SpringSecurity3.X--remember-me(转载)

最新推荐文章于 2024-11-10 21:05:45 发布
最新推荐文章于 2024-11-10 21:05:45 发布
阅读量92 收藏
点赞数
分类专栏: spring security 文章标签: security spring springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kong0csd/article/details/84118516
版权

笔者在SpringSecurity中配置remember-me时,遇到这样的问题,remember-me没有起作用,按照官方文档的讲解,只 需要在<http>中增加<remember-me />配置,并在login.jsp中增加如下代码即可:

Java代码   收藏代码
  1. <input id= "_spring_security_remember_me"  name= "_spring_security_remember_me"  type= "checkbox"  value= "true" />  
 

看上去挺简单的,可是笔者测试后发现并未起作用,google了一下,也未见有人提起过该问题,于是乎翻出源码一探究竟,果然发现了问题。

 

这里先简要说明一下SpringSecurity的登录过程:

Xml代码   收藏代码
  1. UsernamePasswordAuthenticationFilter :获得用户提交的用户名和密码信息  
  2. --> UserDetailsService :由其封装用户对象  
  3. --> AbstractUserDetailsAuthenticationProvider :转由其进行密码和权限验证,验证通过后封装一个Authentication  
  4. --> ProviderManager:会将Authentication封装到SecurityContext中(默认情况下,ProviderManager会在认证成功后清除掉Authentication的密码信息,但会保留用户名称)  
  5. --> AbstractRememberMeServices :判断请求参数中是否包含_spring_security_remember_me参数,如果包含并且值为(true,on,yes,1)中的任意一个,则将用户名和密码信息保存进cookie,否则不做处理  
  6. --> AccessDecisionManager :由其决定是否放行  
  7.   
  8. 之后在请求被保护的资源时,RememberMeAuthenticationFilter会先判断是否Authentication已经失效,如果失效,则试图从cookie中寻找,找到则重新封装Authentication。  
 

 

 

问题就出在ProviderManager中,其布尔属性eraseCredentialsAfterAuthentication默认值为 true,如果为true则会在username和password验证成功后清除掉Authentication中的password信息,而 AbstractRememberMeServices 保存cookie的条件则需要从Authentication中同时取得username和password,这就导致默认情况下 AbstractRememberMeServices永远不会将username和password存储到cookie中,所以,为了保证 username和password可以被正确的存储到cookie中,我们需要修改 eraseCredentialsAfterAuthentication的值为false,好在修改这个属性很方便,如下:

Xml代码   收藏代码
  1. < authentication-manager   erase-credentials = "false" >   
  2.         < authentication-provider   user-service-ref = "userService" >   
  3.             < password-encoder   hash = "md5"   />   
  4.         </ authentication-provider >   
  5. </ authentication-manager >   
     

 增加该配置后,则cookie信息被成功保存。

 

 默认情况下,cookie的有效期为两个星期,如果希望修改这个有效期,可以在<remember-me />中进行配置:

Xml代码   收藏代码
  1. < remember-me    token-validity-seconds = "123456789" />   
 

 

不知道为什么ProviderManager要这样处理,也许是我还没搞清楚缘由,希望与各位讨论。

spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-rsa-1.0.10.RELEASE-API文档-中文版.zip
05-04
赠送jar包:spring-security-rsa-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-rsa-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-rsa-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-web-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-web-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-web-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-web-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security(记住密码,CSRF)
最新发布
2302_79087378的博客
11-10 322
PersistentTokenRepository实现类InMemoryTokenRepositoryImpl基于内存实现JdbcTokenRepositoryImpl基于数据库实现@Bean。
后端SpringBoot及vue proxyTable解决跨域
qq_42059717的博客
11-06 333
昨天上线项目遇到了一个奇怪的问题,本来服务实在腾讯云的轻量应用服务器的,但是迁移到一个香港的服务器之后就出现了各种各样的问题。Nginx 开启Https Springboot开启Https,先后出现了噔噔蹬蹬但是我其实已经部署了一个项目了的,那个用的proxyTable,新部署的这个用的是里边的env控制的。后来改成proxyTable就好了。
Spring中@Autowired@Resource和@Inject注解区别
2401_87333857的博客
11-06 429
同时,它默认是采用byType装配,当指定了1SR-330规范中的@Named注解之后,变成byName装配。它也可以出现在方法上,构造函数上和字段上但是需要注意的是:因为IRE无法决定构造方法注入的优先级,所以规范中规定类中只能有一个构造方法带@Inject注解。@Autowired:来源于spring框架自身默认是byType自动装配,当配合了@Qualifier注解之后,在没有指定name属性时是byType自动装配,当指定了name属性之后,采用byName方式自动装配。
SpringBoot后端解决跨域问题
theLuckyLong的博客
11-10 72
【代码】SpringBoot后端解决跨域问题。
基于 SpringBoot 实现QQ邮箱验证码注册功能
2301_79201049的博客
11-06 638
找到并开通以下的邮件协议服务,而且服务开启也较为简单,需要我们发送一个短信到指定的号码,开启后平台会提供一个授权码,一定要记住这个授权码,发邮件的时候需要这个。host 是根据服务主机区分,网易邮箱是 smtp.163.com, qq邮箱是 smtp.qq.com。其中的 username 是你第一步中操作的邮箱账号,nickname 是接收者收到邮件中显示的发件人。发送邮件的核心依赖是 mail ,由于该项目还涉及其他依赖就全都导进来了。(1)首先打开QQ邮箱,点击设置并来到账号页面。
SpringBoot助力的共享汽车业务优化系统
2402_85762143的博客
11-09 917
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。近来,软件工程界趋向于一种新的观点,即认为软件生命周期每一阶段中都应包含测试,从而检验本阶段的成果是否接近预期的目标,尽可能早的发现错误并加以修正,如果不在早期阶段进行测试,错误的延时扩散常常会导致最后成品测试的巨大困难。任务:消除软件故障,保证程序的可靠运行。
为何选择Spring AI Alibaba开发智能客服平台?
JavaEdge全是干货的技术号
11-09 697
本文来看如何使用Spring AI Alibaba构建Agent应用。
七、Spring Boot集成Spring Security之前后分离认证最佳实现
JavaEE技术进阶之路
11-06 945
前后分离项目认证流程代码实现,基于spring security原生流程设计,实现RESTFUL接口、分布式缓存
Spring-Day8
2301_78630849的博客
11-09 526
一组关联的数据库操作;要么都成功,要么都失败,保证业务操作完整性的一种数据库机制。
Spring Security @PreAuthorize @PostAuthorize 权限控制
时光冉冉,我们都在变
11-07 334
hasAuthority,对应 public final boolean hasAuthority(String authority) 方法,含义同 hasRole,不同点在于这是权限,而不是角色,区别就在于权限往往带有前缀(如默认的ROLE_),而角色只有标识。hasRole,对应 public final boolean hasRole(String role) 方法,含义为必须含有某角色(非ROLE_开头),如有多个的话,必须同时具有这些角色,才可访问对应资源。
spring-security
2302_79087378的博客
11-08 698
*** 登录服务类,实现Spring Security的UserDetailsService接口*/@Service/*** 根据用户名加载用户信息* @param username 用户名* @return UserDetails对象,包含用户信息* @throws UsernameNotFoundException 如果用户不存在,则抛出此异常*/@Override// 检查用户名是否匹配预设值,如果不匹配则抛出异常if (!
springboot使用aop防御用户重复请求
干货分享,希望帮助读者不断提升自己的编程技能,解决工作中实际问题,并激发对技术的无限热爱。
11-09 528
InheritedString message() default "不允许重复提交,请稍候再试";/*** @Author* @Date*/@Aspectthrow new ServiceException("重复提交间隔时间不能小于'1'秒");} else {//解析参数point.getArgs()//获取url//获取 token} else {try {= 200) {return;
springBoot 自动配置与starter
水w的博客
11-07 770
springBoot 自动配置与starter
配置文件中spring.cloud.consul.host属性
weixin_42594143的博客
11-06 193
spring.cloud.consul.host属性是SpringCloudConsul项目中的一个关键配置项,它用于指定Consul服务器的主机地址。在SpringBoot应用程序中,spring.cloud.consul.host属性通常配置在application.yml或application.properties文件中。• 确保Consul服务可用:在配置spring.cloud.consul.host属性之前,需要确保Consul服务已经启动并运行在指定的主机和端口上。
Spring Security 2.x英文参考指南
3. **Remember-Me Authentication** (记住我认证) - 这个特性允许用户在一段时间内无需重新输入用户名和密码,提高了用户体验。 - 实现该功能涉及在配置中指定`remember-me`服务,确保安全性和持久性。 4. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值