Spring Security 实现自动登录功能3

最新推荐文章于 2023-06-12 16:43:07 发布
最新推荐文章于 2023-06-12 16:43:07 发布
阅读量186 收藏
点赞数
分类专栏: spring Security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54797663/article/details/120171011
版权
本文介绍了如何在SpringSecurity中轻松配置自动登录功能,包括添加`rememberMe`配置,理解cookie中的RememberMe机制,以及登录验证流程。通过实例演示和原理分析,让你掌握核心技术和实现步骤。
摘要由CSDN通过智能技术生成

Spring Security 实现自动登录功能

自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱:

img

很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。

自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。

作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 中如何实现这个功能。

1.实战代码

首先,要实现记住我这个功能,其实只需要其实只需要在 Spring Security 的配置中,添加如下代码即可:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .rememberMe()
            .and()
            .csrf().disable();
}

大家看到,这里只需要添加一个 .rememberMe() 即可,自动登录功能就成功添加进来了。

接下来我们随意添加一个测试接口:

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
}

重启项目,我们访问 hello 接口,此时会自动跳转到登录页面:

img

这个时候大家发现,默认的登录页面多了一个选项,就是记住我。我们输入用户名密码,并且勾选上记住我这个框,然后点击登录按钮执行登录操作:

img

可以看到,登录数据中,除了 username 和 password 之外,还有一个 remember-me,之所以给大家看这个,是想告诉大家,如果你你需要自定义登录页面,RememberMe 这个选项的 key 该怎么写。

登录成功之后,就会自动跳转到 hello 接口了。我们注意,系统访问 hello 接口的时候,携带的 cookie:

img

大家注意到,这里多了一个 remember-me,这就是这里实现的核心,关于这个 remember-me 我一会解释,我们先来测试效果。

接下来,我们关闭浏览器,再重新打开浏览器。正常情况下,浏览器关闭再重新打开,如果需要再次访问 hello 接口,就需要我们重新登录了。但是此时,我们再去访问 hello 接口,发现不用重新登录了,直接就能访问到,这就说明我们的 RememberMe 配置生效了(即下次自动登录功能生效了)。

2.原理分析

按理说,浏览器关闭再重新打开,就要重新登录,现在竟然不用等了,那么这个功能到底是怎么实现的呢?

首先我们来分析一下 cookie 中多出来的这个 remember-me,这个值一看就是一个 Base64 转码后的字符串,我们可以使用网上的一些在线工具来解码,可以自己简单写两行代码来解码:

@Test
void contextLoads() throws UnsupportedEncodingException {
    String s = new String(Base64.getDecoder().decode("amF2YWJveToxNTg5MTA0MDU1MzczOjI1NzhmZmJjMjY0ODVjNTM0YTJlZjkyOWFjMmVmYzQ3"), "UTF-8");
    System.out.println("s = " + s);
}

执行这段代码,输出结果如下:

s = javaboy:1589104055373:2578ffbc26485c534a2ef929ac2efc47

可以看到,这段 Base64 字符串实际上用 : 隔开,分成了三部分:

  1. 第一段是用户名,这个无需质疑。
  2. 第二段看起来是一个时间戳,我们通过在线工具或者 Java 代码解析后发现,这是一个两周后的数据。
  3. 第三段我就不卖关子了,这是使用 MD5 散列函数算出来的值,他的明文格式是 username + ":" + tokenExpiryTime + ":" + password + ":" + key,最后的 key 是一个散列盐值,可以用来防治令牌被修改。

了解到 cookie 中 remember-me 的含义之后,那么我们对于记住我的登录流程也就很容易猜到了了。

在浏览器关闭后,并重新打开之后,用户再去访问 hello 接口,此时会携带着 cookie 中的 remember-me 到服务端,服务到拿到值之后,可以方便的计算出用户名和过期时间,再根据用户名查询到用户密码,然后通过 MD5 散列函数计算出散列值,再将计算出的散列值和浏览器传递来的散列值进行对比,就能确认这个令牌是否有效。

菜鸟小杰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity自动登录
xkshihaoren的博客
11-29 476
1 散列加密方案 在spring security中加入自动登录功能: @Autowired private MyUserDetailsService userDetailsService; protected void configure(HttpSecurity http){ http...... .formLogin() .and() .rememberMe()...
SpringSecurity实现自动登录功能
qq_34136709的博客
04-29 1616
SpringSecurity实现自动登录功能 我们知道很多网站都有下次自动登录功能springsecurity作为较获得安全技术肯定是也有的 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据 要实现记住我这个功能,其实只需要其实只需要在 Spring Security 的配置中,添加如下代...
SpringSecurity实现自动登录
Kk_Chosen1的博客
08-21 764
在日常的上网中,各种网站需要登陆之后才能使用,而频繁的输入用户名和密码也是够令人烦恼的。那么自动登录就解决了这一痛点,就比如登录qq邮箱时就有这一选项。今天正好学到使用spring security可以实现这一功能,因此前来记录一下。简而言之,当用户在第一次登陆之后spring security会生成一个加密的字符串存放在cookie中,同时在数据库中也会存放加密字符串和用户的信息加密字符串。等下一次访问时就会比较cookie与数据库之间的数据,如果一致那么就能免去登录了。
Spring Security--自动登录
最新发布
a2285786446的博客
06-12 735
rememberMe还有一个key属性,当key设置了值的时候,即使服务端重启了也不用重新登录。分三部分:用户名:时间戳:加密字符串(根据用户名+用户密码+时间戳+key加密的字符串)因为有的接口可以支持rememberMe认证,有的接口不支持,用上图的方式做区别。我们记住登录后,关掉浏览器再打开,访问一下接口,可以访问,说明记住登录成功了。然后发送请求时加上:remember-me字段。value值可以为,ture,1,on。//禁止给url编码。//读取当前用户信息。base64解密完是。
springsecurity自动登录
qq_43603719的博客
01-02 464
第一步:创建数据库表 第二步:注入数据源,配置操作数据库对象 // 自动登录 // 注入数据源 @Autowired private DataSource dataSource; @Bean public PersistentTokenRepository persistentTokenRepository(){ JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenReposit
Spring Security是怎么实现自动登录的?
xxxzzzqqq_的博客
04-14 147
小白: "过程虽然简单, 但我觉得你这也不安全吧?不过是换了个名字么?照样不安全吧?小黑: "spring security使用默认的remember-me肯定是不安全的, 你需要开启持久化功能, 也就是下图红框框的类"小白: "那你要怎么修改它内部使用哪个类的呢?小黑: "你有两种方式"和小黑: "也就是这两种方式"小黑: "从他们前面的源码可以看出, 这两种方式有优先级区别, 明显第一种优先级高于后面的。
Spring Security系列】Spring Security自动登录
qq_28248897的博客
06-30 917
1.为什么需要自动登录 当我们在某个网站上注册账号时,网站会对我们设置的登录密码提出要求。例如,有的网站要求使用固定位数的纯数字密码,有的网站则强制要求用户使用英文+数字组合成的密码,甚至要求加一些特殊符号来组成密码。总体而言,设定一个密码并不困难,真正的困难总是在下次登录时才会遇到。要么想不出网站要求的密码格式是什么,要么还原不了设置密码时的思维状态。总之,在几次尝试登录失败之后,大部分人会选择找回密码,从而再次陷入如何设置密码的循环里。为了尽可能减少用户重新登录的频率,在系统开发之初就需要考虑加入可
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我下次自动登录功能过程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍...
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring SecurityJava应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能Spring Security中的一个重要组件,主要用于防止自动化程序...
spring security实现下次自动登录功能过程解析
08-25
在本文中,我们将深入探讨如何使用Spring Security实现记住我”功能,以便用户在下次访问时能够自动登录。 一、原理分析 “记住我”功能的核心在于使用Cookie来保存用户的登录状态。当用户首次登录并勾选“记住我...
详解使用Spring Security进行自动登录验证
08-29
本篇文章主要介绍了详解使用Spring Security进行自动登录验证,非常具有实用价值,需要的朋友可以参考下
springmvc(spring4版本)+自带登录和拦截器
01-03
基于spring4的springmvc项目,自带登录和拦截器,可直接运行
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
今天,我们将探讨如何使用 Spring Security 实现自动踢掉前一个登录用户的功能。 需求分析 在某些情况下,我们可能需要限制用户在同一个系统中只能在一个设备上登录。这可能是出于安全方面的考虑,也可能是出于...
Spring Security实现两周内自动登录"记住我"功能
08-25
Spring Security实现两周内自动登录"记住我"功能】 在Web应用程序中,"记住我"功能是一个常见的特性,它允许用户在一定时间内无须再次登录即可访问应用。Spring SecurityJava开发中广泛使用的安全框架,提供了...
springsecurity自动登陆
weixin_45922154的博客
11-21 182
springsecurity自动登陆使用方法介绍原理 使用 在springsecurity配置类中重写的方法中调用rememberMe方法,具体如下 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication().withUser("admin").password("123"); } @Override
Spring Security自动登录
​​
05-27 594
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 中如何实现这个功能。 实战代码 首先,要实现记住我这个
spring security 自动登录
有范编程
03-07 453
Spring Security记住自动登录,安全和便捷 用户登录网后,一般情况为了用户的账号安全如果停留网站太久没有操作,或者隔一段时间再打开,浏览器就会跳转到用户的登录界面,但是如果是自己的电脑,设置了屏幕锁密码,又经常访问的网站,就会想让它自动登录。所以有的网站登录页多一个勾选的按钮有了免登录三天,或者自动登录自动登录实现原理 在用户勾选自动登录成功后,后端生成两个cookie浏览器本地存储,set-cookie remember-me来存储免登录用户名,过期时间。cookie session标识
Spring Security中的用户注销
花&败
07-18 935
实现过程: 登录成功后进入一个页面,点击退出后,无法访问需要权限的页面。 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apac
Spring Security 实现自动登录
moran_3346的博客
04-18 141
以上两张图是自动配置相关的配置代码。
Spring Security实现自动登录:rememberMe功能详解
`PersistentTokenBasedRememberMeServices`是Spring Security实现持久化令牌的类,它需要与数据库交互来存储和检索这些令牌。在配置时,你需要提供一个` PersistentTokenRepository`实现,通常是一个JDBC实现,用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值