史上最简单的Spring Security教程(三十五):RememberMe记住我之更安全的实现方式-持久化token存储方式PersistentTokenBasedRememberMeServic

最新推荐文章于 2023-05-28 13:48:22 发布
最新推荐文章于 2023-05-28 13:48:22 发布
阅读量1.4k 收藏 4
点赞数 2
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuminglei1987/article/details/109098937
版权

 

前面介绍的几种 RememberMe 实现方式,全部都是基于 RememberMeServices 接口的实现 TokenBasedRememberMeServices。此实现是将 username过期时间passwordkey等按照一定的规则组合之后取MD5值,之后将此值存在浏览器的Cookie中。

大部分网站的RememberMe 实现方式都是基于此。但是,将用户的 password 存储在浏览器的 Cookie 中, 始终存在隐患,即使难以实现。因此,Spring Security 框架提供了另外一种实现方式,基于 数据库 和 Cookie 的实现方式:PersistentTokenBasedRememberMeServices。

此实现方式无论是 数据库 和 Cookie,都不存储 password 等敏感信息。但是,如果用户的密码、状态等敏感信息发生改变,需要与 PersistentTokenBasedRememberMeServices 联动,如删除该用户之前的token等。关于这一点,PersistentTokenBasedRememberMeServices 类的注释写的很明白。

User management such as changing passwords, removing users and setting user status should be combined with maintenance of the user's persistent tokens.* </p>

既然如此,那我们就把 RememberMe 的实现方式换成 PersistentTokenBasedRememberMeServices 吧。只需修改一下 Spring Security 的部分配置即可。

protected void configure(HttpSecurity http) throws Exception {
    http
        ......
        .rememberMe()
        .key(DEFAULT_REMEMBER_ME_KEY)
        .rememberMeServices(persistentTokenBasedRememberMeServices())
       ......
}
​
private RememberMeServices persistentTokenBasedRememberMeServices() {
    return new PersistentTokenBasedRememberMeServices(DEFAULT_REMEMBER_ME_KEY, userDetailsService(), persistentTokenRepository());
}
​
private PersistentTokenRepository persistentTokenRepository() {
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setJdbcTemplate(jdbcTemplate);
    return jdbcTokenRepository;
}

关于数据结构,有两种创建方式。

其一,交给 Spring Security 框架自动创建。此时,修改一下 PersistentTokenRepository 实现的配置,暴露为 Bean,且设置参数 createTableOnStartup 为 true。

@Bean
public PersistentTokenRepository persistentTokenRepository() {
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setCreateTableOnStartup(true);
    jdbcTokenRepository.setJdbcTemplate(jdbcTemplate);
    return jdbcTokenRepository;
}

启动系统时,Spring Security 框架会自动创建数据结构。

protected void initDao() {
    if (createTableOnStartup) {
        getJdbcTemplate().execute(CREATE_TABLE_SQL);
    }
}

其二,人工添加数据结构。

create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)

此两种方式均可,但是,第一种方式如果是在第一次启动且创建过数据结构后,再启动时,会抛出异常。因此,推荐采用第二种方式。

好了,我们启动系统,依然访问系统首页,跳转到登录页后,输入用户名、密码、验证码、勾选 记住我 选项,登录系统。查看 persistent_logins 表,当前用户的token信息已成功记录。

关闭浏览器,直接访问系统首页,此时,仍然可以直接访问,并没有重定向到登录页,无需输入用户名、密码、验证码。相同的,重启应用之后,同样可以直接访问系统首页,也无需重新登录。

其它详细源码,请参考文末源码链接,可自行下载后阅读。

我是银河架构师,十年饮冰,难凉热血,愿历尽千帆,归来仍是少年! 

如果文章对您有帮助,请举起您的小手,轻轻【三连】,这将是笔者持续创作的动力源泉。当然,如果文章有错误,或者您有任何的意见或建议,请留言。感谢您的阅读!

 

源码

 

github

https://github.com/liuminglei/SpringSecurityLearning/tree/master/35

gitee

https://gitee.com/xbd521/SpringSecurityLearning/tree/master/35

 

 

 

银河架构师
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
token记住密码_史上简单Spring Security教程(三十七):RememberMe记住我原理剖析...
weixin_39883260的博客
11-29 699
用户登录中常用的RememberMe-记住我功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对 Spring Security 框架提供的 RememberMe-记住实现逻辑进行详细讲解,剖析其实现过程。用户登录首先,在用户登录时,如果用户勾选了 记住...
TokenBasedRememberMeServices
Leon_Jinhai_Sun的博客
05-11 489
在开启记住我后如果没有加入额外配置默认实现就是由TokenBasedRememberMeServices进行的实现。查看这个类源码中 processAutoLoginCookie 方法实现: processAutoLoginCookie 方法主要用来验证 Cookie 中的令牌信息是否合法: 首先判断 cookieTokens 长度是否为了,不为了说明格式不对,则直接抛出异常。 从cookieTokens 数组中提取出第 1项,也就是过期时间,判断令牌是否过期,如果己经过期,则拋出异常
Spring Security教程(七):RememberMe功能
dichengyan0013的博客
11-20 461
在之前的教程中一笔带过式的讲了下RememberMe记住密码的功能,那篇的Remember功能是最简易的配置,其功能和安全性都不强。这里就配置下security中RememberMe的各种方式。 一、概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自...
Spring Security实现RememberMe功能以及原理探究
热门推荐
不清不慎的博客
04-27 1万+
在大多数网站中,都会实现RememberMe这个功能,方便用户在下一次登录时直接登录,避免再次输入用户名以及密码去登录,下面,主要讲解如何使用Spring Security实现记住我这个功能以及深入源码探究它的原理。 首先,如下图所示为Spring Security实现RememberMe功能的原理图: 首先你进入登录页面,输入用户名以及密码进行登录,通过前几篇文章我们知道了Sprin...
漫步SpringSecurity---采用持久化token实现remember-me功能(SpringBoot项目)
LeslieLau的博客
06-09 1408
之前几篇博客记录了一下SpringSecurity一些基础知识,也在整合Security那篇博客中记录了remember-me的使用方法和一些基本原理。这一篇就来记录一个和remember-me有关的一个操作,采用持久化token方式实现remember-me 小前言 以前我们实现remember-me功能时,是直接在配置类相应方法中加入这一行代码: http.rememberMe(); 之后就会在登录页面自动生成这一个单选框。 当然如果我们需要自定义登录页的话,只需要在前端页面添加一个rad
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我下次自动登录功能过程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍...
spring-security:Spring安全演示
05-01
5. **记住我功能**:Spring Security 提供了"Remember Me"服务,允许用户在一段时间内无需重新登录。这涉及到特殊的`PersistentTokenBasedRememberMeServices`和存储在数据库中的持久化令牌。 6. **CSRF防护**:...
Spring security实现登陆和权限角色控制
09-09
同时,“记住我”功能可以通过在`UserDetailsService`中设置适当的会话持久化实现。这样,用户在一段时间内无需重新登录即可访问系统。对于复杂的应用场景,你可能还需要处理如CSRF防护、密码加密和异常处理等...
spring security实现下次自动登录功能过程解析
08-25
Spring Security 是一个...简单实现依赖于内存,而稳定的方法是将数据持久化到数据库,以应对服务器重启等场景。正确配置和使用Spring Security的Remember-Me服务,可以提供好的用户体验,同时保持应用的安全性。
spring-security简单demo
03-05
8. **记住我(Remember Me)**:Spring Security提供了"记住我"功能,允许用户在关闭浏览器后仍能保持登录状态。这通常涉及到一个持久化Token存储,如数据库。 这个"spring-security简单demo"应该涵盖以上这些...
SpringSecurity之RememberMe实现
qq_16159433的博客
10-17 303
RememberMe的实现一定离不开Token持久化存储。来看看使用Security应该怎么用RememberMe功能 RememberMe实现的两个模式 Security中有着两个实现RememberMe功能的实现类,但是都离不开持久化Token。 AbstractRememberMeServices的实现PersistentTokenBasedRememberMeServices服务端或数据库保存Cookie 其中tokenRepository属性时存储的方案: InMemoryToken
srpingsecurity remember me 简单认证token怎么实现
jiangguochen2的博客
05-28 131
在上述配置中,我们使用了TokenBasedRememberMeServices作为RememberMeServices的实现类,并指定了一个唯一且保密的密钥(“uniqueAndSecretKey”)来生成和验证令牌。此外,我们使用了InMemoryTokenRepositoryImpl作为PersistentTokenRepository的实现类,这意味着令牌将存储在内存中。在Spring Security中,“Remember Me”(记住我)功能可以使用户在关闭浏览器后仍然保持登录状态。
从零开始java安全权限框架篇(三):记住Token存储的源码解析以及自定义Token存储
qq_35755863的博客
09-03 1698
目录 一:记住我功能的Token持久化 1.新建数据表结构 2.使用JdbcTemplate来存储生成的Token 二:记住我功能的源码解析 1.首先来看一下PersistentTokenRepository接口 2.PersistentTokenRepository的实现 3.1PersistentTokenRepository实现之一InMemoryTokenRepository...
Spring Security RememberMe的令牌持久化JdbcTokenRepositoryImpl的工作原理
ikun 的博客
09-19 1407
JdbcTokenRepositoryImpl 简介 SpringSecurity的令牌持久化接口PersistentTokenRepository的一个实现类JdbcTokenRepositoryImpl。 作用 将原本存于内存的session存入数据库。 session持久化的优点 避免使用内存session,一旦用户量大了,内存极有可能爆掉。 避免使用内存session,重启后需要重新登录。 使用方法 数据库配置步骤省略。 1. 配置存储器 2. 配置SpringSecurity过滤器链 3.
SpringSecurity实现记住
初栀的博客
09-12 377
一、实现原理 当浏览器登录认证成功后,RememberMeService会加密一串Token传给浏览器,存入cookie中,再写入数据库,下一次浏览器访问时,RememberMeAuthenticationFilter就会读取cookie中的Token,由RememberMeService从数据库查找对应的Token来进行比较,相同则自动登录 二、实现代码 2.1、配置类:注入数据源,配置操作数据对象 注:如果没有创建表,第一次运行使用setCreateTableOnStartup这个方法自.
Spring Security实现记住我功能&源码分析
Charge8的博客
01-12 2000
Spring Security实现记住我功能&源码分析
spring security 记住我功能的实现原理
c1523456的博客
07-01 1834
记住我大致思路 spring security 给我们提供了两种实现记住我的机制: 1 创建一个cookie,将用户名和密码等相关信息编码后放入,带下一个session时进行用户名密码的读取,并同数据库中的username,password进行匹配。 2 基于上面的实现方式有一个缺点,就是用户敏感信息暴露,为了解决这个我们通过一张凭证,在初次登陆后,我们生成一张凭证,cookie中存一份,...
Spring Security 自定义TokenBasedRememberMeServices,RememberMe功能失效
keyliwen的博客
02-23 4216
最近在做项目的时候用到了Spring Security,想用它的RememberMe功能,按照官方文档配置后 竟然不起作用,remeber-me的cookie在登录后会正常写到浏览器里,但是重启浏览器后就会丢失, 百思不得姐呀,先看了debug的日志,看到有remember-me的认证日志,发现执行了cancelCookie() 这个方法,也就是说因为某些原因,在重启浏览器后访问时,reme
Spring Security实现 Remember Me 记住密码功能
啦啦啦啦 la
11-15 1万+
Spring Boot 集成 Spring Security简单应用,从数据库读取数据校验用户,页面使用Thymeleaf模板 创建 Spring Boot 应用添加依赖 compile('org.springframework.boot:spring-boot-starter-security') compile('org.springframework.boot:spring-b
关于 Spring Security 中,实现记住我”功能:有哪两种方式
最新发布
06-13
Spring Security实现记住我”功能大致有以下两种方式: 1. 基于Cookie实现:用户登录成功后,服务器会生成包含用户信息的cookie,并将cookie发送给浏览器保存。下次用户访问网站时,浏览器会自动将cookie发送给服务器,服务器通过验证cookie中的信息,识别出用户身份并自动登录。 2. 基于Token实现:用户登录成功后,服务器会生成一个包含用户信息的Token,并将Token发送给浏览器保存。下次用户访问网站时,浏览器会自动将Token发送给服务器,服务器通过验证Token中的信息,识别出用户身份并自动登录。 这两种方式都可以实现记住我”功能,不同的是实现方式不同,基于Cookie的方式需要在服务器端进行配置,而基于Token方式需要在客户端进行配置。同时,基于Token方式还可以支持多种方式生成Token,例如JWT(JSON Web Token)等,加灵活。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值