史上最简单的Spring Security教程(三十六):RememberMeAuthenticationFilter详解

最新推荐文章于 2024-04-18 09:31:15 发布
最新推荐文章于 2024-04-18 09:31:15 发布
阅读量1.3k 收藏 1
点赞数 3
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuminglei1987/article/details/109168010
版权

 

前面我们讲了 记住我 登录方式,以及和其它登录方式相融合的多种登录形式,想必对 记住我 登录方式有了一个大致清晰的了解。本次我们就来说一下其中一个比较重要的 Filter,即 RememberMeAuthenticationFilter

RememberMeAuthenticationFilter 是 记住我 登录方式比较重要的类,其主要功能有 自动登录身份认证登录成功事件发布异常处理/登录失败 等。

另外,重要的一点是,该 Filter 执行有一个条件,就是当前用户尚未认证

if (SecurityContextHolder.getContext().getAuthentication() == null) {
    ......
}

下面就这几项重要功能分别加以说明。

当当前用户尚未登录时,先执行 自动登录 逻辑,即先调用 RememberMeServices 的 autoLogin 方法。

Authentication rememberMeAuth = rememberMeServices.autoLogin(request,
          response);

如果 rememberMeAuth 不为 null,则再执行身份认证。

rememberMeAuth = authenticationManager.authenticate(rememberMeAuth);

没忘了 AuthenticationManager 吧?前面详细讲过:史上最简单的Spring Security教程(二十七):AuthenticationManager默认实现之ProviderManager详解

身份认证成功(不发生异常)后,先将当前 Authentication 设置到 SecurityContextHolder 上下文中,然后再执行成功登录逻辑。

// Store to SecurityContextHolder
SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);
​
onSuccessfulAuthentication(request, response, rememberMeAuth);

之后,便调用时间发布器,发布相关事件

// Fire event
if (this.eventPublisher != null) {
    eventPublisher
        .publishEvent(new InteractiveAuthenticationSuccessEvent(
            SecurityContextHolder.getContext()
            .getAuthentication(), this.getClass()));
}

然后,如果设置了 AuthenticationSuccessHandler ,则调用成功登录逻辑。没忘了 AuthenticationSuccessHandler 的用法吧?之前我们同样也介绍过:史上最简单的Spring Security教程(五):成功登录SuccessHandler高级用法

此外,如果想跳转到某个特定页面,而不是用户一开始访问的页面,怎么办呢?同样是在 AuthenticationSuccessHandler 中设置 defaultTargetUrl ,之前也详细讲解过,并且也画了一个详细的流程图:史上最简单的Spring Security教程(四):成功登录页面

接下来,便是异常处理/登录失败了。捕获到身份认证过程中的异常后,进行 异常处理/登录失败 相关处理

catch (AuthenticationException authenticationException) {
    if (logger.isDebugEnabled()) {
        logger.debug(
            "SecurityContextHolder not populated with remember-me token, as "
            + "AuthenticationManager rejected Authentication returned by RememberMeServices: '"
            + rememberMeAuth
            + "'; invalidating remember-me token",
            authenticationException);
    }
​
    rememberMeServices.loginFail(request, response);
​
    onUnsuccessfulAuthentication(request, response,
                                 authenticationException);
}

最后,如果不满足该 Filter 触发条件,即当前用户已经身份认证完成或存在其身份认证信息,或者 调用 自动登录 后得不到相应的结果,即 自动登录 失败,便会调用后续的 Filter。

else {
    if (logger.isDebugEnabled()) {
        logger.debug("SecurityContextHolder not populated with remember-me token, as it already contained: '"
                     + SecurityContextHolder.getContext().getAuthentication() + "'");
    }
​
    chain.doFilter(request, response);
}

如果想自定义 登录成功 、登录失败(注意不是AuthenticationSuccessHandler、AuthenticationFailureHandler 怎么办呢?当然是一样的逻辑咯,继承此 Filter 后,实现两个方法即可。

protected void onSuccessfulAuthentication(HttpServletRequest request,
      HttpServletResponse response, Authentication authResult) {
}
​
......
    
protected void onUnsuccessfulAuthentication(HttpServletRequest request,
      HttpServletResponse response, AuthenticationException failed) {
}

RememberMeAuthenticationFilter 的主要功能介绍完毕。

其它详细源码,请参考文末源码链接,可自行下载后阅读。

我是银河架构师,十年饮冰,难凉热血,愿历尽千帆,归来仍是少年! 

如果文章对您有帮助,请举起您的小手,轻轻【三连】,这将是笔者持续创作的动力源泉。当然,如果文章有错误,或者您有任何的意见或建议,请留言。感谢您的阅读!

 

源码

 

github

https://github.com/liuminglei/SpringSecurityLearning/tree/master/36

gitee

https://gitee.com/xbd521/SpringSecurityLearning/tree/master/36

 

 

 

银河架构师
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security(二十三)Remember-Me认证
高枫的博客
03-09 607
前言: Remember-me认证方式指的是能在不同的会话间记录用户认证信息的功能。通常通过向客户端发送一个cookie,在以后用户访问网站时通过这个cookie中的信息来自动登录实现。spring security 已经为我们提供了必要的hooks实现这个功能,并提供了两种具体的实现。一种是cookie中token包含了所有认证所需信息,并通过hash算法来保护这个token,另一种通过数...
springsecurity使用配置详解
03-24
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本文中,我们将深入探讨Spring Security的配置及其在实际应用中的使用。 首先,Spring Security的核心概念包括...
Spring Security学习笔记之RememberMeAuthenticationFilter
py_xin的博客
09-28 7314
基本配置如下: ...
springSecurity-记住我(Remember me)
最新发布
weixin_54097396的博客
04-18 807
Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
Spring Security3源码分析-RememberMeAuthenticationFilter分析
Dead_Knight的专栏
05-06 178
RememberMeAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter 看主要的doFilter方法 [code="java"] public void doFilter(ServletReq...
Spring Security Web 5.1.2 源码解析 -- RememberMeAuthenticationFilter
Details Inside Spring
12-10 715
概述 检测SecurityContext是否已经有一个Authentication对象。如果没有,并且开启了remember-me认证机制的话,就会往SecurityContext里面填充一个RememberMeAuthenticationToken Authentication。 认证成功的话,会向应用上下文发布事件InteractiveAuthenticationSuccessEvent。 另...
springsecurity 源码解读 之 RememberMeAuthenticationFilter
weixin_33885253的博客
04-05 130
RememberMeAuthenticationFilter 的作用很简单,就是用于当session 过期后,系统自动通过读取cookie 让系统自动登录。 我们来看看Springsecurity的过滤器链条。 我们发现这个RememberMeAuthenticationFilter 在 匿名构造器之前,这个是为什么呢? 还是从源码来分析: if (SecurityContex...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring Security是Java世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
spring-security3入门教程.doc
09-04
以下是一份针对 Spring Security 3.x 入门的详细教程: 首先,你需要创建一个 Web 项目并导入必要的库。这通常包括 Spring Security 相关的 JAR 文件,以及其他 Spring 框架的依赖。这些库可以通过 Maven 或 Gradle...
浅析Spring Security登录验证流程
08-25
Spring Security登录验证流程是Spring Security框架中最核心的部分之一,本文将详细介绍Spring Security登录验证流程的源码解析,通过源码讲解登录验证流程,具有很高的参考价值。 一、登录认证基于过滤器链 ...
spring security 官方文档
10-08
10. **与其他Spring框架的集成**:Spring SecuritySpring Boot、Spring MVC、Spring Data等其他Spring组件无缝集成,使得构建安全应用变得更加简单。 在Spring Security的官方文档中,包含了详细的配置指南、API...
SpringSecurity中文文档—Authentication—Remember Me
Logger
03-16 1543
Remember-me或persistent-login authentication 指的是网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送cookie来实现的,在未来的会话中会检测到cookie,并导致自动登录。Spring Security为这些操作提供了必要的hooks ,并有两个具体的Memory me实现。一种使用哈希来保护基于cookie的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。 请注意,这两种实现都需要UserDetailsService。如果您使用的身份
spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法
小伍的程序之路
04-14 834
spring security 在使用自定义的AuthenticationFilter时,提示Invalid remember-me cookie,自动登录失败的解决方法 后台日志报错提示 Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’ 我自定义了一个Login
使用Spring Security添加RememberMe身份验证
最佳 Java 编程
05-14 484
我在“ 将社交登录添加到Jiwhiz博客”中提到,RememberMe功能不适用于Spring Social Security。 好吧,这是因为该应用程序现在不通过用户名和密码对用户进行身份验证,并且完全取决于社交网站(例如Google,Facebook和Twitter)来完成此工作。 默认的Spring Security配置无法处理这种情况。 Spring Security可能是所有Spr...
SpringBoot集成SpringSecurity(三)记住我及图形验证码
罗伯特是疯子丶
05-25 714
需求 为了增强用户体验,实现“记住我”功能; 为了提高csrf攻击门槛,增加图形验证码功能; 记住我 场景类比: 从用户体验来讲: 在用户登录系统一次访问首页后,在有效期内可以免登录访问首页;中间可以包括不小心电脑关机,关闭浏览器等场景… 从技术的角度来讲: 即便session过期,remember me还在有效期内也可以访问; 即便系统重启,remember me还在有效期内也可以访问。 验证码 对于csrf攻击,大家可自行百度详细内容,我在这里简单说一下: 要完成一次CSRF攻击,受
Spring Security 解析(三) —— 个性化认证 以及 RememberMe 实现
hopelgl的博客
04-20 456
Spring Security 解析(三) —— 个性化认证 以及 RememberMe 实现 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 ...
Shiro之UsernamePasswordToken&RememberMeAuthenticationToken&AuthenticationToken
优质后端技术知识记录
01-15 2671
继承关系 先看一下三者的继承关系,会有一个比较清楚的认识 AuthenticationToken AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码)。Shiro会调用CredentialsMatcher对象的doCredentialsMatch方法对AuthenticationInfo对象和AuthenticationToken进行匹配。匹配...
Shiro框架:缓存、session会话、自定义FormAuthenticationFilter、RemenberMe
张维鹏的博客
08-03 1506
上篇的地址:https://blog.csdn.net/a745233700/article/details/81350191   一、Shiro缓存--cacheManager: 针对上一篇授权的时候频繁查询数据库的问题,可以使用shiro缓存来解决。 1、缓存流程: (1)shiro中提供了对认证信息和授权信息的缓存。shiro默认是关闭认证信息缓存的,对于授权信息的缓存shiro默...
springboot security5 + vue 前后分离json方式登录(包括remember-me)实现
liukangjie520的博客
12-24 1226
由于security只支持formData方式提交表单,前端请求axios post为json格式数据,所以产生security接收不到登录参数等一系列问题(spring security应该升级这块功能了)。 问题找到了接下来就是解决问题, ...
spring security使用filter
08-15
Spring Security 中,最重要的 Filter 是 `FilterChainProxy`。它是一个特殊的 Filter,负责管理一组其他 Filter,这些 Filter 一起构成了一个过滤器链。 以下是 Spring Security 中常用的 Filter: 1. `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值