spring-security(二十三)Remember-Me认证

最新推荐文章于 2023-06-09 16:36:36 发布
最新推荐文章于 2023-06-09 16:36:36 发布
阅读量595 收藏
点赞数 1
分类专栏: spring security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengyilin_henu/article/details/84917212
版权
前言:
Remember-me认证方式指的是能在不同的会话间记录用户认证信息的功能。通常通过向客户端发送一个cookie,在以后用户访问网站时通过这个cookie中的信息来自动登录实现。spring security 已经为我们提供了必要的hooks实现这个功能,并提供了两种具体的实现。一种是cookie中token包含了所有认证所需信息,并通过hash算法来保护这个token,另一种通过数据库或者其他持久化机制来存储生成的token。两种实现方式都需要我们提供一个UserDetailsService。如果我们采取的认证方式没有用到UserDetailsService(如LDAP),除非我们在application context中创建一个UserDetailsService来适配,否则Remember-me功能将不能正确执行。

一、remember-me功能实现逻辑
[list]
[*]用户首次登录认证成功后,调用RememberMeServices的loginSuccess方法,将用户凭证信息序列化成token,以某种形式存储起来
[*]用户session失效后再次访问系统,会调用RememberMeServices的autoLogin方法,根据客户端传过来的cookie信息,获取之前存储的token信息,并解析出认证需要的信息,完成自动认证
[/list]
二.基于简单hash的方式
1.这种方式MD5算法实现remember-me功能,核心思想是在用户认证成功后通过下面的算法生成一个token,token中包含用户名和密码等信息,并将此token缓存到客户端的cookie中。 

base64(username + ":" + expirationTime + ":" +
md5Hex(username + ":" + expirationTime + ":" password + ":" + key))
username: 用户名
password:  密码
expirationTime: 过期日期,单位是毫秒,默认两周
key: 一个私有的key值,用来保护token,防止被伪造

通过上面的算法得到的token,如果在有效期内,并且用户名和密码没有变化的情况下就可以实现自动认证功能,过程如下
[list]
[*]服务器接收到token后,利用base64对token值解码,获取到username、expirationTime、以及一个特定的hash串,hash串中包含了用户的密码信息(因为hash算法的不可逆性,这个密码是不能恢复出来的)
[*]服务器判断expirationTime有没有过期,如果过期就抛出异常不再进行自动认证
[*]服务器根据解析出来的username,调用UserDetailsService.loadUserByUsername方法获取用户对应的密码、权限等信息
[*]将username、获取出来的password、expirationTime、key值经过相同的hash算法得到一个hash串
[*]判断上一步计算出来的hash串和我们从cookie中解析出来的hash串是否一致,一致的话生成一个RememberMeAuthenticationToken,不一致抛出异常不在进行自动认证
[*]接着调用authenticationManager.authenticate,传入上一步生成的token
[*] authenticationManager中最终会调用到RememberMeAuthenticationProvider的authenticate方法,因为在之前我们已经判断过现在的cookie中存储的认证信息对应的用户名和密码是正确的,所以这个方法只是简单的判断下RememberMeAuthenticationToken中的key值是否和RememberMeAuthenticationProvider中设定的key一致就可以了
[*] 如果key值一致则认证成功,并将认证后的Authentication存入SecurityContextHolder供鉴权使用
[/list]
2.采用这种方式有一个潜在安全问题,就是一个缓存下来的token可以被任何用户使用,一直到设定的时效过期,并且在这个过程中用户本人并不能察觉到,在摘要认证中也有同样的问题。如果非法的使用者做了某种操作使用户发现remember-me token被泄漏了,用户可以通过修改密码来使所有缓存的token失效。另一个安全问题是我们需要把username也放到cookie中,也会造成一定的信息泄露。如果安全级别比较高,应该采用下面讲的第二种方式,将token存入到库中,否则应该禁止使用remember-me功能。
3.在spring boot中通过下面的配置启用 

           http
		.csrf()
			.disable()
		.authorizeRequests()
			.anyRequest().authenticated()
			.and()
		.formLogin()
			.loginPage("/login.html")
			.permitAll()
			.and()
		.rememberMe()
			.and()
		.logout()
			.logoutSuccessUrl("/login.html");

spring boot会自动给我们装配一个UserDetailsService,如果我们系统中有超过一个的UserDetailsService,我们必须明确的通过rememberMe().userDetailsService(userDetailsService)方法指定一个。
具体例子可参考[url=http://fengyilin.iteye.com/admin/blogs/2410989]spring-security(五)java config-sample之rememberme[/url]
4.基于hash的remember-me功能策略类是TokenBasedRememberMeServices
这个类还实现了LogoutHandler接口,当在用户logout时要删除token的需求时,可以将这个类配置到LogoutFilter中。
三、采用持久化机制实现
1.这种实现方式的核心算法是首次登录成功后生成一个PersistentRememberMeToken对象,包含如下信息
[list]
[*]username 用户名
[*]series 一个16位的随机数,之后会把这个数写入客户端的cookie中,通过这个值能唯一确定一条token记录
[*]tokenValue 一个16位的随机数,代表着当前的token值
[*]date 当前系统时间,即用户访问系统认证成功的时间
[/list]
接着将生成的PersistentRememberMeToken存入到PersistentTokenRepository中,spring默认给我们提供了
[list]
[*]两种实现InMemoryTokenRepositoryImpl和JdbcTokenRepositoryImpl,其中InMemoryTokenRepositoryImpl中就是一个Map<String, PersistentRememberMeToken> seriesTokens,key值对应的就是series
[*]JdbcTokenRepositoryImpl会将我们的token持久化到数据库中,默认的建表语句如下 

create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)

主键是series
[/list]
然后将series、tokenValue缓存到客户端的cookie中
2.当用户session过期后用户重新访问系统时通过以下过程实现认证
[list]
[*]从cookie中解析出series、tokenValue
[*]根据series从PersistentTokenRepository中获取到PersistentRememberMeToken
[*]用获取到的PersistentRememberMeToken中的tokenValue和cookie中获取到的tokenValue进行比较看是否匹配,不匹配的话,很有可能是token泄露了,此时spring会将此用户对应的所有token都清除掉,并抛出异常自动认证结束
[*]根据PersistentRememberMeToken中的last_used时间+设置的token有效期和当前系统时间相比判读是否过期,过期抛出异常自动认证结束
[*]利用原来的token的series,并重新生成一个tokenValue,再构造一个PersistentRememberMeToken,利用series为key将原来的更新掉,并将last_used更新成当前系统时间
[*]再将series、和新生成的tokenValue缓存到客户端的cookie中
[*]接着调用UserDetailsService.loadUserByUsername方法获取用户对应的密码、权限等信息
[*]用获取到的user信息创建一个RememberMeAuthenticationToken
[*]接着调用authenticationManager.authenticate,传入上一步生成的token
[*]authenticationManager中最终会调用到RememberMeAuthenticationProvider的authenticate方法,因为在之前我们已经判断过现在的cookie中存储的认证信息对应的用户名和密码是正确的,所以这个方法只是简单的判断下RememberMeAuthenticationToken中的key值是否和RememberMeAuthenticationProvider中设定的key一致就可以了
[*] 如果key值一致则认证成功,并将认证后的Authentication存入SecurityContextHolder供鉴权使用
[/list]
3.具体实现类PersistentTokenBasedRememberMeServices,这个类也实现了LogoutHandler,当用户执行logout时,这个类会自动将当前用户的所有PersistentRememberMeToken删除 

@Override
public void logout(HttpServletRequest request, HttpServletResponse response,
		Authentication authentication) {
	super.logout(request, response, authentication);
	if (authentication != null) {
		tokenRepository.removeUserTokens(authentication.getName());
	}
}


4.由上面的分析可知采用这种形式即可以避免将用户名称返回客户端,并且只要用户点击了logout,就可以将所有缓存的PersistentRememberMeToken都删除,可以避免因为不小心忘记登出而让其他的非法使用者一直利用自己的账号信息的问题。
四、在RememberMeAuthenticationProvider中进行认证时,需要判断key值是否相同,那这个key是怎么设置的,如何和RememberMeServices中的key保持一致呢?
在spring boot的Java config中,我们通过http.rememberme()来配置remember-me功能,下面来看下这个函数 

public RememberMeConfigurer<HttpSecurity> rememberMe() throws Exception {
    return getOrApply(new RememberMeConfigurer<HttpSecurity>());
}

具体的配置在RememberMeConfigurer中 

public void init(H http) throws Exception {
    validateInput();
    String key = getKey();----------------------------------------------------(1)
    RememberMeServices rememberMeServices = getRememberMeServices(http, key);-(2)
    http.setSharedObject(RememberMeServices.class, rememberMeServices);
    LogoutConfigurer<H> logoutConfigurer = http.getConfigurer(LogoutConfigurer.class);
    if (logoutConfigurer != null && this.logoutHandler != null) {
		logoutConfigurer.addLogoutHandler(this.logoutHandler);
	}
    RememberMeAuthenticationProvider authenticationProvider = new RememberMeAuthenticationProvider(key);----------------------------------------(3)
    authenticationProvider = postProcess(authenticationProvider);
    http.authenticationProvider(authenticationProvider);
    initDefaultLoginFilter(http);
	}

可以看出,在这个配置类里面给我们创建了RememberMeServices和RememberMeAuthenticationProvider并且用的是同一个key值
高枫-henu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
主要介绍了Spring Security 构建rest服务实现rememberme 记住我功能,需要的朋友可以参考下
spring security】前后端分离,设置rememberMe后通过cookie自动登录之KEY的使用(三)
Meditation_Crazy
10-18 622
问题 延续上章留下的问题,百度了下,搜到以下结果 结果1 https://www.jianshu.com/p/83973a37fd34
使用Spring Security添加RememberMe身份验证
最佳 Java 编程
05-14 476
我在“ 将社交登录添加到Jiwhiz博客”中提到,RememberMe功能不适用于Spring Social Security。 好吧,这是因为该应用程序现在不通过用户名和密码对用户进行身份验证,并且完全取决于社交网站(例如Google,Facebook和Twitter)来完成此工作。 默认的Spring Security配置无法处理这种情况。 Spring Security可能是所有Spr...
Spring Security:身份验证提供程序AuthenticationProvider介绍
kaven
01-22 4516
AuthenticationProvider AuthenticationProvider可以处理特定的Authentication实现。 Spring Security:身份验证令牌Authentication介绍与Debug分析 Authentication接口及其实现类如下图所示: AuthenticationProvider接口及其实现类如下图所示: public interface AuthenticationProvider { /** * 使用与AuthenticationMa
史上最简单的Spring Security教程(三十七):RememberMe记住我原理剖析
银河架构师的博客
10-20 1503
​用户登录中常用的RememberMe-记住我功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对Spring Security框架提供的RememberMe-记住我实现逻辑进行详细讲解,剖析其实现过程。 用户登录 首先,在用户登录时,如果用户勾选了 记住我 选项,则系统会将该用户的一些信息进行处理,以便下次不必登录即可访问系统。在第一次登录时,请求会由 Us...
史上最简单的Spring Security教程(三十六):RememberMeAuthenticationFilter详解
银河架构师的博客
10-19 1308
前面我们讲了记住我登录方式,以及和其它登录方式相融合的多种登录形式,想必对记住我登录方式有了一个大致清晰的了解。本次我们就来说一下其中一个比较重要的Filter,即RememberMeAuthenticationFilter。 RememberMeAuthenticationFilter是记住我登录方式比较重要的类,其主要功能有自动登录、身份认证、登录成功、事件发布、异常处理/登录失败等。 另外,重要的一点是,该 Filter 执行有一个条件,就是当前用户尚未认证。 if...
Spring Security Remember me使用及原理详解
08-25
主要介绍了Spring Security Remember me使用及原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security学习之rememberMe自动登录的实现
08-18
主要给大家介绍了关于Spring Security学习之rememberMe自动登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringSecurity rememberme功能实现过程解析
08-24
主要介绍了SpringSecurity rememberme功能实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security 3.0x remember-me 免登陆
08-03
基于用户,角色,权限的spring_security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995648
[转]《Spring Security3》第三章第三部分翻译下(Remember me安全吗?)
04-03 102
Remember me是否安全? 对我们精心保护的站点来说,为了用户体验而添加的任何与安全相关的功能,都有增加安全风险的潜在可能。按照其默认方式,Remember me功能存在用户的cookie被拦截并被恶意用户重用的风险。下图展现了这种情况是如何发生的: [img]http://dl.iteye.com/upload/attachment/511906/79c0864a-92c6-37...
Spring Security RememberMe 记住密码自动登录过程源码分析
weixin_45114101的博客
03-04 5145
Spring Security RememberMe 记住密码自动登录过程源码分析
Spring Security(2)——remember me
红烧咸鱼的博客
04-21 814
阿萨德
实施Remember-Me认证(3)
野皇
05-01 184
  实施Remember-Me认证 原文: http://tech.it168.com/j/2007-11-05/200711051740968_2.shtml   一、Remember-Me认证功能介绍 很多网站的用户登录页面都提供了一个类似于“两周内不用再登录”、“记住我的帐号”等功能,其原理是在用户登录成功后使用客户端浏览器的Cookie记录用户登录信息,当下次再访问相同站点时,直接...
SpringSecurity中文文档—Authentication—Remember Me
Logger
03-16 1522
Remember-me或persistent-login authentication 指的是网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送cookie来实现的,在未来的会话中会检测到cookie,并导致自动登录。Spring Security为这些操作提供了必要的hooks ,并有两个具体的Memory me实现。一种使用哈希来保护基于cookie的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。 请注意,这两种实现都需要UserDetailsService。如果您使用的身份
Spring Security Config : HttpSecurity安全配置器 RememberMeConfigurer
Details Inside Spring
07-01 1528
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,RememberMeConfigurer的配置任务如下 : 配置如下安全过滤器Filter RememberMeAuthenticationFilter 属性authenticationManager使用共享对象AuthenticationManager 属性rememberMeServices 来自 ...
Spring Security学习笔记之RememberMeAuthenticationFilter
py_xin的博客
09-28 7247
基本配置如下: ...
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2225
Spring Security 之 RememberMe
Spring Security】的RememberMe功能流程与源码详解
最新发布
阿Q的小窝
06-09 3709
如果用户勾选了 “记住我” 选项,Spring Security 将在用户登录时创建一个持久的安全令牌,并将令牌存储在 cookie 中或者数据库中。当用户关闭浏览器并再次打开时,Spring Security 可以根据该令牌自动验证用户身份。
Spring Security如何使用Remember-me功能
04-28
Spring Security提供了Remember-me功能来让用户在下次访问时无需重新登录。要启用Remember-me功能,可以按照以下步骤进行配置: 1. 在Spring Security配置文件中启用Remember-me功能,例如: ``` http .rememberMe() .key("remember-me-key") .rememberMeParameter("remember-me") .tokenValiditySeconds(86400) .userDetailsService(userDetailsService); ``` 其中,key是用来加密Remember-me cookie的密钥,rememberMeParameter是用来接收Remember-me cookie的请求参数,tokenValiditySeconds是Remember-me cookie的有效期,userDetailsService是用来根据用户名获取用户信息的服务。 2. 在登录页面中添加Remember-me的复选框,例如: ``` <input type="checkbox" name="remember-me" value="true" /> Remember me ``` 3. 在登录成功后生成Remember-me cookie,例如: ``` @RequestMapping(value = "/login", method = RequestMethod.POST) public String login(@RequestParam("username") String username, @RequestParam("password") String password, @RequestParam(value = "remember-me", required = false) boolean rememberMe, HttpServletResponse response) { // 验证用户名和密码 // ... // 生成Remember-me cookie if (rememberMe) { TokenBasedRememberMeServices rememberMeServices = new TokenBasedRememberMeServices("remember-me-key", userDetailsService); rememberMeServices.setTokenValiditySeconds(86400); rememberMeServices.setAlwaysRemember(true); rememberMeServices.loginSuccess(request, response, authentication); } // ... } ``` 其中,如果用户勾选了Remember-me复选框,则调用TokenBasedRememberMeServices的loginSuccess方法生成Remember-me cookie。 4. 在下次访问时验证Remember-me cookie,例如: ``` http .csrf().disable() .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .rememberMe() .key("remember-me-key") .rememberMeParameter("remember-me") .tokenValiditySeconds(86400) .userDetailsService(userDetailsService); ``` 其中,Remember-me cookie会在每次请求时被自动验证,如果验证通过,则用户会被认为已经登录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值