spring security 记住我功能的实现原理

最新推荐文章于 2024-08-30 14:25:12 发布
置顶 最新推荐文章于 2024-08-30 14:25:12 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: spring security 文章标签: spring security remember-me 记住我原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c1523456/article/details/94382379
版权

记住我大致思路

spring security 给我们提供了两种实现记住我的机制:

1  创建一个cookie,将用户名和密码等相关信息编码后放入,带下一个session时进行用户名密码的读取,并同数据库中的username,password进行匹配。

2 基于上面的实现方式有一个缺点,就是用户敏感信息暴露,为了解决这个我们通过一张凭证,在初次登陆后,我们生成一张凭证,cookie中存一份,数据库中存一份,下次session是直接比对凭证就ok了。

总体架构流程

记住我功能的实现通过该接口定义

public interface RememberMeServices {
    Authentication autoLogin(HttpServletRequest var1, HttpServletResponse var2);

    void loginFail(HttpServletRequest var1, HttpServletResponse var2);

    void loginSuccess(HttpServletRequest var1, HttpServletResponse var2, Authentication var3);
}

当用户首次勾选记住我然后登陆的话,会在UsernamePasswordAuthenticationFilter 中认证成功后,调用该接口方法

 protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {

        SecurityContextHolder.getContext().setAuthentication(authResult);
        //使用记住我
        this.rememberMeServices.loginSuccess(request, response, authResult);
        this.successHandler.onAuthenticationSuccess(request, response, authResult);
    }
public final void loginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication) {
//通过判断请求中是否有勾选记住我的选项记性记住我的处理工作

        if (!this.rememberMeRequested(request, this.parameter)) {
            this.logger.debug("Remember-me login not requested.");
        } else {
            this.onLoginSuccess(request, response, successfulAuthentication);
        }
    }

下面我们看一下PersistentTokenBasedRememberMeServices 里面的onLoginSuccess的实现

  protected void onLoginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication) {
        String username = successfulAuthentication.getName();
        this.logger.debug("Creating new persistent login for user " + username);
//创建token
        PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(username, this.generateSeriesData(), this.generateTokenData(), new Date());

        try {
               //记性token的持久化
            this.tokenRepository.createNewToken(persistentToken);
               //添加cookie
            this.addCookie(persistentToken, request, response);
        } catch (Exception var7) {
            this.logger.error("Failed to save persistent token ", var7);
        }

    }

当下次session会话时 spring security context中没有 Authentication实例的话,RememberMeAuthenticationFilter过滤器就会执行

 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            //通过该功能获取记住的用户,及通过userDetailsService获取用户的详细信息
            Authentication rememberMeAuth = this.rememberMeServices.autoLogin(request, response);
            if (rememberMeAuth != null) {
                try {
                    //通过认证管理器进行验证
                    rememberMeAuth = this.authenticationManager.authenticate(rememberMeAuth);
                    //认证成功放入安全上下文中
                    SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);
                    this.onSuccessfulAuthentication(request, response, rememberMeAuth);
                  .....

    }

我们在去看看 PersistentTokenBasedRememberMeServices 中的this.rememberMeServices.autoLogin(request, response);的实现

public final Authentication autoLogin(HttpServletRequest request, HttpServletResponse response) {
        //获取cookie
        String rememberMeCookie = this.extractRememberMeCookie(request);
        if (rememberMeCookie == null) {
            return null;
        } else {
            this.logger.debug("Remember-me cookie detected");
            //进行相关逻辑的判断
            if (rememberMeCookie.length() == 0) {
                this.logger.debug("Cookie was empty");
                this.cancelCookie(request, response);
                return null;
            } else {
                UserDetails user = null;

                try {
                    String[] cookieTokens = this.decodeCookie(rememberMeCookie);
                    //通过token 获取用户的详细信息  在这里面调用了userDetailsService
/*
protected UserDetails processAutoLoginCookie(String[] cookieTokens, HttpServletRequest request, HttpServletResponse response) {
                   ...
                return this.getUserDetailsService().loadUserByUsername(token.getUsername());
            }
        }
*/
                    user = this.processAutoLoginCookie(cookieTokens, request, response);
                    this.userDetailsChecker.check(user);
                    this.logger.debug("Remember-me cookie accepted");
                    //完成处理后返回用户名称
                    return this.createSuccessfulAuthentication(request, user);
                } catch (CookieTheftException var6) {
                    this.cancelCookie(request, response);
                    throw var6;
                } catch (UsernameNotFoundException var7) {
                    this.logger.debug("Remember-me login was valid but corresponding user not found.", var7);
                } catch (InvalidCookieException var8) {
                    this.logger.debug("Invalid remember-me cookie: " + var8.getMessage());
                } catch (AccountStatusException var9) {
                    this.logger.debug("Invalid UserDetails: " + var9.getMessage());
                } catch (RememberMeAuthenticationException var10) {
                    this.logger.debug(var10.getMessage());
                }

                this.cancelCookie(request, response);
                return null;
            }
        }
    }

那么众多的额provider中是哪个provider提供了对rememberme得认证支持呢?那就是

 

RememberMeAuthenticationProvider  但是这一步可以忽略不计,因为没有做什么逻辑,只是原封不动的返回去

 

当我们注销的时候经过LogoutFilter

 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        if (this.requiresLogout(request, response)) {
            Authentication auth = SecurityContextHolder.getContext().getAuthentication();
           
            //此处有一个handler,因为AbstractRememberMeServices实现了该接口所以会调用
            this.handler.logout(request, response, auth);
            this.logoutSuccessHandler.onLogoutSuccess(request, response, auth);
        } else {
            chain.doFilter(request, response);
        }
    }




/AbstractRememberMeServices
public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        //进行session的清除
        this.cancelCookie(request, response);
    }

RememberMeServices实现机制

public final Authentication autoLogin(HttpServletRequest request, HttpServletResponse response) {
        //获取cookie中的数据
        String rememberMeCookie = this.extractRememberMeCookie(request);
        if (rememberMeCookie == null) {
            return null;
        } else {
            
            if (rememberMeCookie.length() == 0) {
              
            } else {
                UserDetails user = null;
                try {
                    //进行数据的解码
                    String[] cookieTokens = this.decodeCookie(rememberMeCookie);
                    //模板设计模式交给子类实现,主要作用是通过 数据获取用户信息,失败抛异常
                    user = this.processAutoLoginCookie(cookieTokens, request, response);
                    this.userDetailsChecker.check(user);
                   
                    return this.createSuccessfulAuthentication(request, user);
                } catch (CookieTheftException var6) {
                   
                }
                this.cancelCookie(request, response);
                return null;
            }
        }
    }
//TokenBasedRememberMeServices 的实现方法如下
 protected UserDetails processAutoLoginCookie(String[] cookieTokens, HttpServletRequest request, HttpServletResponse response) {
        if (cookieTokens.length != 3) {
            throw new InvalidCookieException("Cookie token did not contain 3 tokens, but contained '" + Arrays.asList(cookieTokens) + "'");
        } else {
            long tokenExpiryTime;
            try {
                tokenExpiryTime = new Long(cookieTokens[1]);
            } catch (NumberFormatException var8) {
                throw new InvalidCookieException("Cookie token[1] did not contain a valid number (contained '" + cookieTokens[1] + "')");
            }

            if (this.isTokenExpired(tokenExpiryTime)) {
                throw new InvalidCookieException("Cookie token[1] has expired (expired on '" + new Date(tokenExpiryTime) + "'; current time is '" + new Date() + "')");
            } else {
                //没什么好说的 就是通过cookie中的数据读取用户信息
                UserDetails userDetails = this.getUserDetailsService().loadUserByUsername(cookieTokens[0]);
                String expectedTokenSignature = this.makeTokenSignature(tokenExpiryTime, userDetails.getUsername(), userDetails.getPassword());
                if (!equals(expectedTokenSignature, cookieTokens[2])) {
                    throw new InvalidCookieException("Cookie token[2] contained signature '" + cookieTokens[2] + "' but expected '" + expectedTokenSignature + "'");
                } else {
                    return userDetails;
                }
            }
        }
    }
//PersistentTokenBasedRememberMeServices中

protected UserDetails processAutoLoginCookie(String[] cookieTokens, HttpServletRequest request, HttpServletResponse response) {
        if (cookieTokens.length != 2) {
            throw new InvalidCookieException("Cookie token did not contain 2 tokens, but contained '" + Arrays.asList(cookieTokens) + "'");
        } else {
            String presentedSeries = cookieTokens[0];
            String presentedToken = cookieTokens[1];

            //读取数据库中的凭证
            PersistentRememberMeToken token = this.tokenRepository.getTokenForSeries(presentedSeries);
            if (token == null) {
                throw new RememberMeAuthenticationException("No persistent token found for series id: " + presentedSeries);
               //判断cookie中的凭证和数据库中的凭证是否一致
            } else if (!presentedToken.equals(token.getTokenValue())) {
                this.tokenRepository.removeUserTokens(token.getUsername());
                throw new CookieTheftException(this.messages.getMessage("PersistentTokenBasedRememberMeServices.cookieStolen", "Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));
            } else if (token.getDate().getTime() + (long)this.getTokenValiditySeconds() * 1000L < System.currentTimeMillis()) {
                throw new RememberMeAuthenticationException("Remember-me login has expired");
            } else {
                if (this.logger.isDebugEnabled()) {
                    this.logger.debug("Refreshing persistent login token for user '" + token.getUsername() + "', series '" + token.getSeries() + "'");
                }

                PersistentRememberMeToken newToken = new PersistentRememberMeToken(token.getUsername(), token.getSeries(), this.generateTokenData(), new Date());

                try {
                    this.tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(), newToken.getDate());
                    this.addCookie(newToken, request, response);
                } catch (Exception var9) {
                    this.logger.error("Failed to update token: ", var9);
                    throw new RememberMeAuthenticationException("Autologin failed due to data access problem");
                }
                //以上没有问题就载入用户详细信息
                return this.getUserDetailsService().loadUserByUsername(token.getUsername());
            }
        }
    }

关于其他两个方法的试下机制类似。请读者自行查看,但这里有必要说一下login Success 方法中的一个判断,用来是否开启记住我功能

public final void loginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication) {
        //会通过查看request中是否有变量名为remember-me 的属性来执行
        if (!this.rememberMeRequested(request, this.parameter)) {
            this.logger.debug("Remember-me login not requested.");
        } else {
            this.onLoginSuccess(request, response, successfulAuthentication);
        }
    }

继承关系

奋斗的小面包
关注
专栏目录
Spring Boot+Spring Security记住我(Remember-Me): 方案 - 第24篇
悟纤学院
03-27 2万+
需求缘起 对于用户还是比较懒惰的,我们不可能要求要求用户访问网站每次都需要输入用户名和密码,于是就有了Remember-Me的需求了。 一、什么是Remember-Me? Remember-Me 是指网站能够在 Session 之间记住登录用户的身份,具体来说就是成功认证一次之后在一定的时间内我可以不用再输入用户名和密码进行登录了,系统会自动登录。 二、Remember...
Spring Security 实现“记住我”功能原理解析
08-19
主要介绍了Spring Security 实现“记住我”功能原理解析,需要的朋友可以参考下
SpringSecurity记住功能如何实现?含源码分析
黑马程序员官方博客
03-18 1604
spring security提供了"记住我"的功能,来完成用户下次访问时自动登录功能,而无需再次输入用户名密码。下面,我们来通过代码演示该功能的实现——主要是通过配置remember-me标签。 我们通过如下的配置过程来实现“记住我”的功能: 1、搭建maven项目(web工程),引入功能的相关依赖 2、配置web.xml中的springspringsecurity的加载、s...
spring security中Remembers me 记住我基本原理
最新发布
冬阳
08-30 1174
spring security 开启记住我,记住我的原理实现,源码分析,实战部分,以及如何开始持久化cookie功能,即使服务器重启后,还是可以免登陆
Spring Security 记住功能原理以及实现
ZhuPengWei_
02-28 7129
用户名登陆的案例 实现“记住我” 功能 在用户登陆一次以后,系统会记住用户一段时间,在这段时间,用户不用反复登陆就可以使用我们的系统。 记住功能的基本原理 用户发送请求到UsernamePasswordAuthenticationFilter,当用户认证成功以后,会调一个RemeberMeService这样一个服务。这个服务里面有一个TokenRepository,会生成一个Toke...
springsecurity-记住功能实现
起名好难呀!
12-30 616
项目地址:https://gitee.com/xxxiaowu/springsecurity-mybatis *记住功能在网站上是比较常见的功能,它大致就是我们在勾选了记住我这个按钮,在多长时间之内,用户不需要登陆就可以访问资源。 这个功能SpringSecurit 里边大致就是,我们点击记住我之后,Spring Security会生成一个token标识,然后将该token标识持久化到数据库,并且生成一个与该token相对应的cookie返回给浏览器。当用户过段时间再次访问系统时,如果该cooki
spring security记住我实现
huangbaokang的博客
12-07 410
在上一篇博客中,在自定义的配置类中,增加数据源的注入,增加一个PersistentTokenRepository 的Bean @Autowired private DataSource dataSource; @Autowired private PersistentTokenRepository persistentTokenRepository; @Bean public PersistentTokenRepository persistentTokenRep
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我下次自动登录功能过程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍...
SpringSecurity5.7.11实现用户认证和记住功能
01-02
以上就是SpringSecurity 5.7.11版本中用户认证和“记住我”功能的基本实现原理。通过理解这些概念,开发者能够构建更加安全且用户友好的应用。在实际项目中,可能还需要根据具体需求进行更深入的定制和配置,以满足...
Spring Security 构建rest服务实现rememberme 记住功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
Spring Security实现两周内自动登录"记住我"功能
08-25
Spring Security实现两周内自动登录"记住我"功能】 在Web应用程序中,"记住我"功能是一个常见的特性,它允许用户在一定时间内无须再次登录即可访问应用。Spring Security是Java开发中广泛使用的安全框架,提供了...
security 底层原理_Spring Security 实现“记住我”功能原理解析
weixin_39593523的博客
01-17 174
这章继续扩展功能,来一个“记住我”的功能实现,就是说用户在登录一次以后,系统会记住这个用户一段时间,这段时间内用户不需要重新登录就可以使用系统。记住功能基本原理原理说明用户登录发送认证请求的时候会被UsernamePasswordAuthenticationFilter认证拦截,认证成功以后会调用一个RememberMeService服务,服务里面有一个TokenRepository,这个服务会...
网页登录《记住我》功能实现原理
指尖改变世界
12-18 2226
首发于 指尖改变世界 通常,在使用web系统时,无论是MVC,还是前后端分离的方式,都不可避免会使用到登录的功能。 为了提高用户体验,简化用户登录的操作,我们会加入一个《记住我》的功能,记录当前用户的登录状态,当下次再次进入系统时,无需进行登录。 那么这个功能原理究竟是怎样的? 我们一起来理一下。 首先,这个功能的使用场景是登录,载体是浏览器,所以我们可以利用cookie的方式去处理。 流程 1、登录 -> 2、服务器进行校验 -> 3、保存token到数据库,返回前端浏览器登录token -
Spring Security 记住功能基本原理,实现及源码追踪
superbeyone
12-02 368
文章目录Spring Security 记住功能基本原理,实现及源码追踪1. 流程分析2. 过滤器链3. 代码实现3.1 页面3.2 后台4. 源码追踪4.1 第一次登录4.2 记住我之后,第二次登录 Spring Security 记住功能基本原理,实现及源码追踪 1. 流程分析 2. 过滤器链 3. 代码实现 3.1 页面 &lt;!DOCTYPE html&gt; &lt;html...
springSecurity实现记住功能
一点光辉的博客
12-08 410
1、记住功能基本原理 而REmeberMeService的在springSecurity过滤器链中的位置如下 当其他的认证都没法成功的时候,会尝试remberMe 2、具体实现 在登录表单加上记住我 <form action="/authentication/form" method="post"> <table> <tr&gt...
实现“记住我”功能
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
05-15 2659
这章继续扩展功能,来一个“记住我”的功能实现,就是说用户在登录一次以后,系统会记住这个用户一段时间,这段时间内用户不需要重新登录就可以使用系统。
Spring Security技术栈学习笔记(十)开发记住功能
脚踏实地,慢慢来
04-08 4914
记住我”几乎在登陆的时候都会被用户勾选,因为它方便地帮助用户减少了输入用户名和密码的次数,本文将从三个方面介绍“记住我”功能,首先介绍“记住我”功能基本原理,然后对“记住我”功能进行实现,最后简单解析Spring Security的“记住我”功能的源码。 一、Spring Security记住功能基本原理 Spring Security的“记住我”功能的基本原理流程图如下所示...
Spring Security是怎么实现自动登录的?
BASK2311的博客
01-12 402
小白: "过程虽然简单, 但我觉得你这也不安全吧?不过是换了个名字么?照样不安全吧?小黑: "spring security使用默认的remember-me肯定是不安全的, 你需要开启持久化功能, 也就是下图红框框的类"小白: "那你要怎么修改它内部使用哪个类的呢?小黑: "你有两种方式"和小黑: "也就是这两种方式"小黑: "从他们前面的源码可以看出, 这两种方式有优先级区别, 明显第一种优先级高于后面的。
SpringSecurity记住登录实现过程———【RememberMeServices】分析过程
SunRains
12-09 1581
在上一篇文章《SpringSecurity的认证流程分析(各个组件之间的关联)》介绍认证的基本流程时,其中的AbstractAuthenticationProcessingFilter有这样一个属性——RememberMeService引起我的注意,虽然从字面上很容易理解这个属性是和记住登录有关。但是其中的实现过程又是如何不深入还真不清楚,所以秉着学习的态度专门了解一下Security中对这个功能的实现。 在了解之前,先要清楚为什么会需要这个类来实现?当我们在很多网站上注册...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值