Как реализовать функционал "remember me", если используется кастомный контроллер аутентификации?

@Eugenue · Регистрация: 17.08.2020

Студворк — интернет-сервис помощи студентам

Привет всем! Пошёл я тут в дебри и совсем наглухо завяз...

Значит, делаю приложение. Java сервер и React UI. Причём, React может крутиться вообще на другом сервере, поэтому для поддержания сессий я подключил Spring Session (как бы почти stateless). Ну и возникло очень много проблем с аутентификацией. Сейчас код напишу и напишу, какие проблемы я решил, а какие остались (понимаю, что можно всё проще сделать, но хочу вот все шишки собрать, учусь).

Итак, конфигурация безопасности:

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .rememberMe()
                .rememberMeParameter("remember")
                .rememberMeCookieName("REMEMBER")
                .userDetailsService(userDetailsService())
                .tokenValiditySeconds(REMEMBERED_SESSION_TIMEOUT);
 
        http
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
 
        http
                .httpBasic().disable()
                .formLogin().disable()
                .csrf().disable()
                .cors().disable();
 
        http
                .logout()
                .invalidateHttpSession(true)
                .logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler(HttpStatus.OK));
 
        http
                .authorizeRequests()
                .antMatchers("/login").anonymous()
                .antMatchers("/logout").authenticated()
                .antMatchers("/api/v1/profile").authenticated()
                .antMatchers("/api/v1/students/**").hasRole(Role.STUDENT.name())
                .anyRequest().authenticated();
    }

Проблема сначала была с аутентификацией. Так как форма входа будет на другом сервере, то мне надо было как-то получать куку. Spring по умолчанию нам даёт форму логина, так вот форма мне не нужна была, а функционал её был нужен. Поэтому и сделал .formLogin().disable(). Ещё сделал специальный контроллер для аутентификации:

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
@PostMapping(value = "/login", consumes = MediaType.APPLICATION_JSON_VALUE)
    public String login(@RequestBody LoginDataTo loginData) {
        log.info("Authentication principal {}", loginData.getEmail());
 
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(
                loginData.getEmail(),
                loginData.getPassword());
        Authentication authentication = this.authenticationManager.authenticate(token);
 
        SecurityContextHolder
                .getContext()
                .setAuthentication(authentication);
 
        return "OK";
    }

Суть как бы в том, что логин и пароль вручную вытаскиваются из json, а мне возвращается кука с id сессии. Это всё работает, проверял в Postman. Да, кстати, ендпоинт в login() принимает LoginDataTo, вот оно:

Java
1
2
3
4
5
6
@Value
public class LoginDataTo {
    String email;
    String password;
    boolean remember;
}

Выход из системы тоже с трудом, но настроил в конфигурации, работает:

Java
1
2
3
.logout()
.invalidateHttpSession(true)
.logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler(HttpStatus.OK));

Проблема теперь возникла с функционалом запоминания. Честно - идей нет совсем. Много что перепробовал, но никаких признаков жизни... Кука REMEMBER не возвращается после аутентификации, что бы я ни делал. Я подозреваю, что проблема может быть в кастомном ендпоинте для аутентификации. Не смог найти информацию, но думаю, что фильтр просто распарсить LoginDataTo не может. А может и не в этом проблема. Короче, завяз. За помощь буду признателен.

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

Опции темы