认证、授权攻略三(10)、spring security 记住我功能

最新推荐文章于 2022-04-25 17:26:52 发布
最新推荐文章于 2022-04-25 17:26:52 发布
阅读量322 收藏
点赞数
分类专栏: 认证、授权 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ETTTTTSS/article/details/97636159
版权
本文详细介绍了Spring Security的Remember-Me功能,包括基于简单加密和持久化token的两种实现方式,讨论了安全性和配置细节,以及如何在登录、退出和自动登录时处理Remember-Me token。
摘要由CSDN通过智能技术生成

上一篇:【认证、授权攻略三(9)、spring security匿名登录】

remember me 功能

概述
Remember-Me 是指网站能够在 Session 之间记住登录用户的身份,具体来说就是我成功认证一次之后在一定的时间内我可以不用再输入用户名和密码进行登录了,系统会自动给我登录。这通常是通过服务端发送一个 cookie 给客户端浏览器,下次浏览器再访问服务端时服务端能够自动检测客户端的 cookie,根据 cookie 值触发自动登录操作。Spring Security 为这些操作的发生提供必要的钩子,并且针对于 Remember-Me 功能有两种实现。
一种是简单的使用加密来保证基于 cookie 的 token 的安全,
另一种是通过数据库或其它持久化存储机制来保存生成的 token。

需要注意的是两种实现都需要一个 UserDetailsService。如果你使用的 AuthenticationProvider 不使用 UserDetailsService,那么记住我将会不起作用,除非在你的 ApplicationContext 中拥有一个 UserDetailsService 类型的 bean。

基于简单加密 token 的方法
当用户选择了记住我成功登录后,Spring Security 将会生成一个 cookie 发送给客户端浏览器。cookie 值由如下方式组成:

base64(username+":"+expirationTime+":"+md5Hex(username+":"+expirationTime+":"+password+":"+key))

username:登录的用户名。
password:登录的密码。
expirationTime:token 失效的日期和时间,以毫秒表示。
key:用来防止修改 token 的一个 key。

这样用来实现 Remember-Me 功能的 token 只能在指定的时间内有效,且必须保证 token 中所包含的 username、password 和 key 没有被改变才行。需要注意的是,这样做其实是存在安全隐患的,那就是在用户获取到实现记住我功能的 token 后,任何用户都可以在该 token 过期之前通过该 token 进行自动登录。如果用户发现自己的 token 被盗用了,那么他可以通过改变自己的登录密码来立即使其所有的记住我 token 失效。如果希望我们的应用能够更安全一点,可以使用接下来要介绍的持久化 token 方式,或者不使用 Remember-Me 功能,因为 Remember-Me 功能总是有点不安全的。

使用这种方式时,我们只需要在 http 元素下定义一个 remember-me 元素,同时指定其 key 属性即可。key 属性是用来标记存放 token 的 cookie 的,对应上文提到的生成 token 时的那个 key。

   <security:http auto-config="true">
      <security:form-login/>
      <!-- 定义记住我功能 -->
      <security:remember-me key="elim"/>
      <security:intercept-url pattern="/**" access="ROLE_USER" />
   </security:http>

这里有两个需要注意的地方。第一,如果你的登录页面是自定义的,那么需要在登录页面上新增一个名为 “remember-me” 的 checkbox,这是基于 NameSpace 定义提供的默认名称,如果要自定义可以自己定义 TokenBasedRememberMeServices 或 PersistentTokenBasedRememberMeServices 对应的 bean,然后通过其 parameter 属性进行指定,具体操作请参考后文关于《Remember-Me 相关接口和实现类》部分内容。第二,上述功能需要一个 UserDetailsService,如果在你的 ApplicationContext 中已经拥有一个了,那么 Spring Security 将自动获取;如果没有,那么当然你需要定义一个;如果拥有在 ApplicationContext 中拥有多个 UserDetailsService 定义,那么你需要通过 remember-me 元素的 user-service-ref 属性指定将要使用的那个。如:

   <security:http auto-config="true">
      <security:form-login/>
      <!-- 定义记住我功能,通过 user-service-ref 指定将要使用的 UserDetailsService-->
      <security:remember-me key="elim" user-service-ref="userDetailsService"/>
      <security:intercept-url pattern="/**" access="ROLE_USER" />
   </security:http>

   <bean id="userDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
      <property name="dataSource" ref="dataSource"/>
   </bean>

基于持久化 token 的方法
在这里插入图片描述
持久化 token 的方法跟简单加密 token 的方法在实现 Remember-Me 功能上大体相同,都是在用户选择了 “记住我” 成功登录后,将生成的 token 存入 cookie 中并发送到客户端浏览器,待到下次用户访问系统时,系统将直接从客户端 cookie 中读取 token 进行认证。所不同的是基于简单加密 token 的方法,一旦用户登录成功后,生成的 token 将在客户端保存一段时间,如果用户不点击退出登录,或者不修改密码,那么在 cookie 失效之前,他都可以使用该 token 进行登录,哪怕该 token 被别人盗用了,用户与盗用者都同样可以进行登录。而基于持久化 token 的方法采用这样的实现逻辑:

用户选择了 “记住我” 成功登录后,将会把 username、随机产生的序列号、生成的 token 存入一个数据库表中,同时将它们的组合生成一个 cookie 发送给客户端浏览器。
当下一次没有登录的用户访问系统时,首先检查 cookie,如果对应 cookie 中包含的 username、序列号和 token 与数据库中保存的一致,则表示其通过验证,系统将重新生成一个新的 token 替换数据库中对应组合的旧 token,序列号保持不变,同时删除旧的 cookie,重新生成包含新生成的 token,就的序列号和 username 的

最低0.47元/天 解锁文章
java爱分享
关注
专栏目录
Springboot+SpringSecurity实现权限控制(五、整合JWT)
一念永恒
03-09 310
整合JWT 添加jwt的jar包 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.0</version> </dependency> 在filer下新建JwtAuthe
SpringSecurity实现表单安全登录、图形验证的校验、记住我时长控制机制、第方登录
01-30
本主题将深入探讨如何使用SpringSecurity实现表单安全登录、图形验证码的验证、记住功能的时长控制以及整合第方登录。 **表单安全登录** 在SpringSecurity中,我们可以方便地配置表单登录。首先,我们需要定义...
Spring Security 入门(1-3-5)Spring Security - remember me!
weixin_34352449的博客
06-16 104
Remember-Me 功能 概述 Remember-Me 是指网站能够在 Session 之间记住登录用户的身份,具体来说就是我成功认证一次之后在一定的时间内我可以不用再输入用户名和密码进行登录了,系统自动给我登录。这通常是通过服务端发送一个 cookie 给客户端浏览器,下次浏览器再访问服务端时服务端能够自动检测客户端的 cookie,根据 cookie 值触发自动登录操作。Spring S...
Spring Security退出登录
Yestar123456的博客
12-27 624
Spring Security默认的退出登录URL为/logout,退出登录后,Spring Security做如下处理: 是当前的Sesion失效; 清除与当前用户关联的RememberMe记录; 清空当前的SecurityContext; 重定向到登录页。 Spring Security允许我们通过配置来更改上面这些默认行为。 自定义退出登录行为 ...
erase-credentials配置
weixin_30533797的博客
12-21 418
转自:Spring Security怎样不让默认的ProviderManager清除密码等信息 <authentication-manager erase-credentials="false"> ... </authentication-manager> erase-credentials默认为true,在ProviderManag...
入门到精通:SpringBoot2和SpringSecurity5视频教程
11-12
<img src="https://img-bss.csdn.net/202003040840325012.jpg" alt="" />
Spring Security 记住功能(4)
Java是世界上最好的语言
04-25 428
在网站的登录页面中,记住我选项是一个很常见的功能,勾选记住我后在一段时间内,用户无需进行登录操作就可以访问系统资源。在Spring Security中添加记住功能很简单,大致过程是:当用户勾选了记住我选项并登录成功后,Spring Security生成一个token标识,然后将该token标识持久化到数据库,并且生成一个与该token相对应的cookie返回给浏览器。当用户过段时间再次访问系统时,如果该cookie没有过期,Spring Security便根据cookie包含的信息从数据库中获取相应的
Spring Security 实现“记住我”功能及原理解析
08-19
Spring Security 实现“记住我”功能及原理解析 Spring Security 是一个功能强大且灵活的身份验证和授权框架,它提供了许多实用的功能来满足各种安全需求。其中,“记住我”功能是一个非常重要的功能,它允许用户在...
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 是一个功能强大且广泛使用的 Java 认证授权框架,提供了许多功能强大的功能,例如认证授权、RememberMe 等。在本文中,我们将详细介绍如何使用 Spring Security 实现记住我下次自动登录功能。 ...
Spring security认证授权()
zwfandroid的专栏
03-26 919
在第二个实例基础上我做了第个实例。第一、二个实例都只有一个角色(暂时不理解的可以跳过,后面我讲到),这显然无法满足实际需求,这个实例中我增加了ROLE_ADMIN。 第个实例: 增加一个admin.jsp页面: page language="java"contentType="text/html; charset=UTF-8"     pageEncoding="UTF-8"%
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
最新发布
11-13
总之,这个项目提供了全面的示例,展示如何利用Spring Boot Security 2.5.8实现多种登录方式,并结合记住密码和JWT功能,构建了一个健壮的安全认证系统。对于任何想要在Spring Boot应用中实施安全控制的开发者来说,...
Spring security认证授权(四)
zwfandroid的专栏
03-26 2110
在第个实例基础上我做了第四个实例,这个实例很简单。默认情况下,角色名称必须以ROLE_开头,否则spring security框架无法识别,有时这让人觉得很不爽。当然,这是可以改变的。 第四个实例: 这里只需要在第个实例上修改applicationContext-security.xml: xml version="1.0"encoding="UTF-8"?> beans xml
AutoLogin 自动登录页面的制作
dongzhouT的专栏
03-26 2357
jsp代码: login.jsp login.jsp <!-- --> <% String path = "/7ServletCookie"; %> /servlet/LoginServlet" method="post"> username: Password:
Spring Security实现RememberMe功能以及原理探究
不清不慎的博客
04-27 1万+
在大多数网站中,都实现RememberMe这个功能,方便用户在下一次登录时直接登录,避免再次输入用户名以及密码去登录,下面,主要讲解如何使用Spring Security实现记住我这个功能以及深入源码探究它的原理。 首先,如下图所示为Spring Security实现RememberMe功能的原理图: 首先你进入登录页面,输入用户名以及密码进行登录,通过前几篇文章我们知道了Sprin...
SpringSecurity入门5---自动登录(RememberMe)
Anntly的博客
04-08 829
代码地址 实现方式 SpringSecurity提供了两种令牌 散列算法加密用户必要的登录信息并生成令牌 数据库等持久性数据存储机制用的持久化令牌 散列加密方式 使用方式很简单,修改配置文件,加入RememberMe即可 protected void configure(HttpSecurity http) throws Exception { http.authorizeRe...
Spring Security认证授权(二)
致力于不留技术债务cuizb.top
03-27 4790
文章目录1. 默认数据库认证授权1.1 资源准备1.2 资源授权的配置1.3 基于内存的多用户支持1.4 认证授权1.4.1 数据库准备1.4.2 编码2. 自定义数据库模型的认证授权2.1 实现UserDetails2.2 数据库以及表准备2.3 实现UserDetailsService2.4 启动程序测试 1. 默认数据库认证授权 1.1 资源准备 首先准备个不同权限的接口 @GetMapping("/admin/test") @ResponseBody public String admi.
Spring Security Oauth2 JWT 实现用户认证授权功能
热门推荐
caoweifeng12的博客
06-10 2万+
Spring Security Oauth2 JWT 一 用户认证授权 1. 需求分析 1.1 用户认证授权 什么是用户身份认证? 用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认 证表现形式有:用户名密码登录,指纹打卡等方式。 什么是用户授权? 有权限的资源将无法访问,这个过程叫用户授权。 1.2 单点登陆需求 实际开发中 项目拥有多个子项目,为了提高用户体验性需要实现用户只认证一次便可以在多个拥有访问权限的系统中访问,这个功能就叫做单点登陆 1.
springboot2.3.0集成springsecurity,实现持久化到数据库记住我以及logout
libiao1994libiao的博客
06-22 503
1:首先创建一张表 为什么是这张表,可以点开JdbcTokenRepositoryImpl看 sql:CREATE TABLEpersistent_logins(usernamevarchar(64) NOT NULL,seriesvarchar(64) NOT NULL,tokenvarchar(64) NOT NULL,last_usedtimestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KE
spring security起步五:Remember Me功能实现
小鱼儿的专栏
07-15 9010
spring security remember me spring security 自动登录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值