Spring Security记住我的例子

最新推荐文章于 2022-01-26 14:05:34 发布
最新推荐文章于 2022-01-26 14:05:34 发布
阅读量239 收藏
点赞数 1
文章标签: 数据库 java 开发工具
春天安全记住我

在本教程中,我们将向您展示如何在Spring Security中实现“记住我”登录功能,这意味着即使用户会话期满后,系统也将记住用户并执行自动登录。

使用的技术和工具:

  1. 春天3.2.8。发布
  2. Spring Security 3.2.3发布
  3. Spring JDBC 3.2.3.RELEASE
  4. Eclipse 4.2
  5. JDK 1.6
  6. Maven 3
  7. MySQL服务器5.6
  8. Tomcat 6和7(Servlet 3.x)
  9. 使用Google Chrome进行测试

一些快速注意事项:

  1. 在Spring Security中,有两种实现“记住我”的方法-简单基于哈希的令牌和持久令牌方法。
  2. 要了解“记住我”的工作方式,请阅读这些文章-Spring记住我参考持久性登录Cookie最佳实践改进的持久性登录Cookie最佳实践
  3. 本示例使用“ Persistent Token Approach”,请参考Spring的PersistentTokenBasedRememberMeServices
  4. 此示例使用MySQL和数据库身份验证(通过Spring JDBC)。
  5. 将创建表“ persistent_logins”以存储登录令牌和系列。

项目工作流程:

  1. 如果用户登录时选中了“记住我”,则系统将在请求的浏览器中存储“记住我” cookie。
  2. 如果用户的浏览器提供有效的“记住我” cookie,系统将执行自动登录。
  3. 如果用户通过“记住我” cookie登录,则要更新用户详细信息,用户需要再次输入用户名和密码(避免被盗的cookie来更新用户信息的良好做法。

PS:“记住我”的工作方式非常高,有关详细信息,请参阅“快速说明”中的上述链接。

1.项目演示

2.项目目录

查看项目目录结构。

Spring安全记住我目录

3. MySQL脚本

创建usersuser_rolespersistent_logins SQL脚本。 

CREATE  TABLE users (
  username VARCHAR(45) NOT NULL ,
  password VARCHAR(45) NOT NULL ,
  enabled TINYINT NOT NULL DEFAULT 1 ,
  PRIMARY KEY (username));

CREATE TABLE user_roles (
  user_role_id int(11) NOT NULL AUTO_INCREMENT,
  username varchar(45) NOT NULL,
  role varchar(45) NOT NULL,
  PRIMARY KEY (user_role_id),
  UNIQUE KEY uni_username_role (role,username),
  KEY fk_username_idx (username),
  CONSTRAINT fk_username FOREIGN KEY (username) REFERENCES users (username));

INSERT INTO users(username,password,enabled)
VALUES ('mkyong','123456', true);

INSERT INTO user_roles (username, role)
VALUES ('mkyong', 'ROLE_USER');
INSERT INTO user_roles (username, role)
VALUES ('mkyong', 'ROLE_ADMIN');

CREATE TABLE persistent_logins (
    username varchar(64) not null,
    series varchar(64) not null,
    token varchar(64) not null,
    last_used timestamp not null,
    PRIMARY KEY (series)
);

4.记住我(XML示例)

要在XML配置中启用“记住我”功能, remember-mehttp放置“记住我”标记,如下所示:

spring-security.xml 
<!-- enable use-expressions -->
  <http auto-config="true" use-expressions="true">
    <intercept-url pattern="/admin**" access="hasRole('ROLE_ADMIN')" />

    <form-login login-page="/login" 
	default-target-url="/welcome"
	authentication-failure-url="/login?error" 
	username-parameter="username"
	password-parameter="password" 
	login-processing-url="/auth/login_check"
	authentication-success-handler-ref="savedRequestAwareAuthenticationSuccessHandler" />

    <logout logout-success-url="/login?logout" delete-cookies="JSESSIONID" />
    <csrf />

    <!-- enable remember me -->
    <remember-me 
        token-validity-seconds="1209600"
	remember-me-parameter="remember-me" 
	data-source-ref="dataSource" />

  </http>
spring-database.xml 
<bean id="dataSource"
	class="org.springframework.jdbc.datasource.DriverManagerDataSource">

	<property name="driverClassName" value="com.mysql.jdbc.Driver" />
	<property name="url" value="jdbc:mysql://localhost:3306/test" />
	<property name="username" value="root" />
	<property name="password" value="password" />
  </bean>

  <!-- If request parameter "targetUrl" is existed, then forward to this url --> 
  <!-- For update login form -->
  <bean id="savedRequestAwareAuthenticationSuccessHandler"
	class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
	<property name="targetUrlParameter" value="targetUrl" />
  </bean>
  1. token-validity-seconds –“记住我” cookie的过期日期(以秒为单位)。 例如,1209600 = 2周(14天),86400 = 1天,18000 = 5小时。
  2. 记住我参数 –“复选框”的名称。 默认为'_spring_security_remember_me'。
  3. data-source-ref –如果指定此选项,将使用“持久令牌方法”。 默认为“基于简单哈希的令牌方法”。

5.记住我(注释示例)

相当于注解:

SecurityConfig.java 
package com.mkyong.config;

import javax.sql.DataSource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	DataSource dataSource;
	//...
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {

	  http.authorizeRequests()
	      .antMatchers("/admin/**").access("hasRole('ROLE_ADMIN')")
	    .and()
	      .formLogin()
	        .successHandler(savedRequestAwareAuthenticationSuccessHandler())
		.loginPage("/login")
	        .failureUrl("/login?error")
		.loginProcessingUrl("/auth/login_check")
		.usernameParameter("username")
		.passwordParameter("password")
	    .and()
		.logout().logoutSuccessUrl("/login?logout")
	    .and()
	        .csrf()
	    .and()
		.rememberMe().tokenRepository(persistentTokenRepository())
		.tokenValiditySeconds(1209600);
	}
	
	@Bean
	public PersistentTokenRepository persistentTokenRepository() {
		JdbcTokenRepositoryImpl db = new JdbcTokenRepositoryImpl();
		db.setDataSource(dataSource);
		return db;
	}
	
	@Bean
	public SavedRequestAwareAuthenticationSuccessHandler 
                savedRequestAwareAuthenticationSuccessHandler() {
		
               SavedRequestAwareAuthenticationSuccessHandler auth 
                    = new SavedRequestAwareAuthenticationSuccessHandler();
		auth.setTargetUrlParameter("targetUrl");
		return auth;
	}	
	
}

PS在注释配置中,“记住我”复选框的默认http名称是“记住我”。

6.HTML / JSP页面

6.1在JSP中,您可以使用Spring安全性标签sec:authorize access="isRememberMe()"来确定该用户是否通过“记住我” cookie登录。

admin.jsp 
<%@taglib prefix="sec"
	uri="http://www.springframework.org/security/tags"%>
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@page session="true"%>
<html>
<body>
	<h1>Title : ${title}</h1>
	<h1>Message : ${message}</h1>

	<c:url value="/j_spring_security_logout" var="logoutUrl" />
	<form action="${logoutUrl}" method="post" id="logoutForm">
		<input type="hidden" name="${_csrf.parameterName}"
			value="${_csrf.token}" />
	</form>
	<script>
		function formSubmit() {
			document.getElementById("logoutForm").submit();
		}
	</script>

	<c:if test="${pageContext.request.userPrincipal.name != null}">
	  <h2>
		Welcome : ${pageContext.request.userPrincipal.name} | <a
			href="javascript:formSubmit()"> Logout</a>
	  </h2>
	</c:if>

	<sec:authorize access="isRememberMe()">
		<h2># This user is login by "Remember Me Cookies".</h2>
	</sec:authorize>

	<sec:authorize access="isFullyAuthenticated()">
		<h2># This user is login by username / password.</h2>
	</sec:authorize>

</body>
</html>

6.2带有“记住我”复选框的简单登录表单。

login.jsp 
<form name='loginForm'
	action="<c:url value='/auth/login_check?targetUrl=${targetUrl}' />"
	method='POST'>

	<table>
	<tr>
		<td>User:</td>
		<td><input type='text' name='username'></td>
	</tr>
	<tr>
		<td>Password:</td>
		<td><input type='password' name='password' /></td>
	</tr>

	<!-- if this is login for update, ignore remember me check -->
	<c:if test="${empty loginUpdate}">
	<tr>
		<td></td>
		<td>Remember Me: <input type="checkbox" name="remember-me" /></td>
	</tr>
	</c:if>

	<tr>
	        <td colspan='2'><input name="submit" type="submit"
		value="submit" /></td>
	</tr>

	</table>

	<input type="hidden" name="${_csrf.parameterName}"
		value="${_csrf.token}" />

  </form>

6.3更新页面。 仅允许使用密码登录的用户访问此页面。

update.jsp 
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@page session="true"%>
<html>
<body>
	<h1>Title : Spring Security Remember Me Example - Update Form</h1>
	<h1>Message : This page is for ROLE_ADMIN and fully authenticated only 
            (Remember me cookie is not allowed!)</h1>
	
	<h2>Update Account Information...</h2>
</body>
</html>

7.控制器

Spring控制器类,请阅读注释以进行自我解释。

MainController.java 
package com.mkyong.web.controller;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import org.springframework.security.authentication.RememberMeAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Controller;
import org.springframework.util.StringUtils;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;

@Controller
public class MainController {

	@RequestMapping(value = { "/", "/welcome**" }, method = RequestMethod.GET)
	public ModelAndView defaultPage() {

		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security Remember Me");
		model.addObject("message", "This is default page!");
		model.setViewName("hello");
		return model;

	}

	@RequestMapping(value = "/admin**", method = RequestMethod.GET)
	public ModelAndView adminPage() {

		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security Remember Me");
		model.addObject("message", "This page is for ROLE_ADMIN only!");
		model.setViewName("admin");

		return model;

	}

	/**
	 * This update page is for user login with password only.
	 * If user is login via remember me cookie, send login to ask for password again.
	 * To avoid stolen remember me cookie to update info
	 */
	@RequestMapping(value = "/admin/update**", method = RequestMethod.GET)
	public ModelAndView updatePage(HttpServletRequest request) {

		ModelAndView model = new ModelAndView();

		if (isRememberMeAuthenticated()) {
			//send login for update
			setRememberMeTargetUrlToSession(request);
			model.addObject("loginUpdate", true);
			model.setViewName("/login");
			
		} else {
			model.setViewName("update");
		}

		return model;

	}

	/**
	 * both "normal login" and "login for update" shared this form.
	 * 
	 */
	@RequestMapping(value = "/login", method = RequestMethod.GET)
	public ModelAndView login(@RequestParam(value = "error", required = false) String error,
	  @RequestParam(value = "logout", required = false) String logout, 
          HttpServletRequest request) {

		ModelAndView model = new ModelAndView();
		if (error != null) {
			model.addObject("error", "Invalid username and password!");
			
			//login form for update page
                        //if login error, get the targetUrl from session again.
			String targetUrl = getRememberMeTargetUrlFromSession(request);
			System.out.println(targetUrl);
			if(StringUtils.hasText(targetUrl)){
				model.addObject("targetUrl", targetUrl);
				model.addObject("loginUpdate", true);
			}
			
		}

		if (logout != null) {
			model.addObject("msg", "You've been logged out successfully.");
		}
		model.setViewName("login");

		return model;

	}

	/**
	 * Check if user is login by remember me cookie, refer
	 * org.springframework.security.authentication.AuthenticationTrustResolverImpl
	 */
	private boolean isRememberMeAuthenticated() {

		Authentication authentication = 
                    SecurityContextHolder.getContext().getAuthentication();
		if (authentication == null) {
			return false;
		}

		return RememberMeAuthenticationToken.class.isAssignableFrom(authentication.getClass());
	}
	
	/**
	 * save targetURL in session
	 */
	private void setRememberMeTargetUrlToSession(HttpServletRequest request){
		HttpSession session = request.getSession(false);
		if(session!=null){
			session.setAttribute("targetUrl", "/admin/update");
		}
	}

	/**
	 * get targetURL from session
	 */
	private String getRememberMeTargetUrlFromSession(HttpServletRequest request){
		String targetUrl = "";
		HttpSession session = request.getSession(false);
		if(session!=null){
			targetUrl = session.getAttribute("targetUrl")==null?""
                             :session.getAttribute("targetUrl").toString();
		}
		return targetUrl;
	}
	
}

8.演示

8.1访问受保护的页面– http:// localhost:8080 / spring-security-remember-me / admin ,系统会将用户重定向到登录表单。 尝试登录并选中“记住我”。

Spring安全记住我的例子0
Spring安全记住我的例子2

8.2在Google Chrome浏览器中,设置->显示高级设置->隐私,内容设置...->“所有cookie和站点数据” –有两个用于localhost的cookie,一个用于当前会话,一个用于“记住我”登录cookie。

Spring安全记住我的例子1

8.3检查表“ persistent_logins”,用户名,系列和令牌已存储。

春天安全记得我表

8.4重新启动Web应用程序,转到Chrome“所有cookie和站点数据”,然后删除浏览器的会话“ JSESSIONID”。 尝试再次访问登录页面。 现在,系统将“记住您”并通过浏览器中的登录cookie自动登录。

Spring安全记住我的例子3

8.5尝试访问“更新”页面-http:// localhost:8080 / spring-security-remember-me / admin / update ,如果用户通过记住我的cookie登录,系统将再次将用户重定向到登录表单。 这是避免被窃取的cookie来更新用户详细信息的好习惯。

Spring安全记住我的例子4

8.6完成。

Spring安全记住我的例子5

9.其他

一些重要的Spring Security课程需要学习:

  1. org.springframework.security.config.annotation.web.configurers.RememberMeConfigurer.java
  2. org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices.java
  3. org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices.java
  4. org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices.java
  5. org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter

下载源代码

下载它– spring-security-remember-me.zip (18 KB)

下载它– spring-security-remember-me-annotation.zip (25 KB)

参考文献

  1. Spring Security记住我的参考
  2. 永久登录Cookie最佳做法
  3. 改进的持久登录Cookie最佳做法
  4. 对网站实施“记住我”的最佳方法是什么?
  5. Spring JdbcTemplate JavaDoc
  6. 使用数据库登录Spring Security表单– XML和注释示例
标签:

翻译自: https://mkyong.com/spring-security/spring-security-remember-me-example/

cyan20115
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
八尺妖剑的博客
04-20 1367
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
对网站实施“记住我”的最佳方法是什么? [关闭]
p15097962069的博客
01-16 216
我希望我的网站上有一个复选框,用户可以单击它,这样他们每次访问我的网站时都不必登录。 我知道我需要在他们的计算机上存储cookie才能实现此目的,但是该cookie中应包含什么? 另外,是
spring security起步三:自定义登录配置与form-login属性详解
mark's technic world
09-22 1086
在上一篇博客spring security起步二:自定义登录页中我们实现了如何自定义登录页,但是还存在很多问题:  1.spring security如何对登录请求进行拦截  2.登录成功后如何跳转  3.登录失败后如何跳转 form-login属性详解 form-loginspring security命名空间配置登录相关信息的标签,它包含如下属性:  1. login-p
SpringSecurity - 登录注册加密/登录拦截/失败信息回显详解(慢步骤解析)
江南烟雨却痴缠丶
01-24 3948
配置文件中form-login标签详解 login-page // 自定义登录页面的url,例如login.htmllogin-processing-url // 登录请求拦截的url,即form表单提交的url,默认值是/login // 以下2个需要配合使用,如果需要认证成功跳转的url,则always-use-d...
spring security xml配置官方详解
不甘平庸的人
05-02 9835
6. Security Namespace Configuration 6.1 Introduction 自2.0版本的spring框架以来,命名空间配置已可用。 它允许您使用来自附加XML模式的元素来补充传统的Spring beans应用程序上下文语法。 您可以在Spring参考文档中找到更多信息。 命名空间元素可以简单地用于允许配置单个bean的更简洁的方式,或者更有力地定义更紧密地匹
Spring Security - 案例
chrismurphy的博客
08-28 387
Spring Security是针对Spring项目的安全框架,也是SpringBoot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理!
spring security的学习记录
qq_31374621的博客
09-10 107
学习目标: 微人事项目中关于spring security 的详细实现和解释。 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 spring security 2、 掌握 spring security 3、 微人事中使用核心接口的作用 4、 实现登陆和校验 学习准备: 依赖添加: <dependencies> <dependency> <groupId>org.springframework.boot</grou
spring security4登陆例子
02-23
`**:启用记住我功能。 #### 三、注册配置类:`SecurityWebApplicationInitializer` 为了使Spring Security配置生效,我们需要通过`SecurityWebApplicationInitializer`类来注册我们的`SecurityConfig`配置类。 ``...
Spring Boot和Spring Security应用例子
08-12
Spring Security提供了强大的安全框架,可以自定义许多方面,包括权限管理、记住我功能、会话管理等。随着项目的深入,你可以根据需求进一步扩展配置,如集成OAuth2、JWT或其他认证机制,或者添加更复杂的权限控制...
SpringSecurity官网修改例子 tutorial
09-05
10. **记住我功能**:SpringSecurity提供了“Remember Me”服务,允许用户在关闭浏览器后仍然保持登录状态。这个功能在示例中可能已经配置好,你可以查看源码了解实现细节。 通过这个教程,开发者不仅可以了解...
spring boot jpa security
05-08
Spring Boot JPA与Security是两个在Java开发领域中极为重要的技术框架,它们分别专注于数据访问和应用程序的安全管理。本文将深入探讨这两个框架的核心概念、如何整合使用以及在实际项目中的应用。 Spring Boot是由...
记住我remember-me功能的几种实现方式
热门推荐
fangchao2061的专栏
04-18 1万+
本文讨论几种记住我功能的实现方式。
Spring Security Acegi 学习之路三 (转)
My study notes
09-16 212
身份认证管理     使用 Acegi 保护应用程序的第一步是根据用户提供的认证信息进行身份认证,以确定用户的身份获取对应的权限信息准备好 Authentication 。通过认证的 Authentication 拥有权限信息,它是 Acegi 进行后续安全对象访问安全控制的依据。   基于内存存储用户信息的身份认证 ...
SpringSecurity使用一
口袋里的小龙的专栏
03-27 535
SpringSecurity
Spring Security Remember Me Example
poijm
08-24 1484
In this tutorial, we will show you how to implement “Remember Me” login feature in Spring Security, which means, the system will remember the user and perform automatic login even after the user’s sess
使用acegi控制用户权限实例
zw7534313的专栏
07-04 331
acegi权限控制:1.配置authenticationProcessingFilter的登陆url: &lt;property name="filterProcessesUrl" value="/login.do"/&gt;2.UserDetailsServiceImpl.loadUserByUsername(username)   与登陆页面的&lt;input name="j_usern...
(77条消息) SpringSecurity中表单验证loginProcessingUrl和loginPage问题
jiaoqi6132的博客
01-26 1958
SpringSecurity中表单验证loginProcessingUrl和loginPage问题 没问题之前状态: 之前使用SpringSecurity用户登录验证的时候 一直用的是/login请求跳转到自定义登陆页面 表单提交用的也是action=/loginSecurity配置中loginPage用的也是/login,没有什么问题! 修改的过程: 而后面因为觉得跳转页面和用户验证请求url都是 /login 换成了表单用户验证用:/toLogin Security配置login..
springsecurity 记住
最新发布
08-25
Spring Security中,记住我功能是通过RememberMeAuthenticationFilter过滤器实现的。当用户在登录时选择了记住我选项,系统会生成一个持久化的token,并将该token存储在数据库或其他可持久化的存储介质中。 要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值