16.SpringSecurity-web权限方案-自动登录(原理分析)

已于 2022-09-14 17:04:17 修改
阅读量345 收藏
点赞数
分类专栏: Spring Security OAuth2.0 文章标签: java
于 2022-04-26 10:36:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stubborn_bull/article/details/124422040
版权

实现原理

在这里插入图片描述
  1.首次登录游览器保存cookie加密串Token,数据库保存cookie加密串及用户信息;

  2.再次访问,通过游览器中保存的cookie加密串获取数据库中的用户信息,并进行认证登录;

具体流程

在这里插入图片描述

源码

  之前有讲过UsernamePasswordAuthenticationFilter是过滤器链中的其中之一,其作用是对/login 的 POST 请求做拦截,校验表单中用户名,密码。

  attemptAuthentication方法就是其具体的实现,重点不是这里,是校验之后的逻辑,所以要看它的父类AbstractAuthenticationProcessingFilter的过滤方法doFilter中的源码:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {

   HttpServletRequest request = (HttpServletRequest) req;
   HttpServletResponse response = (HttpServletResponse) res;

   if (!requiresAuthentication(request, response)) {
      chain.doFilter(request, response);

      return;
   }

   if (logger.isDebugEnabled()) {
      logger.debug("Request is to process authentication");
   }

   Authentication authResult;

   try {
      authResult = attemptAuthentication(request, response);
      if (authResult == null) {
         // return immediately as subclass has indicated that it hasn't completed
         // authentication
         return;
      }
      sessionStrategy.onAuthentication(authResult, request, response);
   }
   catch (InternalAuthenticationServiceException failed) {
      logger.error(
            "An internal error occurred while trying to authenticate the user.",
            failed);
      unsuccessfulAuthentication(request, response, failed);

      return;
   }
   catch (AuthenticationException failed) {
      // Authentication failed
      unsuccessfulAuthentication(request, response, failed);

      return;
   }

   // Authentication success
   if (continueChainBeforeSuccessfulAuthentication) {
      chain.doFilter(request, response);
   }

   successfulAuthentication(request, response, chain, authResult);
}

  认证成功后会调用successfulAuthentication方法

protected void successfulAuthentication(HttpServletRequest request,
      HttpServletResponse response, FilterChain chain, Authentication authResult)
      throws IOException, ServletException {

   if (logger.isDebugEnabled()) {
      logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
            + authResult);
   }
    //获取当前用户的权限和信息
   SecurityContextHolder.getContext().setAuthentication(authResult);

   rememberMeServices.loginSuccess(request, response, authResult);

   // Fire event
   if (this.eventPublisher != null) {
      eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
            authResult, this.getClass()));
   }

   successHandler.onAuthenticationSuccess(request, response, authResult);
}

  其中rememberMeServices.loginSuccess就是“记住我”的具体实现:

@Override
public final void loginSuccess(HttpServletRequest request,
      HttpServletResponse response, Authentication successfulAuthentication) {

   if (!rememberMeRequested(request, parameter)) {
      logger.debug("Remember-me login not requested.");
      return;
   }
    //生成Token,添加Cookie的方法
   onLoginSuccess(request, response, successfulAuthentication);
}

  onLoginSuccess方法:

protected void onLoginSuccess(HttpServletRequest request,
      HttpServletResponse response, Authentication successfulAuthentication) {
   String username = successfulAuthentication.getName();

   logger.debug("Creating new persistent login for user " + username);

   PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
         username, generateSeriesData(), generateTokenData(), new Date());
   try {
       //生成Token
      tokenRepository.createNewToken(persistentToken);
      //将生成的Token存入到Cookie中
      addCookie(persistentToken, request, response);
   }
   catch (Exception e) {
      logger.error("Failed to save persistent token ", e);
   }
}

  createNewToken实现:

public class JdbcTokenRepositoryImpl extends JdbcDaoSupport implements
      PersistentTokenRepository {
   // ~ Static fields/initializers
   // =====================================================================================

   /** Default SQL for creating the database table to store the tokens */
   public static final String CREATE_TABLE_SQL = "create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, "
         + "token varchar(64) not null, last_used timestamp not null)";
   /** The default SQL used by the <tt>getTokenBySeries</tt> query */
   public static final String DEF_TOKEN_BY_SERIES_SQL = "select username,series,token,last_used from persistent_logins where series = ?";
   /** The default SQL used by <tt>createNewToken</tt> */
   public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";
   /** The default SQL used by <tt>updateToken</tt> */
   public static final String DEF_UPDATE_TOKEN_SQL = "update persistent_logins set token = ?, last_used = ? where series = ?";
   /** The default SQL used by <tt>removeUserTokens</tt> */
   public static final String DEF_REMOVE_USER_TOKENS_SQL = "delete from persistent_logins where username = ?";

   // ~ Instance fields
   // ================================================================================================

   private String tokensBySeriesSql = DEF_TOKEN_BY_SERIES_SQL;
   private String insertTokenSql = DEF_INSERT_TOKEN_SQL;
   private String updateTokenSql = DEF_UPDATE_TOKEN_SQL;
   private String removeUserTokensSql = DEF_REMOVE_USER_TOKENS_SQL;
   private boolean createTableOnStartup;

   protected void initDao() {
      if (createTableOnStartup) {
         getJdbcTemplate().execute(CREATE_TABLE_SQL);
      }
   }
    //创建Token
   public void createNewToken(PersistentRememberMeToken token) {
      getJdbcTemplate().update(insertTokenSql, token.getUsername(), token.getSeries(),
            token.getTokenValue(), token.getDate());
   }
    //将Token加入到数据库中
   public void updateToken(String series, String tokenValue, Date lastUsed) {
      getJdbcTemplate().update(updateTokenSql, tokenValue, lastUsed, series);
   }

   /**
    * Loads the token data for the supplied series identifier.
    *
    * If an error occurs, it will be reported and null will be returned (since the result
    * should just be a failed persistent login).
    *
    * @param seriesId
    * @return the token matching the series, or null if no match found or an exception
    * occurred.
    */
   public PersistentRememberMeToken getTokenForSeries(String seriesId) {
      try {
         return getJdbcTemplate().queryForObject(tokensBySeriesSql,
               (rs, rowNum) -> new PersistentRememberMeToken(rs.getString(1), rs
                     .getString(2), rs.getString(3), rs.getTimestamp(4)), seriesId);
      }
      catch (EmptyResultDataAccessException zeroResults) {
         if (logger.isDebugEnabled()) {
            logger.debug("Querying token for series '" + seriesId
                  + "' returned no results.", zeroResults);
         }
      }
      catch (IncorrectResultSizeDataAccessException moreThanOne) {
         logger.error("Querying token for series '" + seriesId
               + "' returned more than one value. Series" + " should be unique");
      }
      catch (DataAccessException e) {
         logger.error("Failed to load token for series " + seriesId, e);
      }

      return null;
   }

   public void removeUserTokens(String username) {
      getJdbcTemplate().update(removeUserTokensSql, username);
   }

   /**
    * Intended for convenience in debugging. Will create the persistent_tokens database
    * table when the class is initialized during the initDao method.
    *
    * @param createTableOnStartup set to true to execute the
    */
   public void setCreateTableOnStartup(boolean createTableOnStartup) {
      this.createTableOnStartup = createTableOnStartup;
   }

  以上就是1-4步骤的源码实现。

  再次登录时,通过RememberMeAuthenticationFilter过滤器用来处理自动登录:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
   HttpServletRequest request = (HttpServletRequest) req;
   HttpServletResponse response = (HttpServletResponse) res;

   if (SecurityContextHolder.getContext().getAuthentication() == null) {
       //自动登录处理
      Authentication rememberMeAuth = rememberMeServices.autoLogin(request,
            response);

      if (rememberMeAuth != null) {
         // Attempt authenticaton via AuthenticationManager
         try {
            rememberMeAuth = authenticationManager.authenticate(rememberMeAuth);

            // Store to SecurityContextHolder
            SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);

            onSuccessfulAuthentication(request, response, rememberMeAuth);

            if (logger.isDebugEnabled()) {
               logger.debug("SecurityContextHolder populated with remember-me token: '"
                     + SecurityContextHolder.getContext().getAuthentication()
                     + "'");
            }

            // Fire event
            if (this.eventPublisher != null) {
               eventPublisher
                     .publishEvent(new InteractiveAuthenticationSuccessEvent(
                           SecurityContextHolder.getContext()
                                 .getAuthentication(), this.getClass()));
            }

            if (successHandler != null) {
               successHandler.onAuthenticationSuccess(request, response,
                     rememberMeAuth);

               return;
            }

         }
         catch (AuthenticationException authenticationException) {
            if (logger.isDebugEnabled()) {
               logger.debug(
                     "SecurityContextHolder not populated with remember-me token, as "
                           + "AuthenticationManager rejected Authentication returned by RememberMeServices: '"
                           + rememberMeAuth
                           + "'; invalidating remember-me token",
                     authenticationException);
            }

            rememberMeServices.loginFail(request, response);

            onUnsuccessfulAuthentication(request, response,
                  authenticationException);
         }
      }

      chain.doFilter(request, response);
   }
   else {
      if (logger.isDebugEnabled()) {
         logger.debug("SecurityContextHolder not populated with remember-me token, as it already contained: '"
               + SecurityContextHolder.getContext().getAuthentication() + "'");
      }

      chain.doFilter(request, response);
   }
}

  autoLogin实现:

@Override
public final Authentication autoLogin(HttpServletRequest request,
      HttpServletResponse response) {
   //从Cookie中获取数据       
   String rememberMeCookie = extractRememberMeCookie(request);

   if (rememberMeCookie == null) {
      return null;
   }

   logger.debug("Remember-me cookie detected");

   if (rememberMeCookie.length() == 0) {
      logger.debug("Cookie was empty");
      cancelCookie(request, response);
      return null;
   }

   UserDetails user = null;

   try {
       //对Cookie进行解密
      String[] cookieTokens = decodeCookie(rememberMeCookie);
      user = processAutoLoginCookie(cookieTokens, request, response);
      //判断解密的数据与数据库中的数据是否一致
      userDetailsChecker.check(user);

      logger.debug("Remember-me cookie accepted");
        //若一致,则进行自动登录
      return createSuccessfulAuthentication(request, user);
   }
   catch (CookieTheftException cte) {
      cancelCookie(request, response);
      throw cte;
   }
   catch (UsernameNotFoundException noUser) {
      logger.debug("Remember-me login was valid but corresponding user not found.",
            noUser);
   }
   catch (InvalidCookieException invalidCookie) {
      logger.debug("Invalid remember-me cookie: " + invalidCookie.getMessage());
   }
   catch (AccountStatusException statusInvalid) {
      logger.debug("Invalid UserDetails: " + statusInvalid.getMessage());
   }
   catch (RememberMeAuthenticationException e) {
      logger.debug(e.getMessage());
   }

   cancelCookie(request, response);
   return null;
}

  以上就是11-14步骤的源码实现。

九宫格输入法
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一篇文章带你搞定 SpringBoot 配合 SpringSecurity 实现自动登录功能
南淮北安的博客
09-16 1993
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 如何实现这个功能。 文章目录一、加入 remember
spring-security-web-5.2.0.RELEASE-API文档-文版.zip
07-13
赠送jar包:spring-security-web-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-web-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-web-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring Security系列教程15--基于散列加密方案实现自动登录
一一哥
09-26 807
前言 在前面的2个章节,一一哥 带大家实现了在Spring Security添加图形验证码校验功能,其实Spring Security的功能不仅仅是这些,还可以实现很多别的效果,比如实现自动登录,注销登录等。 有的小伙伴会问,我们为什么要实现自动登录啊?这个需求其实还是很常见的,因为对于用户来说,他可能经常需要进行登录以及退出登录,你想想,如果用户每次登录时都要输入自己的用户名和密码,是不是很烦,用户体验是不是很不好? 所以为了提高项目的用户体验,我们可以在项目添加自动登录功能,当然也要给用户提
Spring Security Web安全性解决方案
最新发布
HideonHacker的博客
04-11 634
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。
SpringSecurity(二)- SpringSecurity Web权限方案
及时当勉励,岁月不待人
09-22 782
SpringSecurity(二)- SpringSecurity Web权限方案
05 SpringSecurity-实现自动登录
01-19 2912
文章配套代码:https://gitee.com/lookoutthebush/spring-security-demo 自动登录是将用户的登录信息保存在用户浏览器的cookie,当用户下次访问时,自动实现校验 并建立登录态的一种机制。 Spring Security提供了两种非常好的令牌: 用散列算法加密用户必要的登录信息并生成令牌。 数据库等持久性数据存储机制用的持久化令牌。 散列算法在Spring Security是通过加密几个关键信息实现的: hashInfo = md5Hex(us
mysqltoken的作用_登录页面加密token和盐的作用
weixin_39873356的博客
02-18 541
盐:可以说盐是作用于注册,盐就是将用户输入的原始密码,加密后存进数据库,然后把盐(实际上是随机字符串)也存进数据库Map map = new HashMap();map.put("account", user_RegisterVo.getAccount());map.put("password", user_RegisterVo.getPassword());//new PasswordHelpe...
Token一般存放在哪里
热门推荐
wufaqidong1的博客
08-15 1万+
CSRF:跨站请求伪造,简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如:发邮件、发信息、甚至财产操作如转账和购买商品)。这利用了web用户身份验证的一个漏洞:简单的身份验证职能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出去的。这些类型的XSS攻击可以得到每个人的Web存储来访问你的网站。支持localStorage的一派则认为:撇开localStorage的各种优点不谈,如果做好适当的XSS防护,收益是远大于风险的。...
使用token验证登录信息,把token存到数据库
weixin_45559862的博客
03-23 5880
使用token验证登录信息,把生成的token存到数据库,根据用户id判断是否重复登录,重复登录就重置到期时间 调用登录接口返回出token和uuid信息 每次访问都需要在Headers里面添加该数据,adminId对应就是uuid的值,也可以不写,但是拦截器那边要去掉对应的判断,这个接口我没放进来,自己可以测试 sql /* Navicat Premium Data Transfer Source Server : 本机 Source Server Type :
spring-security-core-5.3.9.RELEASE-API文档-文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-web-4.2.8.RELEASE-API文档-英对照版.zip
04-07
赠送jar包:spring-security-web-4.2.8.RELEASE.jar 赠送原API文档:spring-security-web-4.2.8.RELEASE-javadoc.jar 赠送源代码:spring-security-web-4.2.8.RELEASE-sources.jar 包含翻译后的API文档:spring-...
spring-security-web-5.2.0.RELEASE-API文档-英对照版.zip
07-13
赠送jar包:spring-security-web-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-web-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-web-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-web-5.0.7.RELEASE-API文档-文版.zip
06-26
赠送jar包:spring-security-web-5.0.7.RELEASE.jar; 赠送原API文档:spring-security-web-5.0.7.RELEASE-javadoc.jar; 赠送源代码:spring-security-web-5.0.7.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
为什么在登录验证时需要将token和用户信息存入Redis(jwt+redis实现认证功能)
ZGJLZL的博客
09-23 891
既然jwt可以存储用户信息,为什么不直接将用户信息以及token存入到jwt,反而存储到redis,再去从redis根据key获取用户信息,是不是多此一举?以及违背了jwt技术减少数据库查询缓解服务器压力的初衷?
Java Spring Security 是什么?如何使用
IT徐师兄
05-19 1933
Spring Security是一款基于Spring框架的安全框架,它提供了一系列的功能和API,用于保护Web应用程序和REST API的安全性。Spring Security可以提供身份验证、授权、加密和防止攻击等功能。它是Spring框架的一部分,可以与Spring框架无缝集成,也可以与其他框架集成,如Spring Boot、Spring MVC等。身份验证:Spring Security提供了多种身份验证机制,如基于表单的身份验证、HTTP基本身份验证、LDAP身份验证等。
Druid 数据源连接池配置
roydon
11-20 7627
Spring Boot 的配置文件对 Druid 数据源连接池进行配置 # Druid连接池的配置 spring: datasource: druid: initial-size: 5 #初始化连接大小 min-idle: 5 #最小连接池数量 max-active: 20 #最大连接池数量 max-wait: 60000 #获取连接时最大等待时间,单位毫秒 time-between-eviction-runs-millis: 6
SpringSecurity自动登录流程与实现
weixin_43808717的博客
09-06 849
1、自动登录原理 大概的流程是这样一个图,里面还有很多细节与类下面进行分析 1.1、首次登录 第一次登录时首先需要勾选checkbox的组件,页面应该给出一个记住我的勾选框! 然后Security会放行到AbstractAuthenticationProcessingFilter抽象类,这个类里面doFilter放行链主要调用attemptAuthentication方法、successfulAuthentication方法。 其attemptAuthentication方法由Userna
Spring Security_web权限方案_笔记
weixin_43206491的博客
05-18 708
Spring Security 简介 基于Spring 框架,提供了一套Web 应用安全性的完整解决方案。 关于安全方面的主要两个区域是 “认证” 和 “授权” (或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点是 Spirng Security 重要核心功能。 用户认证:**就是系统认为用户是否能登录。**验证某个用户是否为系统的合法体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统
org.springframework.security.authentication.InternalAuthenticationServiceException: null at org.springframework.security.authentication.dao.DaoAuthenticationProvider.retrieveUser(DaoAuthenticationProvider.java:123) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.authenticate(AbstractUserDetailsAuthenticationProvider.java:144) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:199) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.attemptAuthentication(UsernamePasswordAuthenticationFilter.java:95) ~[spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:212) ~[spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:116) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.header.HeaderWriterFilter.doHeadersAfter(HeaderWriterFilter.java:92) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:77) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) [spring-web-5.2.9.RELEASE.jar:5.2.9.
07-20
这个异常是Spring Security的`InternalAuthenticationServiceException`,它表示在身份验证期间发生了内部身份验证服务异常。根据堆栈跟踪信息,异常是由`DaoAuthenticationProvider`的`retrieveUser`方法引发的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值