SpringSecurity remember功能持久化token信息

最新推荐文章于 2024-05-14 21:20:51 发布
最新推荐文章于 2024-05-14 21:20:51 发布
阅读量841 收藏
点赞数
文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leon_Jinhai_Sun/article/details/121301315
版权

remember me安全性分析

记住我功能方便是大家看得见的,但是安全性却令人担忧。因为Cookie毕竟是保存在客户端的,很容易盗取,而且 Cookie的值还与用户名、密码这些敏感数据相关,虽然加密了,但是将敏感信息存在客户端,还是不太安全。那么 这就要提醒喜欢使用此功能的,用完网站要及时手动退出登录,清空认证信息。

此外,SpringSecurity还提供了remember me的另一种相对更安全的实现机制 :在客户端的cookie中,仅保存一个 无意义的加密串(与用户名、密码等敏感数据无关),然后在db中保存该加密串-用户信息的对应关系,自动登录 时,用cookie中的加密串,到db中验证,如果通过,自动登录才算通过。

持久化remember me信息

创建一张表,注意这张表的名称和字段都是固定的,不要修改。

CREATE TABLE `persistent_logins` (
`username` varchar(64) NOT NULL,
`series` varchar(64) NOT NULL,
`token` varchar(64) NOT NULL,
`last_used` timestamp NOT NULL,
PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8

然后将spring-security.xml中 改为:

<!--
开启remember me过滤器,
data-source-ref="dataSource" 指定数据库连接池
token-validity-seconds="60" 设置token存储时间为60秒 可省略
remember-me-parameter="remember-me" 指定记住的参数名 可省略
-->
<security:remember-me data-source-ref="dataSource"
token-validity-seconds="60" remember-me-parameter="remember-me"/>

最后测试发现数据库中自动多了一条记录:

image-20200919220254094

Leon_Jinhai_Sun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity记住我功能实现
Curtisjia的博客
10-31 1592
目录`记住我`功能实现token持久化修改登录页配置生效 记住我功能实现 在网站的登录页面中,记住我选项是一个很常见的功能,勾选记住我后在一段时间内,用户无需进行登录操作就可以访问系统资源。在Spring Security中添加记住我功能很简单,大致过程是:当用户勾选了记住我选项并登录成功后,Spring Security会生成一个token标识,然后将该token标识持久化到数据库,并且生成一个与该token相对应的cookie返回给浏览器。当用户过段时间再次访问系统时,如果该cookie没有过期,Spr
登录界面Token保存&持久化
zjg19991220的博客
08-07 4579
一、Token保存 1. 分析 登陆功能之后,从后端获取到了token值,在接下来的其他请求中,接口服务器都会去检查token值,这里我们提前把它保存到统一管理公共状态的 vuex中 2.将token保存到vuex中 使用vuex的基本逻辑:数据放在state中,要修改数据则调用mutations 先在state中补充定义token 同时,要提供对应的用来修改token的mutation,以方便在用户登陆成功之后,去设置token。 整体思路如下 ...
爆破专栏丨Spring Security系列教程之基于持久化令牌方案实现自动登录_spring security账户登录暴破
最新发布
2401_84102840的博客
05-14 913
这时候,我们只需要在登录页面中输入 用户名和密码,勾选“记住我”功能之后,Spring Security就会生成一个持久化令牌,在这个令牌中就保存了当前登陆的用户信息,该令牌信息会被自动持久化存储到persistent_logins表中。那么我们能做的,只能是当发生用户身份被盗用这样的事情时,将损失降低到最小。现在其实从大厂招聘需求可见,在招聘要求上有高并发经验优先,包括很多朋友之前都是做传统行业或者外包项目,一直在小公司,技术搞的比较简单,没有怎么搞过分布式系统,但是现在互联网公司一般都是做分布式系统。
微信小程序获取Token 存储2小时
技术分享
04-03 1万+
小程序获取Token没有什么难点,主要是一个有效性 access_token的存储至少要保留 512 个字符空间; access_token的有效期目前为2 个小时,需定时刷新,重复获取将导致上次获取的access_token失效; 建议开发者使用中控服务器统一获取和刷新access_token,其他业务逻辑服务器所使用的access_token均来自于该中控服务器,不应该各...
Spring Security RememberMe的令牌持久化JdbcTokenRepositoryImpl的工作原理
ikun 的博客
09-19 1444
JdbcTokenRepositoryImpl 简介 SpringSecurity的令牌持久化接口PersistentTokenRepository的一个实现类JdbcTokenRepositoryImpl。 作用 将原本存于内存的session存入数据库。 session持久化的优点 避免使用内存session,一旦用户量大了,内存极有可能爆掉。 避免使用内存session,重启后需要重新登录。 使用方法 数据库配置步骤省略。 1. 配置存储器 2. 配置SpringSecurity过滤器链 3.
Oauth2设置令牌过期时间accessTokenValiditySeconds,在代码中怎么判断是否过期
qq_37795502的博客
09-07 8552
我们再配置ouath2的时候都会配置资源认证的服务器 其中在配置授权服务器断点时会配置令牌的存储:tokenStore(tokenStore) ,这个令牌存储中会存令牌的过期时间,cliend_id,name等信息,一般默认使用InMemoryTokenStore()存储。我们可以在AuthorizationServerEndpointsConfigurer类中查看区别判断token的存储代码逻辑 有了上面的前提后,我们直接在AuthorizationServerEndpointsConfigure
Spring Security学习之rememberMe自动登录的实现
08-18
Spring Security的`rememberMe`功能通过使用持久化令牌方案,实现了安全的自动登录,保护了用户的登录状态,同时也防止了多设备同时登录的问题。理解和配置这一功能对于提升应用的安全性和用户体验至关重要。正确...
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍如何使用 Spring Security 实现记住我下次自动登录功能。 ...
spring security实现下次自动登录功能过程解析
08-25
Spring Security的配置中,我们需要添加`<security:remember-me>`元素来启用此功能。配置示例如下: ```xml <security:http auto-config="true" use-expressions="false"> ... <security:remember-me remember-...
Spring security实现登陆和权限角色控制
09-09
同时,“记住我”功能可以通过在`UserDetailsService`中设置适当的会话持久化来实现。这样,用户在一段时间内无需重新登录即可访问系统。对于更复杂的应用场景,你可能还需要处理如CSRF防护、密码加密和异常处理等...
Spring Security 教程(Spring Security Tutorial)1
08-04
Spring Security 提供了两种实现方式:基于散列的令牌方法和基于持久化的令牌方法。前者更安全,后者更方便。 12. **OAuth 2.0 认证的原理与实践**: - OAuth 2.0 是一个开放标准,用于授权第三方应用访问用户资源...
SpringSecurityOauth2(四种模式)
qq_45597391的博客
06-19 1万+
Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。
Spring Security实现记住我功能&源码分析
Charge8的博客
01-12 2057
Spring Security实现记住我功能&源码分析
springbsecurity 登录token验证过滤器_Spring Security框架下实现两周内自动登录"记住我"功能...
weixin_39731456的博客
11-21 607
本文是Spring Security系列中的一篇。在上一篇文章中,我们通过实现UserDetailsService和UserDetails接口,实现了动态的从数据库加载用户、角色、权限相关信息,从而实现了登录及授权相关的功能。这一节就在此基础上新增,登录过程中经常使用的“记住我”功能,也就是我们经常会在各种网站登陆时见到的"两周内免登录",“三天内免登录”的功能。该功能的作用就是:当我们登录成功之...
从零开始java安全权限框架篇(三):记住我Token存储的源码解析以及自定义Token存储
qq_35755863的博客
09-03 1701
目录 一:记住我功能Token持久化 1.新建数据表结构 2.使用JdbcTemplate来存储生成的Token 二:记住我功能的源码解析 1.首先来看一下PersistentTokenRepository接口 2.PersistentTokenRepository的实现 3.1PersistentTokenRepository实现之一InMemoryTokenRepository...
springboot记住账号密码登录_259.Spring Boot+Spring Security:记住我(RememberMe): 基于持久化token的方案...
weixin_32127359的博客
01-20 1563
说明(1)JDK版本:1.8(2)Spring Boot 2.0.6(3)Spring Security 5.0.9(4)Spring Data JPA 2.0.11.RELEASE(5)hibernate5.2.17.Final(6)MySQLDriver 5.1.47(7)MySQL 8.0.12前言 在前一节,我们使用了简单加密token的方式实现了“记住我“,这一节我...
项目使用InMemoryTokenStore时,token有效期设置与强制清除某客户端持有的token
热门推荐
Amandazh的博客
05-04 1万+
1. 设置token有效期     在使用InMemoryTokenStore(token存储在内存)token生成策略时,系统默认的token的有效时间是12小时。 从oauth源码的默认token生成方法中,可以看出 public class DefaultTokenServices implements AuthorizationServerTokenServices, Resou
Spring Security安全配置
coolshyman的博客
07-25 2005
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
Spring Security(十五):Token配置
人不风流枉少年
07-04 3393
配置多个client token持久化到redis @Data @ToString @AllArgsConstructor @RequiredArgsConstructor public class OAuth2Client { private String clientId; private String clientSecret; private int acces...
SpringSecurity 获取请求头拦截token
08-30
1. 首先,在Spring Security的配置类中,你需要配置一个Token拦截器,用来拦截请求头中的Token信息。可以使用Spring Security提供的`UsernamePasswordAuthenticationFilter`来实现这个功能。 2. 在配置类中,你需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值