-3] ERROR org.apache.catalina.core.ContainerBase.[Tomcat].[localhost].[/].[dispatcherServlet] - Servlet.service() for servlet [dispatcherServlet] in...
Spring Security(四) —— RememberMe
2022-07-25 12:38

耶瞳的博客 RememberMe即记住我，常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项，则在有效期内若用户重新访问同一个Web应用，那么用户可以直接登录到系统中，而无需重新执行登录...
【Spring Security】的RememberMe功能流程与源码详解
2023-06-09 16:36

阿Q说代码的博客如果用户勾选了 “记住我” 选项，Spring Security 将在用户登录时创建一个持久的安全令牌，并将令牌存储在 cookie 中或者数据库中。当用户关闭浏览器并再次打开时，Spring Security 可以根据该令牌自动验证用户身份...
【编程不良人】SpringSecurity实战学习笔记04---RememberMe
2022-08-27 23:55

Coder_Cui的博客【编程不良人】SpringSecurity实战学习笔记04---RememberMe
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
系统已结题 11月5日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
已采纳回答 10月28日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 10月28日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 10月28日
展开全部

悬赏问题

¥50 永磁型步进电机PID算法
¥15 sqlite 附加（attach database）加密数据库时，返回26是什么原因呢？
¥88 找成都本地经验丰富懂小程序开发的技术大咖
¥15 如何处理复杂数据表格的除法运算
¥15 如何用stc8h1k08的片子做485数据透传的功能？(关键词-串口)
¥15 有兄弟姐妹会用word插图功能制作类似citespace的图片吗？
¥200 uniapp长期运行卡死问题解决
¥15 latex怎么处理论文引理引用参考文献
¥15 请教：如何用postman调用本地虚拟机区块链接上的合约？
¥15 为什么使用javacv转封装rtsp为rtmp时出现如下问题：[h264 @ 000000004faf7500]no frame？

spring security关于CookieTheftException异常：Invalid remember-me token (Series/token) mismatch

1条回答 默认 最新

问题事件

悬赏问题

1条回答默认最新