Spring Security---自动登录二次校验和持久化令牌

最新推荐文章于 2024-05-03 10:06:59 发布
最新推荐文章于 2024-05-03 10:06:59 发布
阅读量953 收藏 2
点赞数
分类专栏: Spring Security 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MAKEJAVAMAN/article/details/121128346
版权

形成天才的决定因素应该是勤奋。—— 郭沫若

文章目录


Spring Security为用户提供了方便的记住密码功能,将生成的rememberMeToken放入了cookie中,这也意味着只要token没有过期,一旦泄漏后就会产生安全风险。所以应该提供其它的校验进一步来加强系统的安全性。

二次校验

在用户自动登录后,可以通过对密码进行二次校验进而确保用户的真实性。尽管Spring Security提供了记住密码功能,但是也为我们提供了二次校验的功能。

思路是对一些查询等不进行修改操作的接口,此时我们允许通过二次登录的用户直接进行查看,但是对于一些修改数据的接口,此时要求验证密码后才允许操作。

假设有一个Controller,拥有三个接口,getData作为公开接口,登录后任何用户都可以访问。updateData接口需要验证密码后才可以访问,即使通过rememberMe登录,访问后仍然需要验证密码。getData需要通过rememberMe登录后才可以进行访问,直接通过密码登录是无法访问的。

@RestController
public class HelloController {
    @GetMapping("/getData")
    public String getData() {
        return "hello world";
    }
    @GetMapping("/updateData")
    public String updateData() {
        return "hello updateData";
    }
    @GetMapping("/rememberData")
    public String rememberData() {
        return "hello rememberData";
    }
}

配置:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/rememberData").rememberMe()
            .antMatchers("/updateData").fullyAuthenticated()
            .anyRequest().authenticated()
            .and()
           ...
}

/rememberData是通过rememberMe方式登录后才可以访问
/updateData是通过账号密码登录后才可以访问

authenticated 和 fullyAuthenticated的区别:authenticated 表示登录后可以访问,不论登录方式,fullyAuthenticated表示只允许账号密码登录方式才可以访问,rememberMe登录是无法访问的。

持久化令牌

当用户勾选remember后进行登录时,我们可以生成一个持久化的令牌,当用户下次自动登录时,获取令牌进行验证。

这里有两个关键的值:series 和 tokenValue,它们都是用MD5散列过的随机字符串。用户登录成功后,产生的series是不会更新的,只有用户再次使用密码登录时才会进行更新。而tokenValue会在每个session中重新生成。由于每次session会更新token,因此也可以很好的解决多端登录问题。

PersistentRememberMeToken是持久化令牌的实体类。提供了四个字段:用户名、序列号、令牌和最后一次自动登录时间。
在这里插入图片描述
对应的Sql也在JdbcTokenRepositoryImpl进行了定义。
在这里插入图片描述
根据大佬Luke Taylor提供的实体类和Sql,对于持久化令牌的表结构有了更清楚的了解。

配置:

首先需要创建张persistent_logins表

CREATE TABLE `persistent_logins` (
  `username` varchar(64) COLLATE utf8mb4_unicode_ci NOT NULL,
  `series` varchar(64) COLLATE utf8mb4_unicode_ci NOT NULL,
  `token` varchar(64) COLLATE utf8mb4_unicode_ci NOT NULL,
  `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_unicode_ci;

注入数据库配置,创建JdbcTokenRepositoryImpl 实例并注入数据库。

@Autowired
DataSource dataSource;
@Bean
JdbcTokenRepositoryImpl jdbcTokenRepository() {
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    return jdbcTokenRepository;
}

将JdbcTokenRepositoryImpl 注入配置文件中。

@Override
protected void configure(HttpSecurity http) throws Exception {
   http.rememberMe()
        .tokenRepository(jdbcTokenRepository())
        .and()
        ....
}
Java Gosling
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security从入门到进阶】(五)二次认证
Eddie'Blog
10-14 602
文章目录目录(一) 多因子认证和TOTP 目录 (一) 多因子认证和TOTP 多因子(因素)登录 实战使用短信或者邮件达成因子登录 Vue.js 开发前端登录和注册页面
spring-security-registration:进一步进入“了解Spring Security”
04-28
Spring Security的登录和注册示例项目 如果您已经是Learn Spring Security的学生,则可以开始更深入地学习模块2的注册。 如果您还不是学生,则可以在这里访问该课程: : 相关文章: 通过Spring注册–集成reCAPTCHA 清除注册生成的过期令牌 返回用户的自定义登录页面 仅使用Spring Security允​​许从接受的位置进行身份验证 Spring Security –注册后自动登录用户 使用Spring Security跟踪已登录的用户 Spring Web App登录–错误处理和本地 通知用户从新设备或位置登录 使用Spring Security防止用户名枚举攻击 构建和部署项目 mvn clean install 这是一个Spring Boot项目,因此您可以使用主类Application.java进行部署。 部署后,您可以在以下位
Spring Security OAuth2单点登录
22333
05-07 4083
springSecurity入门以及点单登录实现
springsecurity登录页面执行了两次
qq_44989936的博客
03-13 1122
如果页面有登录的url,比如login,即使这个页面不是登录界面,f12依旧也会有login.html 点击这个url,controller就会执行两次 解决办法: 使用其它url,比如自定义的是login,你就使用loginto,这个loginto不要permitAll(),点击主动跳到登录界面 温馨提示:html 图片url没有或者错误也会导致多次访问 ...
傻瓜式使用SpringSecurity完成前后端分离+JWT+登录认证+权限控制
weixin_46684099的博客
06-01 1927
流程分析 流程说明: 客户端发起一个请求,进入 Security 过滤器链。当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理。 如果不是登出路径则直接进入下一个过滤器。当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHan
Spring Boot + Spring-Security实现前后端分离双重身份认证初学者指南(手机号密码JWT + 短信验证码)
u013652550的博客
08-30 2628
初学者想快速理解Spring-Security原理?如果学过基本的ioc思想、mvc思想、aop思想等等,不妨读一读本文吧
SpringBoot项目登录并接入MFA二次认证
北亮的专栏
06-04 3344
MFA多因素认证():一些需要身份认证的服务(如网站),为了提升安全性,通常会在账号密码登录成功后,要求用户进行第二种身份认证,以确保是正确用户登录,避免用户密码泄露了或其它原因导致用户信息泄露。不过,用户体验就比较差,因为要登录2次嘛。本文只介绍网站的MFA软件接入方案,并采用手机应用进行认证。
Spring Security 添加二次认证:提高应用安全性
良月柒
05-26 536
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来自:https://blog.csdn.net/u010349629一、 简介1 Spring Security概述Spring Security是一个基于Spring框架的安全框架,用于为Java应用程序提供身份验证和授权服务。2 二次认证的必要性传统的用户名和密码验证方式存在被破解的风险,因此在用户登录后需要...
Spring Security(二) 认证
acc__essing的博客
10-16 1455
Spring Security的学习
SpringSecurity的第二次免授权登录
青语的博客
11-18 1309
可以查看过滤链。 DefaultSecurityFilterChain查看所有的Filter器
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-core-4.2.8.RELEASE-API文档-中文版.zip
04-08
赠送jar包:spring-security-core-4.2.8.RELEASE.jar; 赠送原API文档:spring-security-core-4.2.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-4.2.8.RELEASE-sources.jar; 包含翻译后的API文档...
Spring AI 抢先体验,5 分钟玩转 Java AI 应用开发
阿里巴巴云原生的博客
04-29 1025
Spring Cloud Alibaba AI 以 Spring AI 为基础,并在此基础上提供阿里云通义系列大模型全面适配,让用户在 5 分钟内开发基于通义大模型的 Java AI 应用。
基于Springboot的家具网站
最新发布
趙兴晨的博客
05-03 493
本文介绍了一款基于现代Web技术构建的家具网站,旨在通过互联网技术优家具产品的展示与销售,提高用户的购物体验,同时为家具制造商和零售商提供一个高效的在线销售平台。本研究的主要目的是设计并实现一个高效、易用的家具网站,通过系统的产品展示流程和智能的购物功能,提升家具产品的在线销售效率和管理水平。本研究通过设计和实现家具网站,有效地解决了传统家具销售中的展示局限性和购物效率低下的问题,提高了家具产品的在线销售效率和用户的购物体验,并为相关领域的研究和实践提供了有益的参考。
SpringBoot中实现发送邮件
hac1322的博客
04-30 639
当你添加了spring-boot-starter-mail依赖后,Spring Boot会自动配置JavaMailSender实例,并根据application.yml文件中的属性来配置这个实例。你可以直接在需要发送邮件的地方通过@Autowired注解将JavaMailSender实例注入到你的类中,然后使用它来发送邮件。:首先,需要在你的pom.xml文件中添加Spring Boot的邮件发送器依赖。,简了在Spring Boot应用程序中发送电子邮件的设置过程。Spring Boot的。
springboot集成-mybatis-puls
csy08845的博客
04-29 292
Spring Boot中集成MyBatis Plus是一个相对简单的过程,MyBatis Plus是一个MyBatis的增强工具,它简了CRUD操作,并且提供了一些额外的功能,比如性能优自动填充等。3.配置MyBatis Plus:通常,MyBatis Plus的配置与MyBatis类似,不需要额外的配置,因为它会自动配置。6.使用Mapper:在你的Service中注入Mapper,并使用它。7.配置扫描:确保Spring Boot扫描到你的Mapper接口。
SpringBoot指标监控
刘浩琦的博客
05-01 392
SpringBoot指标监控添加Actuator功能SpringBoot指标监控添加Actuator功能。
springsecurity 和 springsecurity-oauth2.0区别
11-09
根据提供的引用内容,可以得知Spring Security是一个基于Spring框架的安全框架,用于保护Web应用程序。而Spring Security OAuth2是Spring Security的一个扩展,用于支持OAuth2协议。因此,Spring Security主要用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值