spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法

最新推荐文章于 2023-01-12 10:16:48 发布
最新推荐文章于 2023-01-12 10:16:48 发布
阅读量808 收藏
点赞数 1
分类专栏: 框架 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xiaowu_First/article/details/115685495
版权

spring security 在使用自定义的AuthenticationFilter时,提示Invalid remember-me cookie,自动登录失败的解决方法

后台日志报错提示

Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’

我自定义了一个LoginFilter,它继承于UsernamePasswordAuthenticationFilter,用于支持json格式登录。

public class LoginFilter extends UsernamePasswordAuthenticationFilter {
    private static Logger log = LoggerFactory.getLogger(LoginFilter.class);

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
///省略实现
    }
}

但自动登录时始终报错:请求时携带的名为remember-me的cookie和服务器后台计算出的remember-me不匹配。后来Debug了很长时间才发现, 服务端会实现化两个TokenRememberMeServices实例,每个实例的构造方法都会需要key ( 计算加密remember-me的cookie时用到的这个key(相当于盐) ) ,如果两个key不一致,计算加密后的 remember-me 签名当然也就不一样,也就是cookie不匹配,自动登录失败。

//必须入一个key
public TokenBasedRememberMeServices(String key, UserDetailsService userDetailsService) {
   super(key, userDetailsService);
}

在使用自定义的AuthenticationFilter时,要实现自动登录必须配置RememberMeServices,否则系统将使用默认使用NullRememberMeServices。NullRememberMeServices所有方法都是空的,没有实现setCookies操作,不会向客户端写入名为remember-me的cookies,也就无法实现自动登录。

在自定义的过滤器 LoginFilter#setRememberMeServicesWebSecurityConfigurerAdapter#configure(HttpSecurity)中需要同时设置Key,并且这个两处的Key值要相同。我之前没有在configure(HttpSecurity)方法中设key, 这里若没有设值,系统将使用随机生成的UUID作为key。这个随机的UUID肯定与setRememberMeServices方法中手动设置的keyOfRememberMe不一致,所以最终导致remember-me签名校验失败,无法自动登录。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private ApplicationContext ctx;
    //appllication.yaml 配置的remember-me key
    @Value("${spring.security.remember-me.key}")
    private String keyOfRememberMe;
    @Autowired
    DataSource dataSource;

    @Autowired
    UserService userService;
     @Bean
    public LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        //.....省略其他配置
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        //   使用自定义的LoginFiler后要重新设置RememberMeServices,
        loginFilter.setRememberMeServices(new TokenBasedRememberMeServices(keyOfRememberMe, userService));
        return loginFilter;

    }
    
    @Override
  protected void configure(HttpSecurity http) throws Exception {
    //使用自定义的过滤器LoginFilter替代默认的UsernamePasswordAuthenticationFilter
    http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    http.authorizeRequests()
            //...省略其他配置
            .and()
            .rememberMe()
            .key(keyOfRememberMe) //非常重要,和上面的setRememberMeServices中的key保持一致
            .and()
            .csrf()
            .disable();

 }
}

补充:

另外还可以在LoginFilter#setRememberMeServicesWebSecurityConfigurerAdapter#configure(HttpSecurity)中配置同一个RememberMeServices实例,这样就不现分别为这两个方法设置remember-me的key了。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private ApplicationContext ctx;
    //appllication.yaml 配置的remember-me key
    @Value("${spring.security.remember-me.key}")
    private String keyOfRememberMe;
    @Autowired
    DataSource dataSource;

    @Autowired
    UserService userService;
    
    //配置一个RememberMeServices类型的Bean
     @Bean
    public RememberMeServices rememberMeServices() {
        return new TokenBasedRememberMeServices(keyOfRememberMe, userService);
    }
    
     @Bean
    public LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        //.....省略其他配置
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        //  使用配置好的RememberMeServices实例,
        loginFilter.setRememberMeServices(rememberMeServices());
        return loginFilter;

    }
    
    @Override
  protected void configure(HttpSecurity http) throws Exception {
    //使用自定义的过滤器LoginFilter替代默认的UsernamePasswordAuthenticationFilter
    http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    http.authorizeRequests()
            //...省略其他配置
            .and()
            .rememberMe()
        	//.key(keyOfRememberMe)
            //设置一个RememberMeServices实例,就不用再调用方法.key(keyOfRememberMe) 
            .rememberMeServices(rememberMeServices())
            .and()
            .csrf()
            .disable();

 }
}
蜀中孤鹰
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
8-OAuth2LoginAuthenticationFilter
码农小胖哥
03-16 2885
当gitee收到OAuth2授权请求后,会向浏览器发出302重定向到redirect_uri的响应。由于默认情况下回调的路径满足/login/oauth2/code/*,该路径会被OAuth2LoginAuthenticationFilter过滤器拦截处理。本篇就对该过滤器执行的细节进行一个分析。 OAuth2LoginAuthenticationFilter 该类的思维导图如下: OAuth2登录认证逻辑 OAuth2LoginAuthenticationFilter的核心都在attemptAuthen
Spring Security入门
yinyin_xiao的博客
05-24 1059
简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security为基于J2EE企业应用软件提供了全面安全服务。 特别是使用领先的J2EE解决方案-spring框架开发的企业软件项目。 安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权 ** **(Authorization)**两个部分,这两点也是 Spring
php下foreach提示Warning:Invalid argument supplied for foreach()的解决方法
10-25
主要介绍了php下foreach提示Warning:Invalid argument supplied for foreach()的解决方法,是很多开发者在进行PHP程序设计的过程中经常会遇到的问题,需要的朋友可以参考下
php解析xml提示Invalid byte 1 of 1-byte UTF-8 sequence错误的处理方法
12-18
错误提示Invalid byte 1 of 1-byte UTF-8 sequence原因分析在中文版的window下java的默认的编码为GBK,也就是所虽然我们标识了要将xml保存为utf-8格式但实际上文件是以GBK格式来保存的,所以这也就是为什么能够我们使用GBK、GB2312编码来生成xml文件能正确的被解析,而以UTF-8格式生成的文件不能被xml解析器所解析的原因。 把xml的encoding属性值UTF-8改为UTF8org.xml.sax.SAXParseException: Content is not allowed in trailing section把先要解析和字符
引入mybatis-plus报 Invalid bound statement错误问题的解决方法
08-19
主要介绍了引入mybatis-plus报 Invalid bound statement错误问题的解决方法,需要的朋友可以参考下
JS提示:Uncaught SyntaxError:Unexpected token ) 错误的解决方法
10-21
主要介绍了JS提示:Uncaught SyntaxError:Unexpected token ) 错误的解决方法,结合实例形式分析了javascript提示此类异常的常见原因与相关解决方法,需要的朋友可以参考下
微信js sdk invalid signature签名错误问题的解决方法分析
10-17
主要介绍了微信js sdk invalid signature签名错误问题的解决方法,结合实例形式分析了微信签名错误问题相关解决方法,需要的朋友可以参考下
史上最简单的Spring Security教程(三十七):RememberMe记住我原理剖析
银河架构师的博客
10-20 1507
​用户登录中常用的RememberMe-记住我功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对Spring Security框架提供的RememberMe-记住我实现逻辑进行详细讲解,剖析其实现过程。 用户登录 首先,在用户登录时,如果用户勾选了 记住我 选项,则系统会将该用户的一些信息进行处理,以便下次不必登录即可访问系统。在第一次登录时,请求会由 Us...
spring security使用自定义的的AuthenticationFilter时,要限制session个数,禁止多端同时登录
小伍的程序之路
04-14 1220
在WebSecurityConfigurerAdapter#configure(HttpSecurity方法中配置session管理没有效果,因为我们使用了自己的AuthenticationFilter,只能手动给LoginFilter配置SessionAuthenticationStrategy。 @Configuration public class CustomFilterSecurityConfig extends WebSecurityConfigurerAdapter { //ses
Spring Security 配置 Remember Me
hunterzhang86的博客
10-03 356
1。概述 本教程将展示如何使用 Spring Security 在 Web 应用程序中启用和配置 Remember Me。之前已经讨论过设置安全和简单表单登录的 MVC 应用程序。 该机制将能够跨多个会话识别用户——首先要了解的是,Remember Me 仅在会话超时后才会启动。默认情况下,用户在 30 分钟不活跃后会超时,但在 web.xml 中可以配置超时时间。 注意:本教程重点介绍基于标准 cookie方法。对于持久化方法,请查看 Spring Security -- Persistent Rem
spring_security自定义filter解决remember_me失效问题
b151555的博客
11-20 865
[b]一[/b].最近项目要进行第三方登陆,由于项目用到了spring_security对于登陆方面需要自己重写 filter. [code="java"]org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter[/code] [b]二[/b].自己重写了这个filt...
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 2955
spring security 记住我 rememberMe
SpringSecurity中由于自定义过滤器导致无法使用remember-me的问题解决
qq_26147675的博客
09-01 1171
        今天给web项目的登录页面增加自动登录功能,选择使用SpringSecurity自带的remmeber-me功能键,但是前端页面传值remember-me:on始终无法起作用,在SpringSecurity源码中进行断点,发现可能是由于没有使用SpringSecurity自带的过滤器设置,使用自定义过滤器(为了实现json传值登录)的原因。在此做个记录。     &nb
Spring Security是怎么实现自动登录的?
最新发布
BASK2311的博客
01-12 337
小白: "过程虽然简单, 但我觉得你这也不安全吧?不过是换了个名字么?照样不安全吧?小黑: "spring security使用默认的remember-me肯定是不安全的, 你需要开启持久化功能, 也就是下图红框框的类"小白: "那你要怎么修改它内部使用哪个类的呢?小黑: "你有两种方式"和小黑: "也就是这两种方式"小黑: "从他们前面的源码可以看出, 这两种方式有优先级区别, 明显第一种优先级高于后面的。
SpringSecurity学习日记(4):记住我(remember-me)功能
weixin_45359574的博客
10-22 463
在用户认证成功后,会调用AbstractAuthenticationProcessingFilter类的successfulAuthentication()方法 protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, Servl
关于Spring Security自定义UsernamePasswordAuthenticationFilter后用户并发控制无效
weixin_43497184的博客
01-15 3790
问题解决前的实现: @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { // ... other config ... protected void configure(HttpSecurity http) throws Exception { http .addF...
关于SpringSecurity设置Cookie的问题
m0_67393593的博客
03-24 3717
关于前后端分离SpringSecurity设置Cookie的问题 今天刚入手SpringSecurity,很多不是太懂,在github找到个dome github地址:https://github.com/ChinaSilence/spring-security-demos 然后发现SpringSecurity登录成功之后访问需要登录的接口依然是返回未登录,看了demo中的文档,登录成功之后响应头会携带一个cookie绑定到本地,然后请求需要登录的接口的时候需要携带这个cookie。 在登录接口响应头中有
Invalid remember-me token (Series/token) mismatch
Memory_2020的博客
07-23 555
开启remember-me,关闭浏览器再登录后端报错 Invalid remember-me token (Series/token) mismatch.springsecurity

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值