爆破专栏丨Spring Security系列教程之基于持久化令牌方案实现自动登录_spring security账户登录暴破

于 2024-05-04 00:59:47 发布
阅读量951 收藏 11
点赞数 16
分类专栏: 程序员 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_82241647/article/details/138429282
版权
本文介绍了Spring Security如何实现基于持久化令牌的自动登录功能。通过配置HttpSecurity,关联JdbcTokenRepositoryImpl,配置application.yml连接数据库,并创建persistent_logins表。在用户登录时,系统生成并存储持久化令牌。接着,文章详细解析了PersistentRememberMeToken令牌类、PersistentTokenRepository接口及其JdbcTokenRepositoryImpl实现,以及PersistentTokenBasedRememberMeServices类的关键方法。
摘要由CSDN通过智能技术生成

请按之前的方式创建一个新的项目module,具体过程略。

首先我们创建SucurityConfig配置类,在configure(HttpSecurity http)方法中通过tokenRepository()方法关联JdbcTokenRepositoryImpl,进而对persistent_logins表进行增删改查。

@EnableWebSecurity(debug = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${spring.security.remember-me.key}")
    private String rememberKey;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置数据源
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);

        http.authorizeRequests()
                .antMatchers("/admin/**")
                .hasRole("ADMIN")
                .antMatchers("/user/**")
                .hasRole("USER")
                .antMatchers("/app/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .permitAll()
                .and()
                //开启记住我功能
                .rememberMe()
                .userDetailsService(userDetailsService)
                //1.设置加密的key
                .key(rememberKey)
                //2.持久化令牌方案
                .tokenRepository(tokenRepository)
                //设置令牌有效期,为7天有效期
                .tokenValiditySeconds(60 * 60 * 24 * 7)
                .and()
                .csrf()
                .disable();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }
    
}
3. 配置application.yml文件

创建applicaiton.yml文件并在其中关联配置自己的数据库,我是在该数据库中创建了persistent_logins表。

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/db-security?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=GMT
    username: root
    password: syc
  security:
    remember-me:
      key: yyg
4. 启
最低0.47元/天 解锁文章
2301_82241647
关注
专栏目录
SpringSecurity自动登录
xkshihaoren的博客
11-29 480
1 散列加密方案spring security中加入自动登录功能: @Autowired private MyUserDetailsService userDetailsService; protected void configure(HttpSecurity http){ http...... .formLogin() .and() .rememberMe()...
Spring Security--自动登录
最新发布
a2285786446的博客
06-12 747
rememberMe还有一个key属性,当key设置了值的时候,即使服务端重启了也不用重新登录。分三部分:用户名:时间戳:加密字符串(根据用户名+用户密码+时间戳+key加密的字符串)因为有的接口可以支持rememberMe认证,有的接口不支持,用上图的方式做区别。我们记住登录后,关掉浏览器再打开,访问一下接口,可以访问,说明记住登录成功了。然后发送请求时加上:remember-me字段。value值可以为,ture,1,on。//禁止给url编码。//读取当前用户信息。base64解密完是。
springsecurity自动登录
qq_43603719的博客
01-02 471
第一步:创建数据库表 第二步:注入数据源,配置操作数据库对象 // 自动登录 // 注入数据源 @Autowired private DataSource dataSource; @Bean public PersistentTokenRepository persistentTokenRepository(){ JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenReposit
springsecurity自动登陆
weixin_45922154的博客
11-21 189
springsecurity自动登陆使用方法介绍原理 使用 在springsecurity配置类中重写的方法中调用rememberMe方法,具体如下 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication().withUser("admin").password("123"); } @Override
Spring Security自动登录
​​
05-27 600
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 中如何实现这个功能。 实战代码 首先,要实现记住我这个
爆破专栏Spring Security系列教程Spring Security的四种权限控制方式
xiaoxijinger的博客
11-05 1226
原创:一一哥 前言: 在前面的章节中,一一哥 已经给大家介绍了Spring Security的很多功能,在这些众多功能中,我们知道其核心功能其实就是认证+授权。 在前面我们分别基于内存模型、基于默认的数据库模型、基于自定义数据库模型实现了认证和授权功能,但是不管哪种方式,我们对某个接口的拦截限制,都是通过编写一个SecurityConfig配置类,在该类的configure (Http Security http)方法中,通过http. authorize Requests ( ). antMatchers
爆破专栏Spring Security系列教程之解决Spring Security环境中的跨域问题
qfzhangxu的博客
11-22 719
前言 在前后端不分离时,我们利用前面讲过的Spring Security的各种知识点,就可以实现对项目的权限管控。但是在前后端分离时,尤其是在引入了Spring Security后的前后端分离时,我们从前端发来的请求,就会存在一些问题。这些问题就是跨域而导致的问题! 对于前后端分离时,跨域而产生的安全问题,我们该怎么解决呢?接下来请跟着一一哥来学习如何解决吧! 在解决跨域问题之前,我们先来了解一下何为跨域问题,怎么产生的跨域问题,怎么解决这个跨域问题。 一. 跨域问题的由来 1. 同源策略 ..
selenium+python实现自动登录的方法
12-25
Selenium Python 提供了一个简单的API 便于我们使用 Selenium ...selenium 可以自动化测试、抢票、爬虫等工作。初次了解,现在模拟登录百度——即自动打开浏览器、自动输入账号密码并提交进行登录。 工作需要实
burpsuite登录_利用burpsuite爆破后台密码,爆破密码教程
weixin_33443597的博客
12-24 3049
一直忘记备份下什么是 Burp Suite?Burp Suite 是用于攻击 web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。Burp Suite 能高效率地与单个工具一起工作,例如:一个中心站点地图是用于汇总收集到的目标应用程序信息,并通过...
详解使用Spring Security进行自动登录验证
08-29
本篇文章主要介绍了详解使用Spring Security进行自动登录验证,非常具有实用价值,需要的朋友可以参考下
Spring Security 3多用户登录实现之九 基于持久化存储的自动登录
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1727761
spring security 自动登录
有范编程
03-07 462
Spring Security记住自动登录,安全和便捷 用户登录网后,一般情况为了用户的账号安全如果停留网站太久没有操作,或者隔一段时间再打开,浏览器就会跳转到用户的登录界面,但是如果是自己的电脑,设置了屏幕锁密码,又经常访问的网站,就会想让它自动登录。所以有的网站登录页多一个勾选的按钮有了免登录三天,或者自动登录自动登录实现原理 在用户勾选自动登录成功后,后端生成两个cookie浏览器本地存储,set-cookie remember-me来存储免登录用户名,过期时间。cookie session标识
Spring Security中的用户注销
花&败
07-18 946
实现过程: 登录成功后进入一个页面,点击退出后,无法访问需要权限的页面。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apac
Spring Security系列Spring Security自动登录
qq_28248897的博客
06-30 929
1.为什么需要自动登录 当我们在某个网站上注册账号时,网站会对我们设置的登录密码提出要求。例如,有的网站要求使用固定位数的纯数字密码,有的网站则强制要求用户使用英文+数字组合成的密码,甚至要求加一些特殊符号来组成密码。总体而言,设定一个密码并不困难,真正的困难总是在下次登录时才会遇到。要么想不出网站要求的密码格式是什么,要么还原不了设置密码时的思维状态。总之,在几次尝试登录失败之后,大部分人会选择找回密码,从而再次陷入如何设置密码的循环里。为了尽可能减少用户重新登录的频率,在系统开发之初就需要考虑加入可
Spring Security 实现自动登录
moran_3346的博客
04-18 148
以上两张图是自动配置相关的配置代码。
SpringSecurity实现自动登录
Kk_Chosen1的博客
08-21 773
在日常的上网中,各种网站需要登陆之后才能使用,而频繁的输入用户名和密码也是够令人烦恼的。那么自动登录就解决了这一痛点,就比如登录qq邮箱时就有这一选项。今天正好学到使用spring security可以实现这一功能,因此前来记录一下。简而言之,当用户在第一次登陆之后spring security会生成一个加密的字符串存放在cookie中,同时在数据库中也会存放加密字符串和用户的信息加密字符串。等下一次访问时就会比较cookie与数据库之间的数据,如果一致那么就能免去登录了。
SpringSecurity实现自动登录功能
qq_34136709的博客
04-29 1624
SpringSecurity实现自动登录功能 我们知道很多网站都有下次自动登录的功能,springsecurity作为较获得安全技术肯定是也有的 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据 要实现记住我这个功能,其实只需要其实只需要在 Spring Security 的配置中,添加如下代...
05 SpringSecurity-实现自动登录
01-19 2995
文章配套代码:https://gitee.com/lookoutthebush/spring-security-demo 自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验 并建立登录态的一种机制。 Spring Security提供了两种非常好的令牌: 用散列算法加密用户必要的登录信息并生成令牌。 数据库等持久性数据存储机制用的持久化令牌。 散列算法在Spring Security中是通过加密几个关键信息实现的: hashInfo = md5Hex(us
露天矿爆破智能化设计软件:提升矿山效率与安全性
"露天矿台阶爆破智能化软件的设计与开发旨在提高露天采矿的爆破质量和效率,通过结合多种先进技术,实现爆破设计的智能化、可视化和科学化。该软件运用面向对象技术、地理信息系统(GIS)、虚拟现实技术、多维数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值