spring-security(二十三)Remember-Me认证

最新推荐文章于 2024-04-10 02:48:24 发布
最新推荐文章于 2024-04-10 02:48:24 发布
阅读量607 收藏
点赞数 1
分类专栏: spring security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengyilin_henu/article/details/84917212
版权
前言:
Remember-me认证方式指的是能在不同的会话间记录用户认证信息的功能。通常通过向客户端发送一个cookie,在以后用户访问网站时通过这个cookie中的信息来自动登录实现。spring security 已经为我们提供了必要的hooks实现这个功能,并提供了两种具体的实现。一种是cookie中token包含了所有认证所需信息,并通过hash算法来保护这个token,另一种通过数据库或者其他持久化机制来存储生成的token。两种实现方式都需要我们提供一个UserDetailsService。如果我们采取的认证方式没有用到UserDetailsService(如LDAP),除非我们在application context中创建一个UserDetailsService来适配,否则Remember-me功能将不能正确执行。

一、remember-me功能实现逻辑
[list]
[*]用户首次登录认证成功后,调用RememberMeServices的loginSuccess方法,将用户凭证信息序列化成token,以某种形式存储起来
[*]用户session失效后再次访问系统,会调用RememberMeServices的autoLogin方法,根据客户端传过来的cookie信息,获取之前存储的token信息,并解析出认证需要的信息,完成自动认证
[/list]
二.基于简单hash的方式
1.这种方式MD5算法实现remember-me功能,核心思想是在用户认证成功后通过下面的算法生成一个token,token中包含用户名和密码等信息,并将此token缓存到客户端的cookie中。 

base64(username + ":" + expirationTime + ":" +
md5Hex(username + ":" + expirationTime + ":" password + ":" + key))
username: 用户名
password:  密码
expirationTime: 过期日期,单位是毫秒,默认两周
key: 一个私有的key值,用来保护token,防止被伪造

通过上面的算法得到的token,如果在有效期内,并且用户名和密码没有变化的情况下就可以实现自动认证功能,过程如下
[list]
[*]服务器接收到token后,利用base64对token值解码,获取到username、expirationTime、以及一个特定的hash串,hash串中包含了用户的密码信息(因为hash算法的不可逆性,这个密码是不能恢复出来的)
[*]服务器判断expira
最低0.47元/天 解锁文章
高枫-henu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实施Remember-Me认证(3)
野皇
05-01 189
  实施Remember-Me认证 原文: http://tech.it168.com/j/2007-11-05/200711051740968_2.shtml   一、Remember-Me认证功能介绍 很多网站的用户登录页面都提供了一个类似于“两周内不用再登录”、“记住我的帐号”等功能,其原理是在用户登录成功后使用客户端浏览器的Cookie记录用户登录信息,当下次再访问相同站点时,直接...
SpringSecurity中文文档—Authentication—Remember Me
Logger
03-16 1543
Remember-me或persistent-login authentication 指的是网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送cookie来实现的,在未来的会话中会检测到cookie,并导致自动登录。Spring Security为这些操作提供了必要的hooks ,并有两个具体的Memory me实现。一种使用哈希来保护基于cookie的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。 请注意,这两种实现都需要UserDetailsService。如果您使用的身份
SpringSecurity详细介绍RememberMe功能
最新发布
m0_74530944的博客
04-10 852
对于很多Java工程师而言,想要提升技能,往往是自己摸索成长,不成体系的学习效果低效漫长且无助。整理的这些资料希望对Java开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。再分享一波我的Java面试真题+视频学习详解+技能进阶书籍《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
使用Spring Security添加RememberMe身份验证
最佳 Java 编程
05-14 484
我在“ 将社交登录添加到Jiwhiz博客”中提到,RememberMe功能不适用于Spring Social Security。 好吧,这是因为该应用程序现在不通过用户名和密码对用户进行身份验证,并且完全取决于社交网站(例如Google,Facebook和Twitter)来完成此工作。 默认的Spring Security配置无法处理这种情况。 Spring Security可能是所有Spr...
史上最简单的Spring Security教程(三十六):RememberMeAuthenticationFilter详解
银河架构师的博客
10-19 1336
前面我们讲了记住我登录方式,以及和其它登录方式相融合的多种登录形式,想必对记住我登录方式有了一个大致清晰的了解。本次我们就来说一下其中一个比较重要的Filter,即RememberMeAuthenticationFilter。 RememberMeAuthenticationFilter是记住我登录方式比较重要的类,其主要功能有自动登录、身份认证、登录成功、事件发布、异常处理/登录失败等。 另外,重要的一点是,该 Filter 执行有一个条件,就是当前用户尚未认证。 if...
​构建用户管理微服务(六):添加持久 JWT 令牌的 remember me 身份验证
weixin_34297300的博客
08-08 917
在上期「译见」系列文章《构建用户管理微服务(五):使用 JWT 令牌和 Spring Security 来实现身份验证》中,使用 Spring Security 添加了基于用户名和密码的身份验证。但需要注意的是,JWT 令牌是在成功登录后发出的,并验证后续请求。创造长时间的 JWT 是不实际的,因为它们是相互独立的,且没有办法撤销它们。如果令牌被盗,其后果也无法挽回。因此,我想用持久令牌添加经典的...
spring-security.rar
04-06
7. **Remember Me**:Spring Security提供了Remember Me服务,允许用户在一段时间内无需重新登录,增强了用户体验。 8. **OAuth2**:Spring Security还支持OAuth2协议,可以用来实现第三方登录或者API的安全保护。 ...
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住我功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
Spring Security Remember me使用及原理详解
08-25
.rememberMe() .userDetailsService(myUserDetailServiceImpl) .tokenRepository(persistentTokenRepository()) .tokenValiditySeconds(60 * 60) .and() .authorizeRequests() .antMatchers(SecurityConst....
spring-security第三回
07-23
7. **记住我(Remember Me)**:Spring Security提供了"记住我"服务,允许用户在一段时间内无须重新登录。这通过在用户认证成功后生成一个长期的凭据并存储在客户端实现。 8. **异常处理**:Spring Security提供了...
spring-security3入门教程.doc
09-04
-- 可以配置其他元素,如 remember-me、access-denied-page 等 --> ``` `<http>` 元素用于定义安全策略,如访问权限、登录和登出行为。`intercept-url` 用于指定哪些 URL 需要经过安全过滤,`filters="none"` 表示...
Spring Security 解析(三) —— 个性化认证 以及 RememberMe 实现
hopelgl的博客
04-20 456
Spring Security 解析(三) —— 个性化认证 以及 RememberMe 实现 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 ...
spring security初探之Remember-me源码解析
cjのice_bear
03-30 1832
希望CSDN能解决一个用户只能打开一个编辑器的问题,辛辛苦苦写的文字突然就没有了。 重新来过吧。说说Remember-me简单的说,Remember-me就是记住用户,下次登陆的时候不用密码也能登陆。实现这个功能主要是依靠cookie,因为Http是无状态协议,所以我们需要一个替服务端保存登陆状态的小饼干,这个小饼干就是cookie。源码分析初次登陆的Remember-me我们知道,用户初次登陆时候
spring security】前后端分离,设置rememberMe后通过cookie自动登录之KEY的使用(三)
Meditation_Crazy
10-18 692
问题 延续上章留下的问题,百度了下,搜到以下结果 结果1 https://www.jianshu.com/p/83973a37fd34
SpringSecurity入门《之RememberMe“记住我”功能》
潘大Q仙的博客
04-04 212
RememberMe“记住我”功能 在配置类中开启RememberMe功能: @Override protected void configure(HttpSecurity security) throws Exception { security.authorizeRequests() ....... .and() ...
SpringSecurity的remember me记住我功能
weixin_46278059的博客
12-11 423
SpringSecurity的remember me记住我功能
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3197
spring security 记住我 rememberMe
[转]《Spring Security3》第三章第三部分翻译下(Remember me安全吗?)
04-03 126
Remember me是否安全? 对我们精心保护的站点来说,为了用户体验而添加的任何与安全相关的功能,都有增加安全风险的潜在可能。按照其默认方式,Remember me功能存在用户的cookie被拦截并被恶意用户重用的风险。下图展现了这种情况是如何发生的: [img]http://dl.iteye.com/upload/attachment/511906/79c0864a-92c6-37...
Spring Security(2)——remember me
红烧咸鱼的博客
04-21 824
阿萨德
Spring Security如何使用Remember-me功能
04-28
Spring Security提供了Remember-me功能来让用户在下次访问时无需重新登录。要启用Remember-me功能,可以按照以下步骤进行配置: 1. 在Spring Security配置文件中启用Remember-me功能,例如: ``` http .remember...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值