解决Spring Security 开启remember-me(持久化),session并发控制后重启服务器remember-me持久化凭证消失问题

最新推荐文章于 2023-11-28 23:54:37 发布
VIP文章 最新推荐文章于 2023-11-28 23:54:37 发布
阅读量5.9k 收藏
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chenctrl/article/details/49490027
版权
学习Spring security过程中实现了remember-me的持久化实现(其实很简单的呀) 
<remember-me key="elim" remember-me-parameter="remember-me"
			token-validity-seconds="604800" data-source-ref="dataSource"
			user-service-ref="customjdbcUserService" />

key属性的作用说实话不是很理解,token-validity-seconds表示remember-me的秒数,这里大概是7天吧。注意:remember-me本有两个版本,一个是inmemory,另外一个基于数据库。默认为inmemory实现,表示将凭证存储在内存中。重启服务器后凭证会消失,据说在集群中也不可用。但添加data-source-ref标签后,则自动激活数据库实现,表结构为:

(如果要自定义表结构,则需要实现***忘了)


之后实现了session的并发控制和防固化攻击,配置如下:

<session-management session-fixation-protection="migrateSession">
			<concurrency-control max-sessions="1"
				expired-url="/login?error=expired" />
		</session-management>

<concurrency-control max-sessions="1"
				expired-url="/login?error=expired" />
表示像QQ那样有人上线会把你顶下去。顶下去之后你再进行任何操作都会被重定向到/login?error=expired。

但问题来了,当在两个浏览器中登陆同一个账户时,发现第一个登陆的果然被顶下去了,第二个登陆的会话有效,但是如果此时重启服务器,会发现第二个登陆的用户的remember-me失效了,重现了几次之后发现确实是这个问题。继续看debug日志。


22:28:49,552 DEBUG FilterChainProxy:324 - / at position 2 of 16 in additional filter chain; firing Filter: 'ConcurrentSessionFilter'
22:28:49,552 DEBUG SecurityContextLogoutHandler:64 - Invalidating session: f9f57cm68yj11q4vcyzedjayw
22:28:49,552 DEBUG HttpSessionEventPublisher:88 - Publishing event: org.springframework.security.web.session.HttpSessionDestroyedEvent[source=org.eclipse.jetty.server.session.HashedSession:f9f57cm68yj11q4vcyzedjayw@1532245675]
22:28:49,553 DEBUG SessionRegistryImpl:167 - Removing session f9f57cm68yj11q4vcyzedjayw from principal's set of registered sessions
22:28:49,553 DEBUG PersistentTokenBasedRememberMeServices:407 - Logout of user guest
22:28:49,553 DEBUG PersistentTokenBasedRememberMeServices:346 - Cancelling cookie
22:28:49,554 DEBUG JdbcTemplate:908 - Executing prepared SQL update
22:28:49,554 DEBUG JdbcTemplate:627 - Executing prepared SQL statement [delete f
最低0.47元/天 解锁文章
Chenctrl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
主要介绍了Spring Security 构建rest服务实现rememberme 记住我功能,需要的朋友可以参考下
SpringSecurity rememberme功能实现过程解析
08-24
主要介绍了SpringSecurity rememberme功能实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-crypto-5.5.2.pom; 包含翻译后的API文档:spring-security-crypto-5.5.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-crypto:5.5.2; 标签:springframework、securityspring、crypto、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
漫步SpringSecurity---采用持久化token来实现remember-me功能(SpringBoot项目)
LeslieLau的博客
06-09 1362
之前几篇博客记录了一下SpringSecurity一些基础知识,也在整合Security那篇博客中记录了remember-me的使用方法和一些基本原理。这一篇就来记录一个和remember-me有关的一个操作,采用持久化token的方式来实现remember-me 小前言 以前我们实现remember-me功能时,是直接在配置类相应方法中加入这一行代码: http.rememberMe(); 之后就会在登录页面自动生成这一个单选框。 当然如果我们需要自定义登录页的话,只需要在前端页面添加一个rad
SpringSecurity的记住登录实现过程———【RememberMeServices】分析过程
SunRains
12-09 1366
在上一篇文章《SpringSecurity的认证流程分析(各个组件之间的关联)》介绍认证的基本流程时,其中的AbstractAuthenticationProcessingFilter有这样一个属性——RememberMeService引起我的注意,虽然从字面上很容易理解这个属性是和记住登录有关。但是其中的实现过程又是如何不深入还真不清楚,所以秉着学习的态度专门了解一下Security中对这个功能的实现。 在了解之前,先要清楚为什么会需要这个类来实现?当我们在很多网站上注册...
Springsecurity的remember-me功能,持久化数据改用Redis实现,步骤超级详细!!!
qq_33999481的博客
07-21 989
一、用Redis持久化remember-me中所需要的数据 今天用springboot集成springsecurity时,开启remember-me功能时,发现springsecurity提供了两个持久化数据的方式1. InMemoryTokenRepositoryImpl 2.JdbcTokenRepositoryImpl ,这两个实现类,准确的说第一个实现类是存入内存,个人感觉不算真正意义上的持久化。 JdbcTokenRepositoryImpl 这个是Springsecurity实现自动登录,
spring security 会话管理
swadian2008的博客
08-28 1964
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
SecurityContext is empty or contents are anonymous处理
fsh430623的专栏
11-30 2466
最近用swfupload做上传,在火狐浏览器下上传操作时 出现异常: SecurityContext is empty or contents are anonymous ,后面还有 httpsession is null类似的信息。   当然这里是系统用了spring security  机制,实际用户是有这个访问权限的 。在IE下操作一切正常。   在这里的处理方法,是只能放开这个...
Spring MVC 第一次访问实例化过程
modun1986的专栏
10-27 227
[DEBUG,FilterChainProxy,http-8080-1] Converted URL to lowercase, from: '/index.jsp'; to: '/index.jsp'[DEBUG,FilterChainProxy,http-8080-1] Candidate is: '/index.jsp'; pattern is /**; matched=true[DEBUG...
springSecurity授权简单分析
qiuxinfa123的博客
04-16 715
弄完了认证流程,当然要看看授权是怎样进行的了。这里,不会把每一步的代码都贴出来,完整的代码,已经放到了GitHub:https://github.com/qiuxinfa/springSecurity-study 当访问系统的某个接口时,比如http://localhost:8080/admin/users,那么会先来到FilterSecurityInterceptor的doFilter方...
Spring Security Remember me使用及原理详解
08-25
主要介绍了Spring Security Remember me使用及原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security学习之rememberMe自动登录的实现
08-18
主要给大家介绍了关于Spring Security学习之rememberMe自动登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Spring Security教程(七):RememberMe功能
dichengyan0013的博客
11-20 444
在之前的教程中一笔带过式的讲了下RememberMe记住密码的功能,那篇的Remember功能是最简易的配置,其功能和安全性都不强。这里就配置下security中RememberMe的各种方式。 一、概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自...
Spring Boot 3 + Spring Security 6 最新版本修改 Json 登录后 RememberMe 功能问题失效的解决方案
qq_42378797的博客
11-28 873
Spring Boot 版本更新到 3 之后,最低要求的 JDK 版本变为 17,相应的 最新版本的 Spring Security 的配置也发生了变化,一下主要讲解一些新的 Spring Security 的配置方法。
windows 服务器远程桌面 你的凭据不工作
weixin_30950887的博客
07-07 1134
一、问题描述 通过windows 远程桌面连接服务器时,输入正确的用户名和密码,点击连接按钮时,提示“你的凭据不工作”,但是其他个别电脑可以通过远程桌面远程到目标服务器问题描述如下图所示: 二、问题分析 目标机器的访问权限设置为仅来宾身份,应该设置为经典模式。 三、解决方案 设置目标计算机权限: 第一种打开方式:开始-->运行->gp...
spring security 用户授权原理
swadian2008的博客
09-12 594
SecurityMetadataSource其实就是读取访问策略的抽象,读取的内容就是我们配置的访问规则。进入权限验证决策方法,AccessDecisionManager#decide,AccessDecisionManager 有三个实现,默认使用 AffirmativeBased,其中两种决策方式,文章后边也会介绍。3. 最后,FilterSecurityInterceptor 会调用 AccessDecisionManager 进行授权决策,若决策通过,则允许访问资源,否则将禁止访问。
史上最简单的Spring Security教程(四十):SecurityContextPersistenceFilter详解
银河架构师的博客
11-11 2286
SecurityContextPersistenceFilter,为Spring Security框架Filter Chain过滤器链的第一个 Filter,具有不可或缺的作用。 /** * Populates the {@link SecurityContextHolder} with information obtained from the * configured {@link SecurityContextRepository} prior to the request an...
Spring security(五)-完美权限管理系统(授权过程分析)
Ccww_的博客
10-04 1207
1. 权限管理相关概念   权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中, 用户: 不用多讲,大家也知道了; 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ; 权限: 1).页面权限,控制你可以看到哪...
JavaScript介绍.zip
最新发布
04-23
javascript,JavaScript 最初由 Netscape 公司的 Brendan Eich 在 1995 年开发,用于 Netscape Navigator 浏览器。随着时间的推移,JavaScript 成为了网页开发中不可或缺的一部分,并且其应用范围已经远远超出了浏览器,成为了全栈开发的重要工具。
Spring Security如何使用Remember-me功能
04-26
Spring Security中使用Remember-me功能,需要进行以下步骤: 1. 在Spring Security的配置文件中,添加<remember-me>元素,并设置相关属性,如下所示: <remember-me key="myAppKey" token-validity-seconds="86400" user-service-ref="myUserService"/> 其中,key属性指定记住登录状态的key值;token-validity-seconds属性指定令牌有效期,单位为秒;user-service-ref属性指定用户认证服务的引用。 2. 创建一个实现了UserDetailsService接口的类,该类用于获取用户信息,包括用户名、密码、角色等信息。实现该接口需要实现loadUserByUsername方法,用于根据用户名获取用户信息。 3. 在登录页面的HTML代码中,添加remember-me复选框,并设置name属性为“_spring_security_remember_me”。 4. 让登录表单中的submit按钮提交的URL为“/login”,这样用户登录成功后,系统会自动创建一个记住登录状态的cookie。 5. 当用户再次访问系统时,系统会检查cookie中是否包含有效的token信息,如果存在,则将用户的登录状态自动还原,无需再次登录。 以上就是使用Spring Security的Remember-me功能的步骤。如果您需要更详细的信息,请参考Spring Security官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值