springsecurity中的配置文件设置remember-me 的原因及其安全性

最新推荐文章于 2022-09-03 17:23:00 发布
最新推荐文章于 2022-09-03 17:23:00 发布
阅读量2.8k 收藏
点赞数 1
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014236541/article/details/49797005
版权

首先看remember-me的写法:

<security:remember-me key="elim" user-service-ref="userDetailsService"/>


在扩展一下:这行配置所在的位置:

<security:http auto-config="true">

      <security:form-login/>

      <!-- 定义记住我功能,通过user-service-ref指定将要使用的UserDetailsService-->

      <security:remember-me key="elim" user-service-ref="userDetailsService"/>

      <security:intercept-url pattern="/**" access="ROLE_USER" />

   </security:http>

  

   <bean id="userDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">

      <property name="dataSource" ref="dataSource"/>

   </bean>


key: 用来存放token的,(一会将什么是token)

user-service-ref:指的是从缓存中获取用户信息

token的理解:

知道token之前,先找了解下cookie即客户端是如何存放信息的:

     当用户选择了记住我成功登录后,Spring Security将会生成一个cookie发送给客户端浏览器。cookie值由如下方式组成:

base64(username+":"+expirationTime+":"+md5Hex(username+":"+expirationTime+":"+password+":"+key))

Ø  username:登录的用户名。

Ø  password:登录的密码。

Ø  expirationTime:token失效的日期和时间,以毫秒表示。

Ø  key:用来防止修改token的一个key。

token就在这里key里存放

remember-me里为何又要引入token呢

  Remember-Me是指网站能够在Session之间记住登录用户的身份,具体来说就是我成功认证一次之后在一定的时间内我可以不用再输入用户名和密码进行登录了,系统会自动给我登录。这通常是通过服务端发送一个cookie给客户端浏览器,下次浏览器再访问服务端时服务端能够自动检测客户端的cookie,根据cookie值触发自动登录操作。Spring Security为这些操作的发生提供必要的钩子,并且针对于Remember-Me功能有两种实现。一种是简单的使用加密来保证基于cookietoken的安全,另一种是通过数据库或其它持久化存储机制来保存生成的token




朱智文
关注
专栏目录
Spring Security Remember me使用及原理详解
08-25
然后,在Security配置文件,需要添加Remember me的配置: ``` @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() .loginPage(SecurityConst.AUTH_REQUIRE) ....
Spring Security 入门 Remember-Me 记住我功能
SheTing'Blog
04-16 799
用户选择了“记住我”成功登录后,将会把username、随机生成的序列号、生成的token存入一个数据库表,同时将它们的组合生成一个cookie发送给客户端浏览器。 当没有登录的用户访问系统时,首先检查 remember-me 的 cookie 值 ,有则检查其值包含的 username、序列号和 token 与数据库是否一致,一致则通过验证。并且系统还会重新生成一个新的 token 替换数据库对应旧的 token,序列号 series 保持不变 ,同时删除旧的 cookie,重新生成 cookie.
java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation
fuermoda的博客
12-18 670
java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation Remember-me配置 今天在完善自己毕设的登录操作时,想为我的登录弄一个记住我的选项,能够使我短时间内可以免登录。好在Spring-security封装好了这个功能,我们只要调用就好。而这个功能Spring-security两种实现方式:1)将登录信息发送给浏览器以Cookie的方式存储,登录的时候进行验证拿出Cookie来进行比较。2)将登录信息
SpringSecurity详细介绍RememberMe功能
波波烤鸭的博客
12-05 5385
  本文我们来实现SpringSecurity的RememberMe功能 一、rememberMe功能实现 接下来我们看看具体怎么实现rememberMe功能 1.表单记住我选项 <%-- Created by IntelliJ IDEA. User: dengp Date: 2019/12/1 Time: 20:40 To change this template u...
Spring Security记住我功能之潜在的账号盗取风险
DT辰白
07-17 687
前言 记住我功能方便是大家看得见的,但是安全性却令人担忧。因为Cookie毕竟是保存在客户端的,很容易盗取,而且cookie的值还与用户名、密码这些敏感数据相关,虽然加密了,但是将敏感信息存在客户端,还是不太安全。 那么这就要提醒喜欢使用此功能的,用完网站要及时手动退出登录,清空认证信息。 Spring Security过滤器链 使用过Spring Security的小伙伴应该都不陌生,总之很爽,其余的不解释。其一个过滤器RememberMeAuthenticationFilter默认是不开启的!那么有一
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3595
spring security 记住我 rememberMe
spring security 3.0x remember-me 免登陆
08-03
4. **配置HTTP安全设置**:在HttpSecurity配置启用remember-me功能,并指定cookie的名称和路径。 ```java @Override protected void configure(HttpSecurity http) throws Exception { ...
SpringSecurity 狂神资源文件.zip
12-16
6. **Remember Me服务**:此服务允许用户在关闭浏览器后仍然保持登录状态,但同时需要确保安全性。 7. **异常处理(Exception Translation)**:SpringSecurity将常见的安全异常转换为HTTP响应状态码,如401(未...
Spring Security 基本使用和配置代码
10-07
这是自定义Spring Security配置的主要地方。你可以重写`configure(HttpSecurity http)`方法来定义HTTP安全规则。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends ...
spring-security-4.2.0.RELEASE-dist
12-11
在实际开发,解压"spring-security-4.2.0.RELEASE"文件,你会发现包含诸如jar文件、源代码、文档、示例应用等内容,这些都是学习和理解Spring Security 4.2.0的宝贵资源。通过深入研究这些内容,你可以更好地掌握...
6.Spring security的rememberMe
EdSheeran的博客
03-07 4592
文章目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`* RememberMe 6.2RememberMe基本用法 /** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时,多了一个请求参数remember-me: on,用
[转]《Spring Security3》第三章第三部分翻译下(Remember me安全吗?)
04-03 175
Remember me是否安全? 对我们精心保护的站点来说,为了用户体验而添加的任何与安全相关的功能,都有增加安全风险的潜在可能。按照其默认方式,Remember me功能存在用户的cookie被拦截并被恶意用户重用的风险。下图展现了这种情况是如何发生的: [img]http://dl.iteye.com/upload/attachment/511906/79c0864a-92c6-37...
spring security rememberMe 提升安全性 讲解 !
weixin_52834606的博客
09-03 1167
spring security RememberMe 提升安全性
Spring Security实现RememberMe功能以及原理探究
热门推荐
不清不慎的博客
04-27 1万+
在大多数网站,都会实现RememberMe这个功能,方便用户在下一次登录时直接登录,避免再次输入用户名以及密码去登录,下面,主要讲解如何使用Spring Security实现记住我这个功能以及深入源码探究它的原理。 首先,如下图所示为Spring Security实现RememberMe功能的原理图: 首先你进入登录页面,输入用户名以及密码进行登录,通过前几篇文章我们知道了Sprin...
spring security起步五:Remember Me功能实现
小鱼儿的专栏
07-15 8990
spring security remember me spring security 自动登录
spring-security实现Remember-Me
确实比较男
05-25 605
  RememberMeServices public interface RememberMeServices { //当用用户进行到系统未登录是自动登录 Authentication autoLogin(HttpServletRequest request, HttpServletResponse response); //在用户登录失败的时候调用 ...
spring security remember-me
与时间为伴
08-29 1121
spring-security 记住密码功能实现代码
Spring Security(2)——remember me
红烧咸鱼的博客
04-21 838
阿萨德
Spring security+rememberme学习笔记(1)
tjlog的专栏
10-13 1395
主要为了记住remmeberme功能配置额
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值