spring security 实现基于redis的 rememberMe token持久化功能

最新推荐文章于 2022-09-24 08:05:36 发布
最新推荐文章于 2022-09-24 08:05:36 发布
阅读量1.7k 收藏 1
点赞数 1
文章标签: java redis spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjzgj263446/article/details/104844595
版权

rememberMe认证流程
简单来说,认证时首先会经过UsernamePasswordAuthenticationFilter,如果开启了rememberMe,随后会有一个RememberMeAuthenticationFilter进行token认证。该filter调用一个rememberMeServices,该serviceautoLogin方法中从request中获取对应的cookie,经过解密分解为一个seriestoken。之后利用一个tokenRepository获取一个PersistentRememberMeToken对象,该对象包含了基本token、series、username和日期等信息。通过比较取出的PersistentRememberMeToken中的token与request中的token,进行验证。
因为spring security已经帮助我们完成许多处理,因此自定义实现redis持久化token,我们只需要实现一点:

  1. 一个自定义的tokenRepository,用以持久化token操作。

实现代码
一个实现了PersistentTokenRepositoryRedisPersistentRe类。
PersistentTokenRepository接口主要包括这几个方法:

    void createNewToken(PersistentRememberMeToken var1);
//创建新的token,每次采用密码账登录验证成功后都会执行这个方法。
    void updateToken(String var1, String var2, Date var3);
//更新token,每次新的会话都会更新token。其中var1代表series,var2代表新的token值。
    PersistentRememberMeToken getTokenForSeries(String var1);
//通过series获取PersistentRememberMeToken对象。
    void removeUserTokens(String var1);
//删除对应的token,采用默认的rememberMeServices时,var1是username。

RedisPersistentRe

@Component
public class RedisPersistentRe implements PersistentTokenRepository {
    private final static String USERNAME_KEY = "spring:security:rememberMe:USERNAME_KEY:";
    private final static String SERIES_KEY = "spring:security:rememberMe:SERIES_KEY:";
    @Autowired
    RedisTemplate redisTemplate;

    @Autowired
    StringRedisTemplate stringRedisTemplate;
    @Override
    public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) {
        String series = persistentRememberMeToken.getSeries();
        String key = generateKey(series,SERIES_KEY);
        String usernameKey = generateKey(persistentRememberMeToken.getUsername(),USERNAME_KEY);
        //用户只要采用账户密码重新登录,那么为了安全就有必要清除之前的token信息。deleteIfPresent方法通过
        //username查找到用户对应的series,然后删除旧的token信息。
        deleteIfPresent(usernameKey);
        HashMap<String,String > hashMap = new HashMap<>();
        hashMap.put("username",persistentRememberMeToken.getUsername());
        hashMap.put("token",persistentRememberMeToken.getTokenValue());
        hashMap.put("date",String.valueOf(persistentRememberMeToken.getDate().getTime()));
        HashOperations<String ,String ,String> hashOperations = redisTemplate.opsForHash();
        hashOperations.putAll(key,hashMap);
        redisTemplate.expire(key,1, TimeUnit.DAYS);//设置token保存期限
        stringRedisTemplate.opsForValue().set(usernameKey,series);
        redisTemplate.expire(usernameKey,1, TimeUnit.DAYS);
    }

    @Override
    public void updateToken(String s, String s1, Date date) {
        String key = generateKey(s,SERIES_KEY);
        if(redisTemplate.hasKey(key))
            redisTemplate.opsForHash().put(key,"token",s1);
    }

    @Override
    public PersistentRememberMeToken getTokenForSeries(String s) {
        String key = generateKey(s,SERIES_KEY);
        List<String> hashKeys = new ArrayList<>();
        hashKeys.add("username");
        hashKeys.add("token");
        hashKeys.add("date");
        List<String> hashValues = redisTemplate.opsForHash().multiGet(key, hashKeys);
        String username =  hashValues.get(0);
        String tokenValue = hashValues.get(1);
        String date = hashValues.get(2);
        if (null == username || null == tokenValue || null == date) {
            return null;
        }
        Long timestamp = Long.valueOf(date);
        Date time = new Date(timestamp);
        return new PersistentRememberMeToken(username, s, tokenValue, time);
    }

    @Override
    public void removeUserTokens(String s) {
    //rememberMeService实现类中调用这个方法传入的参数是username,因此我们必须通过username查找到
    //对应的series,然后再通过series查找到对应的token信息再删除。
        String key = generateKey(s,USERNAME_KEY);
        deleteIfPresent(key);
    }
    
    private void deleteIfPresent(String key){
    //删除token时应该同时删除token信息,以及保存了对应的username与series对照数据。
        if(redisTemplate.hasKey(key)){
            String series = generateKey(stringRedisTemplate.opsForValue().get(key),SERIES_KEY);
            if(series!=null && redisTemplate.hasKey(series)){
                redisTemplate.delete(series);
                redisTemplate.delete(key);
            }
        }
    }
    private String generateKey(String series,String prefix) {
        return prefix + series;
    }
}

config配置:
主要是开启

.rememberMe().tokenRepository(redisPerSisRe).rememberMeCookieName("mytoken").userDetailsService(aUserDetailsService)
//其中redisPerSisRe就是上面的RedisPerSisRe类自动注入,aUserDetailsService是用户登录认证时需要的service,采用自定义密码登录时也是这个service.

完整配置:

@Configuration
@EnableWebSecurity
public class ASpringSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    AUserDetailsService aUserDetailsService;
    @Autowired
    RedisPersistentRe redisPerSisRe;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/login").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin().permitAll()
                .defaultSuccessUrl("/success",true)
                .and()
                .rememberMe()
                .tokenRepository(redisPerSisRe)
                .rememberMeCookieName("mytoken")
                .userDetailsService(aUserDetailsService)
                .and()
                .csrf().disable()
                ;
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(aUserDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }
    

}
hjzgj263446
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
基于spring security实现登录注销功能过程解析
08-25
主要介绍了基于spring security实现登录注销功能过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security结合Redis实现缓存功能
xxxzzzqqq_的博客
03-10 534
本文简单介绍了下 Redis 的使用,结合 SpringSecurity 用于用户注册时增加验证码校验逻辑,以及用户登录时将用户名存储到 Redis 中,以供后续使用。验证码的逻辑在实际项目中可以添加,用户信息存储则推荐考虑 JWT,本文案例还未自定义授权处理逻辑,相对来说还是较简单。
Springsecurity的remember-me功能持久化数据改用Redis实现,步骤超级详细!!!
qq_33999481的博客
07-21 992
一、用Redis持久化remember-me中所需要的数据 今天用springboot集成springsecurity时,开启remember-me功能时,发现springsecurity提供了两个持久化数据的方式1. InMemoryTokenRepositoryImpl 2.JdbcTokenRepositoryImpl ,这两个实现类,准确的说第一个实现类是存入内存,个人感觉不算真正意义上的持久化。 JdbcTokenRepositoryImpl 这个是Springsecurity实现自动登录,
SpringSecurity系列 - 15 SpringSecurity 记住我 RememberMe
你今天真好看呀
09-24 2487
RememberMe 是一种服务器端的行为。传统的登录方式基于Session会话,一旦用户的会话超时过期,就要再次登录,这样太过于烦琐。如果能有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多,RememberMe 就是为了解决这一需求而生的。具体的实现思路就是通过 Cookie 来记录当前用户身份。当用户登录成功之后,会通过一定算法,将用户信息、时间戳等进行加密,加密完成后,通过响应头带回前端存储在cookie中,当浏览器会话过期之后,如果再次访问该网站,会自动将 Cookie 中的信息发
spring security 安全框架remember me,demo学习
freewebsys的专栏
11-25 3120
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 在安全框架这边使用最多的就是spring security。 论坛资料比较充实。
springboot+redis+token保持登录
08-03
通过redis 设置session过期时间,实现token 登录机制
javaredis保存token,Spring Boot 配置OAuth2 使用Redis持久化保存token
weixin_35838019的博客
03-12 438
AuthorizationServerConfigurerAdapter 中代码@Autowiredprivate RedisConnectionFactory redisConnectionFactory;/*** 用来定义授权与管理token* @param endpoints* @throws Exception*/@Overridepublic void configure(Authori...
SpringSecurity之RememberMe
single_cong的博客
01-11 431
浏览器开发记住我功能 因为我已经实现过Oauth认证,在那种情况下已经实现记住我功能token有效期),所以这里只是简单记录一下,功能实现即可(用户登录的token一般存储在Redis中)。 原理: 配置BrowserSecurityConfig: package com.cong.security.browser; import com.cong.security.core.code.Va...
七.SpringSecurity基础-记住我功能实现
墨家巨子@俏如来
08-28 1031
1.理解记住我 1.1.什么是记住我 Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次访问该网站会默认登录成功,即使浏览器退出重新打开也是如此,这个功能需要借助浏览器的cookie实现,具体流程如下 1.2.记住我核心流程 在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下: 认证成功UsernamePasswordAuthenticationFilter会调用RememberMeS
SpringSecurity基础:记住我
Leon_Jinhai_Sun的博客
09-14 439
SpringSecurity基础:记住我
Springsecurity安全框架案例+多页面登录+redis+token
12-08
Springsecurity安全框架案例+多页面登录+redis+token
基于redis实现token验证用户是否登陆
01-19
基于项目需求, 我们要实现一个基于redis实现token登录验证,该如何实现呢: 后端实现: 1.引入redis相关的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifa
springsecurity jwt mybatis redis
08-01
springsecurity + jwt + mybatis + redis
Redis windows 测试redis持久化功能1
08-08
Redis windows 测试redis持久化功能1
Python配合Redis写个Remember小工具
weixin_33717298的博客
10-28 225
禅心 · 悟道 前言 Mac上有一个自带的备忘录,感觉还挺好用的。然后也想自己动手,做个类似的Remember小工具来玩一下。 工具类型:胖服务端,瘦客户端的模式。大致的场景就是客户端只管把自己想让被提醒的事项发给服务器端,然后配合自己的本地扫描,对符合要求的memo进行弹框提醒。 最近对Redis比较着迷一点,被其优雅高效的设计所打动。虽然对于搜索方面支持的不太好,但是搜索的话使用专业的搜索服务...
security 底层原理_Spring Security 实现“记住我”功能及原理解析
weixin_39593523的博客
01-17 119
这章继续扩展功能,来一个“记住我”的功能实现,就是说用户在登录一次以后,系统会记住这个用户一段时间,这段时间内用户不需要重新登录就可以使用系统。记住我功能基本原理原理说明用户登录发送认证请求的时候会被UsernamePasswordAuthenticationFilter认证拦截,认证成功以后会调用一个RememberMeService服务,服务里面有一个TokenRepository,这个服务会...
场景应用:用SpringSecurity实现登录时记住我的功能
流楚丶格念的博客
09-18 6674
Spring Security 中 Remember Me 为“记住我”功能,用户只需要在登录时添加 remember-me 复选框,取值为 true。在客户端登录页面中添加 remember-me 的复选框,只要用户勾选了复选框下次就不需要进行登录了。用户只需要向 Spring Security 项目中发送/logout 退出请求即可。Spring Security 会自动把用户信息存储到数据源中,以后就可以不登录进行访问。常简单,只要在页面中添加/logout 的超链接即可。有效时间默认为 2 周。
Spring Boot安全、权限管理,记住我功能
weixin_46083166的博客
06-24 622
Spring Security快速入门 基础环境搭建 创建Spring Boot项目,引入Web、Thymeleaf依赖 引入页面资源文件 在项目resources下的templates目录下,index.html文件是项目首页页面,detail文件夹下的common和vip文件夹分别对应的是普通用户和VIP用户可访问的页面 index.html <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"
springSecurity+token+redis 实现单点登录请求时序图
qq_27990381的博客
12-25 1691
最近在设计统一认证中心,多个子系统接入统一认证中兴后能够实现单点登录、异地登陆下线、统一的用户权限管理等。 由于现有子系统都有自己的用户和权限控制,系统建设初期阶段,暂时不考虑统一的用户信息管理。权限控制由子系统独立判断。 系统暂时没有第三方应用接入的需求,本着的简单的原则,使用springSecurity+token+redis的架构。 下面是第一版的系统请求时序图。 ...
Spring Security OAuth2 redis令牌实现多人登录互踢下线
最新发布
07-22
Spring Security OAuth2中实现多人登录互踢下线的方式可以利用Redis来存储和管理令牌信息。下面是一种基本的实现思路: 1. 配置Redis作为Token存储:在Spring Boot应用的配置文件中,配置Redis作为Token的存储...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值