使用Spring Security添加RememberMe身份验证

最新推荐文章于 2022-12-05 19:44:37 发布
最新推荐文章于 2022-12-05 19:44:37 发布
阅读量496 收藏
点赞数
文章标签: java spring spring boot 数据库 mysql

我在“ 将社交登录添加到Jiwhiz博客”中提到,RememberMe功能不适用于Spring Social Security。 好吧,这是因为该应用程序现在不通过用户名和密码对用户进行身份验证,并且完全取决于社交网站(例如Google,Facebook和Twitter)来完成此工作。 默认的Spring Security配置无法处理这种情况。 Spring Security可能是所有Spring Portfolio项目中最复杂的软件。 为了使一个非常简单的Web应用程序具有安全性,大约需要正确设置10个过滤器。 为了简化应用程序开发,Spring Security从2.0版开始提供名称空间配置,以自动将所有必需的组件一起设置,因此开发人员无需弄清楚细节。 除非您的应用程序与传统应用程序不同,否则它对大多数Web应用程序都非常有效。

在将网站登录过程从用户名密码身份验证更改为不带密码的Spring Social Security之后 ,“记住我”的旧配置不再起作用。 Spring Security参考文档几乎没有关于Remember-Me Authentication的解释,所以我买了Spring Security项目负责人Rob Winch编写的书Spring Security 3.1 。 这本书整整一章都在讨论“记住我”服务,它对我在Spring Security中如何理解我的工作很有帮助。 读完本书后,我觉得阅读Spring Security源代码要容易得多,并且阅读源代码总是很有趣的。

由于我没有存储用户帐户的密码,因此默认的TokenBasedRememberMeServices无法与我的应用程序一起使用,并且我也不想创建自己的RememberMeServices-太多的工作。 幸运的是,还有另一种持久令牌方法 ,即将令牌存储到数据库中并比较cookie中的令牌。 我需要的是使用PersistentTokenRepository在我的应用程序中自定义PersistentTokenBasedRememberMeServices来存储令牌。 Spring Security提供了PersistentTokenRepository的JDBC实现,我发现在阅读源代码之后编写自己的MongoDB实现非常简单。

第一步是将PersistentRememberMeToken数据存储到MongoDB。 我需要为其添加一个域实体类: 

@Document(collection = 'RememberMeToken')
public class RememberMeToken extends BaseEntity{

    private String username;

    @Indexed
    private String series;

    private String tokenValue;

    private Date date;

... // getter/setter omitted

    public RememberMeToken(){

    }

    public RememberMeToken(PersistentRememberMeToken token){
        this.series = token.getSeries();
        this.username = token.getUsername();
        this.tokenValue = token.getTokenValue();
        this.date = token.getDate();
    }

}

接下来,使用Spring Data为实体添加一个存储库: 

public interface RememberMeTokenRepository extends MongoRepository<RememberMeToken, String>{
    RememberMeToken findBySeries(String series);
    List<RememberMeToken> findByUsername(String username);
}

然后,唯一相对繁重的编码是为MongoDB实现PersistentTokenRepository: 

public class MongoPersistentTokenRepositoryImpl implements PersistentTokenRepository {

    private final RememberMeTokenRepository rememberMeTokenRepository;

    public MongoPersistentTokenRepositoryImpl(RememberMeTokenRepository rememberMeTokenRepository){
        this.rememberMeTokenRepository = rememberMeTokenRepository;
    }

    @Override
    public void createNewToken(PersistentRememberMeToken token) {
        RememberMeToken newToken = new RememberMeToken(token);
        this.rememberMeTokenRepository.save(newToken);
    }

    @Override
    public void updateToken(String series, String tokenValue, Date lastUsed) {
        RememberMeToken token = this.rememberMeTokenRepository.findBySeries(series);
        if (token != null){
            token.setTokenValue(tokenValue);
            token.setDate(lastUsed);
            this.rememberMeTokenRepository.save(token);
        }

    }

    @Override
    public PersistentRememberMeToken getTokenForSeries(String seriesId) {
        RememberMeToken token = this.rememberMeTokenRepository.findBySeries(seriesId);
        return new PersistentRememberMeToken(token.getUsername(), token.getSeries(), token.getTokenValue(), token.getDate());
    }

    @Override
    public void removeUserTokens(String username) {
        List<RememberMeToken> tokens = this.rememberMeTokenRepository.findByUsername(username);
        this.rememberMeTokenRepository.delete(tokens);
    }
}

剩下的工作就是所有配置。 我需要在Java config类中将它们连接在一起: 

@Configuration
public class SocialAndSecurityConfig {
    @Inject
    private Environment environment;

    @Inject
    private AccountService accountService;

    @Inject
    private AuthenticationManager authenticationManager;

    @Inject
    private RememberMeTokenRepository rememberMeTokenRepository;

...

    @Bean
    public RememberMeServices rememberMeServices(){
        PersistentTokenBasedRememberMeServices rememberMeServices = new PersistentTokenBasedRememberMeServices(
                        environment.getProperty('application.key'), accountService, persistentTokenRepository());
        rememberMeServices.setAlwaysRemember(true);
        return rememberMeServices;
    }

    @Bean 
    public RememberMeAuthenticationProvider rememberMeAuthenticationProvider(){
        RememberMeAuthenticationProvider rememberMeAuthenticationProvider = 
                        new RememberMeAuthenticationProvider(environment.getProperty('application.key'));
        return rememberMeAuthenticationProvider; 
    }

    @Bean 
    public PersistentTokenRepository persistentTokenRepository() {
        return new MongoPersistentTokenRepositoryImpl(rememberMeTokenRepository);
    }
}

最后一步是将“记住我”服务添加到安全性xml配置文件中,这是xml配置的最后一部分,我们现在无法消除它。 (更新:一个新项目Spring Security Java Config将用Spring Security中的Java config替换xml配置。) 

<?xml version='1.0' encoding='UTF-8'?>
<beans:beans xmlns='http://www.springframework.org/schema/security'
    xmlns:beans='http://www.springframework.org/schema/beans'
    xmlns:xsi='http://www.w3.org/2001/XMLSchema-instance'
    xsi:schemaLocation='
        http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd'>

    <http use-expressions='true' entry-point-ref='socialAuthenticationEntryPoint'>
        <custom-filter position='PRE_AUTH_FILTER' ref='socialAuthenticationFilter' />
        <logout logout-url='/signout' delete-cookies='JSESSIONID' />
        <remember-me services-ref='rememberMeServices' />
        <!-- Configure these elements to secure URIs in your application -->
        <intercept-url pattern='/favicon.ico' access='permitAll' />
        <intercept-url pattern='/robots.txt' access='permitAll' />
        <intercept-url pattern='/resources/**' access='permitAll' />
        <intercept-url pattern='/signin' access='permitAll'
            requires-channel='#{environment['application.secureChannel']}' />
        <intercept-url pattern='/signin/*' access='permitAll'
            requires-channel='#{environment['application.secureChannel']}' />
        <intercept-url pattern='/presentation/**' access='hasRole('ROLE_USER')'
            requires-channel='#{environment['application.secureChannel']}' />
        <intercept-url pattern='/myAccount/**' access='hasRole('ROLE_USER')'
            requires-channel='#{environment['application.secureChannel']}' />
        <intercept-url pattern='/myPost/**' access='hasRole('ROLE_AUTHOR')'
            requires-channel='#{environment['application.secureChannel']}' />
        <intercept-url pattern='/admin/**' access='hasRole('ROLE_ADMIN')'
            requires-channel='#{environment['application.secureChannel']}' />
        <intercept-url pattern='/**' access='permitAll' />

    </http>

    <authentication-manager alias='authenticationManager'>
        <authentication-provider ref='socialAuthenticationProvider' />
        <authentication-provider ref='rememberMeAuthenticationProvider' />
    </authentication-manager>

</beans:beans>

这就是向我的博客应用程序添加“记住我的身份验证”的全部方法。 现在,您可以通过Google / Facebook / Twitter登录到我的网站,该网站将在接下来的两周内始终记住您。

参考:来自Jiwhiz博客的JCG合作伙伴 Yuan Ji 添加了Spring Security的RememberMe身份验证

翻译自: https://www.javacodegeeks.com/2013/03/add-rememberme-authentication-with-spring-security.html

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 6.x 系列(16)—— Remember Me 自定义配置及源码分析
gmHappy
01-05 2558
Remember Me(记住我)是一种常见功能,打开一个网站后,如果超过长时间未操作,会话过期后需要重新登录。Remember Me 功能可以“记住”当前登录用户,就算会话过期,或者浏览器关闭,下次进入网站时,不再需要重新认证,直接自动登录。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security学习之rememberMe自动登录的实现
08-18
主要给大家介绍了关于Spring Security学习之rememberMe自动登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
spring security remember-me
与时间为伴
08-29 1121
spring-security 记住密码功能实现代码
Spring Security 记住我
白石的专栏
12-05 322
本教程将展示**如何**使用 Spring Security 在 Web 应用程序中启用和配置记住我功能。
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1377
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
SpringSecurity中RememberMe以及其它功能实现(五)
臆想的一只猫
04-15 392
RememberMe功能实现 Spring Security中Remember Me为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true。Spring Security 会自动把用户信息存储到数据源中,以后就可以不登录进行访问。 <tr> <td style="width: 30%; text-align: right; padding-right: 5px"> 记住我: </td> <td
Spring boot使用Spring Security的记住我 remember-me功能
KeepLearnToOld的博客
09-10 1331
Spring boot使用Spring Security的记住我 remember-me功能 问题描述:Spring security新手,在登录时加上记住我功能,需要使用框架自带的记住我。 记住的用户数据,在数据库中做了持久化处理 首先 pom.xml文件中需要引入: <dependency> <groupId>org.spr...
vue + spring boot 个人网盘项目实战(二):spring security实现remember me
Autumnoo的博客
06-27 1181
本篇目录remember me 原理spring security实现remember me 功能遇到的问题前台页面实现效果展示 remember me 原理 spring security实现remember me 功能 遇到的问题 关于Could not autowire. There is more than one bean of ‘DataSource’ type.Beans:dataSource的解决办法 前台页面 实现效果展示 ...
Spring Security(12)——Remember-Me功能
Elim的博客
06-08 9631
本文主要介绍Spring Security的Remember-Me机制,以及如何通过配置实现“记住我”功能。
6.Spring security中的rememberMe
EdSheeran的博客
03-07 4588
文章目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`* RememberMe 6.2RememberMe基本用法 /** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时,多了一个请求参数remember-me: on,用
SpringSecurity中文文档—Authentication—Remember Me
Logger
03-16 1559
Remember-me或persistent-login authentication 指的是网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送cookie来实现的,在未来的会话中会检测到cookie,并导致自动登录。Spring Security为这些操作提供了必要的hooks ,并有两个具体的Memory me实现。一种使用哈希来保护基于cookie的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。 请注意,这两种实现都需要UserDetailsService。如果您使用的身份
史上最简单的Spring Security教程(三十六):RememberMeAuthenticationFilter详解
银河架构师的博客
10-19 1351
前面我们讲了记住我登录方式,以及和其它登录方式相融合的多种登录形式,想必对记住我登录方式有了一个大致清晰的了解。本次我们就来说一下其中一个比较重要的Filter,即RememberMeAuthenticationFilter。 RememberMeAuthenticationFilter是记住我登录方式比较重要的类,其主要功能有自动登录、身份认证、登录成功、事件发布、异常处理/登录失败等。 另外,重要的一点是,该 Filter 执行有一个条件,就是当前用户尚未认证。 if...
spring-security(二十三)Remember-Me认证
高枫的博客
03-09 631
前言: Remember-me认证方式指的是能在不同的会话间记录用户认证信息的功能。通常通过向客户端发送一个cookie,在以后用户访问网站时通过这个cookie中的信息来自动登录实现。spring security 已经为我们提供了必要的hooks实现这个功能,并提供了两种具体的实现。一种是cookie中token包含了所有认证所需信息,并通过hash算法来保护这个token,另一种通过数...
SpringSecurity的rememberme
qq_29860591的博客
02-28 237
记住我功能原理分析还记得前面咱们分析认证流程时,提到的记住我功能吗? 现在继续跟踪找到AbstractRememberMeServices对象的loginSuccess方法: 再点进去上面if判断中的rememberMeRequested方法,还在当前类中: 如果上面方法返回true,就表示页面勾选了记住我选项了。继续顺着调用的方法找到PersistentTokenBase...
Spring Security 解析(三) —— 个性化认证 以及 RememberMe 实现
hopelgl的博客
04-20 462
Spring Security 解析(三) —— 个性化认证 以及 RememberMe 实现 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 ...
springmvc的主要功能_SpringSecurity记住我功能如何实现?含源码分析
weixin_39654067的博客
11-21 159
spring security提供了"记住我"的功能,来完成用户下次访问时自动登录功能,而无需再次输入用户名密码。 下面,我们来通过代码演示该功能的实现——主要是通过配置remember-me标签。 我们通过如下的配置过程来实现“记住我”的功能: 1、搭建maven项目(web工程),引入功能的相关依赖 2、配置web.xml中的springspringsecurity的加载、springm...
史上最简单的Spring Security教程(三十七):RememberMe记住我原理剖析
银河架构师的博客
10-20 1611
​用户登录中常用的RememberMe-记住我功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对Spring Security框架提供的RememberMe-记住我实现逻辑进行详细讲解,剖析其实现过程。 用户登录 首先,在用户登录时,如果用户勾选了 记住我 选项,则系统会将该用户的一些信息进行处理,以便下次不必登录即可访问系统。在第一次登录时,请求会由 Us...
Spring Security详解三:核心组件
骑个小蜗牛的博客
04-29 3085
核心组件 1.SecurityContextHolder SecurityContextHolder持有安全上下文(security context)的信息,可以通过SecurityContextHolder.getContext静态方法获取。 当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等,这些都被保存在SecurityContextHolder中。 SecurityContextHolder默认使用ThreadLocal 策略来存储认证信息。看到ThreadLocal 也就意味着,这是一
Spring Security如何使用Remember-me功能?
最新发布
04-03
<bean id="myPersistentTokenRepository" class="org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl"> ``` 5. 在Spring Security配置文件中配置Remember-me的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值