SpringSecurity实战-第5章 自动登录和注销登录

最新推荐文章于 2024-04-08 21:06:54 发布
最新推荐文章于 2024-04-08 21:06:54 发布
阅读量578 收藏
点赞数
分类专栏: 读书笔记 文章标签: 读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hc1285653662/article/details/126979435
版权

5.1 为什么需要自动登录

自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验并建立登录态的一种机制。

5.2 实现自动登录

1、散列加密方案

在Spring Security中加入自动登录的功能非常简单
在WebSecurityConfig下添加配置:.rememberMe()
在这里插入图片描述
在这里插入图片描述
勾选remember me,登录后,打开cookie
在这里插入图片描述

remember-me的值的生成方式:
在这里插入图片描述

  • expirationTime : 本次自动登录的有效期
  • key : 一个散列的盐值,用于防止令牌被修改

Spring Security会在每次表单登录成功之后更新此令牌,可以在源码中找到痕迹
在这里插入图片描述
在TokenBasedRememberMeServices的onLoginSuccess方法中
在这里插入图片描述

查看 String signatureValue = makeTokenSignature(expiryTime, username, password) 的makeTokenSignature方法
在这里插入图片描述

在下次登录时,请求会携带cookie值,Spring Security首先用Base64简单解码得到用户名、 过期时间和加密散列值;然后使用用户名得到密码;接着重新以该散列算法正向计算,并将计算结果与旧的加密散列值进行对比,从而确认该令牌是否有效

2、持久化令牌方案

持久化令牌方案在交互上与散列加密方案一致,都是在用户勾选Remember-me之后,将生成的令 牌发送到用户浏览器,并在用户下次访问系统时读取该令牌进行认证。不同的是,它采用了更加严谨的安全性设计。

在持久化令牌方案中,最核心的是series和token两个值,它们都是用MD5散列过的随机字符串。 不同的是,series仅在用户使用密码重新登录时更新,而token会在每一个新的session中都重新生成

其次,自动登录不会导致series变更,而每次自动登录都需要同时验证series和token两个值,当该 令牌还未使用过自动登录就被盗取时,系统会在非法用户验证通过后刷新 token 值,此时在合法用户 的浏览器中,该token值已经失效。当合法用户使用自动登录时,由于该series对应的 token 不同,系统 可以推断该令牌可能已被盗用,从而做一些处理。例如,清理该用户的所有自动登录令牌,并通知该用户可能已被盗号等

实现步骤
在数据库建表,用来持久化自动登录的数据
在这里插入图片描述
在WebSecurityConfig中引入持久化配置
在这里插入图片描述
启动成功后,base64解码 remember-me的值
在这里插入图片描述
当自动登录认证时,Spring Security 通过series获取 用户名、token以及上一次自动登录时间三个信息,通过用户名确认该令牌的身份,通过对比 token 获 知该令牌是否有效,通过上一次自动登录时间获知该令牌是否已过期,并在完整校验通过之后生成新的token。

5.3注销登录

书中描述的流程没怎么看懂,待会补充下视频看看

退出登录相关配置

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    MyUserDetailsService myUserDetailsService;

    @Autowired
    DataSource dataSource;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //自动登录的令牌持久化到
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);

        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/API/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                //自定义登录页
                /*.loginPage("/myLogin.html")
                .loginProcessingUrl("/login")
                .permitAll()  */
                .and()
                .rememberMe()
                //自动登录持久化令牌
          /*      .key("houchen-handsomes")
                .tokenRepository(jdbcTokenRepository)  */
                .and()
                .logout()
                //因为 spring security 在开启 csrf 防护的情况下,/logout 必须是以 POST 方法提交才行
                //添加 /logout 能够以 GET 请求的配置
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout", "GET"))
                .logoutUrl("/user/logout")
                .logoutSuccessUrl("/login")
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

                        response.getWriter().write("退出登录成功");
                    }
                })
                .invalidateHttpSession(true)
                .deleteCookies("re","cookie02")
                .addLogoutHandler(new LogoutHandler() {
                    @Override
                    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {

                    }
                })
                .and()
                .csrf().disable();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService).passwordEncoder(new MyPasswordEncoder());
    }
}
坚持每天学习一点
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成SpringSecurity(十四、关闭默认登录页)
伍妖捌的小屋
05-22 5494
前言 用户在未登录的时候,访问后端服务,默认会跳转到默认登录页,这种情况在前后未分离,或者说半分离的情况下是没有问题的,但是在前后端完全分离的情况,像现在比较流行的vue.js,前后端分开部署,如果在用户未登录情况下访问后端,返回默认的登录显然是不行。下面通过配置,在用户未登录情况下访问后端时,返回之前封装的统一结果,然后前端通过状态码进行判断,跳转到自定义登录页。 实现 创建一个授权异常处理器类AuthenticationExceptionHandler并实现AuthenticationEntryPoin
SpringSecurity学习笔记(三)- 静态资源过滤配置(无需登录即可获取)
nuaa042216的博客
11-20 1162
3.在项目的resources/static 目录下新建images和jpgs目录(此处为举例,实际上上述两个目录只需与第一步的目录对应即可,注意必须放在resources/static 目录下),并准备好几张图片。1.启动项目,使用浏览器访问 http://localhost:8088/jpgs/1.jpg,此时因为未配置静态资源过滤,应该会跳转到指定登录页面。在一个实际项目中,并非所有请求都需要SpringSecurity过滤,像图片等静态资源很多是不需要登录即可访问的,那我们可以怎么配置呢。
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
m0_60721967的博客
03-14 989
至此,文终于到了尾声。技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;项目经历:只写明星项目,描述遵循 STAR 法则;简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;以及最后为大家准备的福利时间:简历模板+Java面试题+热门技术系列教程视频. 技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;2. 项目经历:只写明星项目,描述遵循 STAR 法则;3. 简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;
Spring Security——13,认证成功&&失败&&注销成功处理器
最新发布
weixin_42858422的博客
04-08 737
测试一下:输入正确的账号密码,登录成功返回认证成功测试一下:输入错误的账号密码,登录失败返回认证失败测试一下:登录成功之后,访问注销的接口。
第三方集成站点带token访问SpringSecurity应用站点自动登录方案
左直拳的马桶_日用桶
03-01 1096
近期有个WEB项目需要改造。业主找第三方搞了一个集成站点,将多个应用站点的链接集中放在一个导航页面。由于进入集成站点时已经登录过了,业主要求点击这些应用站点的链接时就不必再登录。以前做过类似项目,用的是单点登录。大家都用同一个登录系统,一次登录,到处同行,不亦快哉。不过也有一些缺点,一是单点登录比较复杂,不好搞。之前我们用过一个开源的单点登录系统cas,代码一大堆,部署也很复杂,然后每个使用它的应用都要有个客户端,总之非常复杂。出了问题也不知道是哪里的毛病。
SpringSecurity
qq_27295923的博客
09-05 709
SpringBoot下使用SpringSecurity (一)基本 1.SpringSecurityJWT学习博客 https://blog.csdn.net/larger5/article/details/81047869 https://blog.csdn.net/larger5/article/details/81063438 2.设置不需要登录就能访问接口 在SpringSecurityC...
Druid 数据源连接池配置
roydon
11-20 7661
Spring Boot 的配置文件中对 Druid 数据源连接池进行配置 # Druid连接池的配置 spring: datasource: druid: initial-size: 5 #初始化连接大小 min-idle: 5 #最小连接池数量 max-active: 20 #最大连接池数量 max-wait: 60000 #获取连接时最大等待时间,单位毫秒 time-between-eviction-runs-millis: 6
Spring Security实战(三)—— 自动登录注销登录
weixin_49561506的博客
04-16 1005
Spring Security自动登录注销登录示例
Spring Security怎么自定义登录页? 怎么注销?
BASK2311的博客
12-30 160
转存失败重新上传取消permitAll如果你前端请求传递给你的参数并不是 username 和 password 怎么办?跟他说, 叫他改, 我喜欢, 约定大于配置前端是老大, 我听他的出去打一架。
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
Spring security实现记住我下次自动登录功能过程详解
08-24
主要介绍了Spring security实现记住我下次自动登录功能过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity-autologout:Java配置和XML配置Spring Security登录自动注销实现
05-26
springsecurity自动注销Java配置和XML配置Spring Security登录自动注销实现该存储库具有使用开发的Spring项目JDK 8 org.springframework-version-5.1.8.RELEASE spring-security.version-5.1.5.RELEASE hibernate....
账号登录后,用户不主动退出账号,在使用过程中,session/token登录信息失效,需要重新登录
weixin_44446230的博客
02-24 1640
在pc端,用户登录后,用户不主动退出账号,在使用过程中,有一定几率会提示需要登录信息失效。token失效的情况,
SpringSecurity去掉登录
weixin_44569326的博客
05-10 772
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 正常配置其他安全相关的内容 // 将登录框关闭 http.formLogin().disable(); } } ...
springboot使springsecurity不用登录
geejkse_seff的博客
04-26 1673
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity也会跟着启动,默认使用HttpBasic的方式启
SpringBoot Security 单点登出清除所有业务系统的 token
weixin_42555971的博客
11-10 3232
登出清除token
SpringSecurity实现自动登录
Kk_Chosen1的博客
08-21 716
在日常的上网中,各种网站需要登陆之后才能使用,而频繁的输入用户名和密码也是够令人烦恼的。那么自动登录就解决了这一痛点,就比如登录qq邮箱时就有这一选项。今天正好学到使用spring security可以实现这一功能,因此前来记录一下。简而言之,当用户在第一次登陆之后spring security会生成一个加密的字符串存放在cookie中,同时在数据库中也会存放加密字符串和用户的信息加密字符串。等下一次访问时就会比较cookie与数据库之间的数据,如果一致那么就能免去登录了。
spring-cloud-starter-securityspring-cloud-security的关系
05-31
`spring-cloud-starter-security` 和 `spring-cloud-security` 是 Spring Cloud 中用于实现安全认证和授权的两个模块,它们之间的关系如下: - `spring-cloud-starter-security` 是 Spring Cloud 中的一个 Starter 模块,它依赖于 Spring SecuritySpring Boot Starter Security,提供了一些默认的安全配置,方便用户快速使用 Spring Security 进行安全认证和授权。 - `spring-cloud-security` 是 Spring Cloud 中的一个核心模块,它依赖于 Spring SecuritySpring Boot Starter Security,提供了一些基于微服务的安全解决方案,如基于 OAuth2 的安全认证和授权、基于 JWT 的安全认证等。`spring-cloud-security` 还提供了一些与 Spring Cloud 其他组件的集成,如 Zuul、Feign、Ribbon、Eureka 等,以实现全局的安全控制。 因此,`spring-cloud-starter-security` 是 `spring-cloud-security` 的一个子集,它提供了一些默认的安全配置,而 `spring-cloud-security` 则提供了更为全面的安全解决方案和与其他组件的集成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值