spring security 修改 RememberMeServices的key

最新推荐文章于 2023-12-14 17:05:44 发布
最新推荐文章于 2023-12-14 17:05:44 发布
阅读量306 收藏
点赞数
分类专栏: spring 文章标签: Security Spring

用RememberMe的时候想改一些RememberMeServices的默认属性

比如

private String cookieName = SPRING_SECURITY_REMEMBER_ME_COOKIE_KEY;
    private String parameter = DEFAULT_PARAMETER;
    private boolean alwaysRemember;
    private String key;
    private int tokenValiditySeconds = 1209600; // 14 days

 

 但修改了之后发现cookie失效了

 

后来debug了半天才发现在 RememberMeAuthenticationProvider 也有一个key

public class RememberMeAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {
    //~ Static fields/initializers =====================================================================================

    private static final Log logger = LogFactory.getLog(RememberMeAuthenticationProvider.class);

    //~ Instance fields ================================================================================================

    protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
    private String key;

 

在验证过程中会判断他们是否相等 假如只改了一个地方。。。

iteye_11997
关注
专栏目录
SpringSecurity.pdf
05-24
Spring Security是一个功能强大、高度定制的安全框架,它专门用于为基于Spring的应用程序提供安全性解决方案。Spring Security架构的设计初衷是为了解决认证和授权的需求,确保应用程序的安全性。它提供了全面的安全...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 5417
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
若依低版本漏洞:shiro反序列化解决方式
weixin_43267639的博客
12-14 2331
在若依低版本中shiro可能会有反序列化的问题,因为是固定密钥的方式导致的。 解决方式如下: 1、升级shiro至最新版本 2、保持shiro版本不变
Spring Security 自定义TokenBasedRememberMeServices,RememberMe功能失效
keyliwen的博客
02-23 4249
最近在做项目的时候用到了Spring Security,想用它的RememberMe功能,按照官方文档配置后 竟然不起作用,remeber-me的cookie在登录后会正常写到浏览器里,但是重启浏览器后就会丢失, 百思不得姐呀,先看了debug的日志,看到有remember-me的认证日志,发现执行了cancelCookie() 这个方法,也就是说因为某些原因,在重启浏览器后访问时,reme
springsecurity中的配置文件设置remember-me 的原因及其安全性
朱智文的专栏
11-12 2852
首先看remember-me的写法: security:remember-me key="elim" user-service-ref="userDetailsService"/> 在扩展一下:这行配置所在的位置: security:http auto-config="true">       security:form-login/>       定义记住我功能,通过us
【笔记】shiro中的RememberMe设置:
lans_sl的博客
05-19 3926
修改spring-shiro.xml文件 追加securityManager的属性配置 内置的自定义的登录控制过滤器,追加参数设置 设置过滤页面,user表示RememberMe就能访问,authc则表示需要认证 /pages/welcome.jsp=user
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security OAuth过期的解决方法
09-07
Spring Security OAuth过期问题的解决方法 在Spring Security OAuth中,过期问题主要涉及OAuth2认证和授权流程的管理。OAuth2是一个开放标准,用于允许应用程序代表用户获取访问权限到受保护的资源,如API。随着...
项目中Spring Security 整合Spring Session实现记住我功能
热门推荐
盲目的拾荒者的博客
07-01 1万+
Spring Session提供了与Spring Security的“我记得”身份验证的集成的支持: 目的: 更改会话过期长度 确保会话cookie在Integer.MAX_VALUE处过期。将cookie过期设置为最大的可能值,因为只有在创建会话时才设置cookie。如果将其设置为与会话到期相同的值,那么当用户使用该值时,会话将得到更新,但是cookie过期不会更新,导致过期时间被修...
Spring BlazeDS Integration之spring security(4)---自定义rememberMeServices,找到自动登陆成功切入点
miqi770的专栏
03-04 3902
我们先说一个现象,比如已经有一个使用Spring BlazeDS Integration配置了spring security的一个应用, 如下图是用户已经登录成功时,进入的界面,此时login按钮是个摆设,没有任何功能;logout按钮是通过flex提供的api是完成登出操作: 当,用户没有点击logout按钮,直接关闭了浏览器,浏览器比如是firefox。用户再次使用
spring security】【尚硅谷】
hupengfei_shenyang的博客
04-04 2123
前置知识 spring框架 springboot使用 javaWeb技术 Spring Security 框架简介 概述 Spring Security是基于Spring框架,是一套web安全性的完整的解决方案 关于安全的主要的两个区域“认证”和“授权” web安全性主要包括用户认证(Authentication)、**用户授权(Authorization)**两个部分,同时也是Spring Security重要的核心功能 用户认证(Authentication):系统认为用户是否可以登录 用户授权(A
springboot集成redis使用redis作为session报错ClassNotFoundException类RememberMeServices
weixin_30550271的博客
06-19 693
springboot 集成redis使用redis作为缓存,会报错的问题。 错误信息: java.lang.IllegalStateException: Error processing condition on org.springframework.boot.autoconfigure.task.TaskSchedulingAutoConfiguration.taskScheduler...
spring securityspring security前后端分离设置rememberMe(一)
Meditation_Crazy
09-28 1354
文章目录前言解决过程解决总结 前言 前面基础的登录,权限验证等都已经完成了,现在想实现记住密码的操作,按网上博客来实现了一翻,却总是失败,token并没有存储到persistent_logins表。 解决过程 经过调试发现是因为当登录成功的时候,rememberMeServices执行的方法是NullRememberMeServices下面的: 可以看到它执行了NullRememberMeServices下面的方法。 然后查看另外一个实现类下面的代码AbstractRememberMeServic
Shiro中的Remember me设置
weixin_34410662的博客
05-30 1030
1. 在Spring的相关配置文件中加入如下Remember me管理器配置: <!-- rememberMe管理器 --> <bean id="rememberMeManager" class="org.apache.shiro.web.mgt.CookieRememberMeManager"> <pr...
Shiro高版本默认密钥的漏洞利用
12-10 6426
在Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
Spring Security(12)——Remember-Me功能
e765741668的专栏
04-03 881
Remember-Me功能   目录   1.1     概述 1.2     基于简单加密token的方法 1.3     基于持久化token的方法 1.4     Remember-Me相关接口和实现类 1.4.1    TokenBasedRememberMeServices 1.4.2    PersistentTokenBasedRememberMeServices
spring security key
最新发布
03-27
Spring Security是一个功能强大的身份验证和访问控制框架,用于保护Java应用程序的安全性。在Spring Security中,密钥(Key)是用于加密和解密数据的关键元素之一。 在Spring Security中,密钥通常用于对敏感信息进行加密和解密,以确保数据的机密性和完整性。密钥可以是对称密钥或非对称密钥。 对称密钥是一种使用相同的密钥进行加密和解密的加密算法。这意味着在加密和解密过程中使用相同的密钥。对称密钥通常用于加密和解密较小的数据块,例如密码或令牌。 非对称密钥是一种使用不同的密钥进行加密和解密的加密算法。非对称密钥由一对公钥和私钥组成。公钥用于加密数据,而私钥用于解密数据。非对称密钥通常用于加密和解密较大的数据块,例如SSL/TLS通信中的数据。 Spring Security提供了各种配置选项和API来管理和使用密钥。您可以使用Spring Security的配置文件来指定要使用的密钥类型和相关参数。您还可以使用Spring Security的API来编程方式生成、存储和管理密钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值