SpringSecurity源码分析(RemeberMe)

已于 2024-05-10 17:05:55 修改
阅读量429 收藏 10
点赞数 5
文章标签: java
于 2024-05-09 16:02:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moernagedian/article/details/138613435
版权

RemberMe

RememberMeServices

RememberMeServices
记住我的服务的接口
可以重写实现自己的记住我

public interface RememberMeServices {
//建议 org. springframework. security. authentication. RememberMeAuthenticationToken 在大多数情况下使用它,因为它具有相应的身份验证提供程序。
	Authentication autoLogin(HttpServletRequest request, HttpServletResponse response);
	void loginFail(HttpServletRequest request, HttpServletResponse response);
	void loginSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication successfulAuthentication);
}

AbstractRememberMeServices
记住我基类

public abstract class AbstractRememberMeServices
		implements RememberMeServices, InitializingBean, LogoutHandler, MessageSourceAware {
}
  1. 从请求内获取cookie
  2. 判断cookie长度是否为0,为0删除cookie
  3. cookie解码
  4. 执行autoLoginCookie,返回用户详细信息
  5. 检查cookie判断是否被禁用
  6. 创建从 autoLogin 方法返回的最终 Authentication 对象。

在这里插入图片描述
在请求中找到 Spring Security 记住我 cookie 并返回其值。
在这里插入图片描述
在这里插入图片描述
当MaxAge为0时候表示删除cookie
在这里插入图片描述
解码 cookie 并使用 “:” 分隔符将其拆分为一组令牌字符串。
在这里插入图片描述
由子类实现,整个autoLogin是一个模板方法
在这里插入图片描述

在这里插入图片描述

返回的最终 Authentication 对象在这里插入图片描述

TokenBasedRememberMeServices
校验过期时间->生成签名并与cookieTokens中进行比较
在这里插入图片描述
在这里插入图片描述

PersistentTokenBasedRememberMeServices
默认实现InMemory,还提供了JDBC
在这里插入图片描述

RememberMeAuthenticationFilter

来看看RememberMe的引用
之前也提到过GenericFilterBean,他是Filte的简单基本实现,不处理这个过滤器仅执行一次

public class RememberMeAuthenticationFilter extends GenericFilterBean implements ApplicationEventPublisherAware {
// 成功处理器
	private AuthenticationSuccessHandler successHandler;
// 授权管理器
	private AuthenticationManager authenticationManager;
// 上文提到的记住我服务	
	private RememberMeServices rememberMeServices;
// 策略类
	private SecurityContextRepository securityContextRepository = new NullSecurityContextRepository();
}

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
			// 不为null,说明已经认证过了
		if (SecurityContextHolder.getContext().getAuthentication() != null) {
			this.logger.debug(LogMessage
					.of(() -> "SecurityContextHolder not populated with remember-me token, as it already contained: '"
							+ SecurityContextHolder.getContext().getAuthentication() + "'"));
			chain.doFilter(request, response);
			return;
		}
		Authentication rememberMeAuth = this.rememberMeServices.autoLogin(request, response);
		if (rememberMeAuth != null) {
			// Attempt authenticaton via AuthenticationManager
			try {
			// 授权、认证
				rememberMeAuth = this.authenticationManager.authenticate(rememberMeAuth);
				// Store to SecurityContextHolder
			// 重新设置上下文
				SecurityContext context = SecurityContextHolder.createEmptyContext();
				context.setAuthentication(rememberMeAuth);
			// 之前也提及过,默认是threadLoacl	
				SecurityContextHolder.setContext(context);	
				onSuccessfulAuthentication(request, response, rememberMeAuth);
				this.logger.debug(LogMessage.of(() -> "SecurityContextHolder populated with remember-me token: '"
						+ SecurityContextHolder.getContext().getAuthentication() + "'"));
			// 保存securityContext
				this.securityContextRepository.saveContext(context, request, response);
				if (this.eventPublisher != null) {
					this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
							SecurityContextHolder.getContext().getAuthentication(), this.getClass()));
				}
				if (this.successHandler != null) {
					this.successHandler.onAuthenticationSuccess(request, response, rememberMeAuth);
					return;
				}
			}
			catch (AuthenticationException ex) {
				this.logger.debug(LogMessage
						.format("SecurityContextHolder not populated with remember-me token, as AuthenticationManager "
								+ "rejected Authentication returned by RememberMeServices: '%s'; "
								+ "invalidating remember-me token", rememberMeAuth),
						ex);
				this.rememberMeServices.loginFail(request, response);
				onUnsuccessfulAuthentication(request, response, ex);
			}
		}
		chain.doFilter(request, response);
	}

RememberMeAuthenticationToken

在这里插入图片描述
指示类可以处理特定的 Authentication 实现,策略模式

public interface AuthenticationProvider {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
boolean supports(Class<?> authentication);
}

RememberMeAuthenticationProvider
在这里插入图片描述

RememberMeConfigurer

配置记住我过滤器,核心方法init和configure

在这里插入图片描述
这一步可以设置自己的RememberMeService
在这里插入图片描述

 .and()
                .rememberMe()
                .rememberMeServices(rememberMeServices()) // 设置自动登录时使用rememberServic

SessionManagementFilter

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		
		if (!this.securityContextRepository.containsContext(request)) {
			Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
			// 判断是否为null并且是否匿名
			if (authentication != null && !this.trustResolver.isAnonymous(authentication)) {
				try {
				// 核心方法,策略类
					this.sessionAuthenticationStrategy.onAuthentication(authentication, request, response);
				}
			
				this.securityContextRepository.saveContext(SecurityContextHolder.getContext(), request, response);
			}
		}
		chain.doFilter(request, response);
	}

在这里插入图片描述
在这里插入图片描述

RegisterSessionAuthenticationStrategy

用于在成功Authentication后向SessionRegistry用户注册的策略
在这里插入图片描述

SessionRegistry 维护实例注册表 SessionInformatio

List<SessionInformation> getAllSessions(Object principal, boolean includeExpiredSessions);
SessionInformation getSessionInformation(String sessionId);
void refreshLastRequest(String sessionId);
void registerNewSession(String sessionId, Object principal);
void removeSessionInformation(String sessionId);

SessionRegistryImpl(只适合单机)
在这里插入图片描述

ConcurrentSessionControlAuthenticationStrategy

在这里插入图片描述
在这里插入图片描述

CompositeSessionAuthenticationStrategy

通过组合模式将所需要的策略组合在一起
在这里插入图片描述

AbstractSessionFixationProtectionStrategy

让sessionId变换,防止被截取
在这里插入图片描述
在这里插入图片描述

SessionInformation

在这里插入图片描述

SessionInformationExpiredStrategy

确定在 中ConcurrentSessionFilter检测到过期会话时的行为ConcurrentSessionFilter。
在这里插入图片描述
在这里插入图片描述
session过期策略
在这里插入图片描述
重定向策略

在这里插入图片描述在这里插入图片描述

moernagedian
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring security源码分析.pdf
07-11
spring security源码分析.pdf
3.springSecurity源码分析1
08-03
3.springSecurity源码分析1
title: Spring Security源码分析七:Spring Security 记住我
weixin_34085658的博客
01-17 67
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security 源码分析七:Spring Security 记住我
weixin_42073629的博客
06-01 123
有这样一个场景——有个用户初访并登录了你的网站,然而第二天他又来了,却必须再次登录。于是就有了“记住我”这样的功能来方便用户使用,然而有一件不言自明的事情,那就是这种认证状态的”旷日持久“早已超出了用户原本所需要的使用范围。这意味着,他们可以关闭浏览器,然后再关闭电脑,下周或者下个月,乃至更久以后再回来,只要这间隔时间不要太离谱,该网站总会知道谁是谁,并一如既往的为他们提供所有相同的功能和服务——与许久前他们离开的时候别无二致。 1. 记住我基本原理 用户认证成功之后调用RemeberMeSer.
SpringSecurity学习笔记(八)RememberMe功能
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-07 532
RememberMe 是一种服务器端的行为。传统的登录方式基于 Session会话,一旦用户的会话超时过期,就要再次登录,这样太过于烦琐。如果能有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多,RememberMe 就是为了解决这一需求而生的。原本的交互流程是,用户登录了之后会将用户的信息保存在服务端的session中,并且返回客户端一个jsessionid作为一个标识,默认过期时间是30分钟,30min没有进行任何操作,时间到了之后就会过期。
基于Java的SSM整合Spring Security设计源码
05-25
源码为基于Java的SSM整合Spring Security设计,包含13个Java文件、8个JSP文件等,共32个文件。该项目旨在为用户提供一个全面、便捷的SSM整合Spring Security解决方案,通过JavaJavaScript技术的结合,为用户带来...
Spring Security Remember me使用及原理详解
08-25
主要介绍了Spring Security Remember me使用及原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity源码(鉴权有缺陷)
05-20
springsecurity源码(鉴权有缺陷)
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1297
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
SpringSecurity最全实战讲解
roykingw的专栏
09-28 3036
文章目录Spring Security 专题一、基本概念认证授权会话RBAC模型二、一个自己实现的权限模型 BasicAuth:三、SpringBoot Security 快速上手1、项目搭建步骤2、用SpringBoot Security重新实现我们上个应用的认证和授权逻辑。3、项目测试4、了解SpringBoot Security项目的扩展点四、SpringBoot Security工作原理1、 结构总览2、认证流程2.1 AuthenticationProvider接口:认证处理器2.2 Authen
【深入浅出 Spring Security(七)】RememberMe的实现原理详讲
qq_63691275的博客
06-09 1490
RememberMe 实质呢就是将令牌以 Cookie 的形式响应给浏览器,然后浏览器进行了本地存储,等下次再次访问资源的时候,即会拿该令牌连请求一起到服务器端,令牌会使得后台进行自动登录(即用户认证)。
SpringSecurity的记住登录实现过程———【RememberMeServices】分析过程
SunRains
12-09 1439
在上一篇文章《SpringSecurity的认证流程分析(各个组件之间的关联)》介绍认证的基本流程时,其中的AbstractAuthenticationProcessingFilter有这样一个属性——RememberMeService引起我的注意,虽然从字面上很容易理解这个属性是和记住登录有关。但是其中的实现过程又是如何不深入还真不清楚,所以秉着学习的态度专门了解一下Security中对这个功能的实现。 在了解之前,先要清楚为什么会需要这个类来实现?当我们在很多网站上注册...
spring security面试题
热门推荐
小汤圆
11-04 1万+
1、spring security所谓的全局上下文是如何实现的? ThreadLocal 2、了解spring security哪些核心组件,并介绍? AuthenticationManagerBuilder @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configu
自制植物大战僵尸:HTML5与JavaScript实现的简单游戏
m0_73367097的博客
06-08 1909
自制植物大战僵尸
简单的项目部署脚本(转载)
u010230019的博客
06-09 604
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
Java——简单图书管理系统
m0_74100417的博客
06-09 1234
数据类型变量iffor数组方法类和对象封装继承多态抽象类和接口今天就是把上述知识点全部都用起来 图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理系统图书管理
修改菜品——后端Java
weixin_53717695的博客
06-09 412
修改菜品——后端Java
Javascript)AI数字人mp4转canvas播放并去除背景绿幕
最新发布
lx_nhs的博客
06-12 386
去除前:去除后: 3、可能会出现的报错 (1)视频路径跨域问题:解决:vue开启代理
Java02】Java中数组的定义与初始化
饮冰室
06-10 514
推荐第一种方式。这种方式容易让人理解,数据类型是type[],对象名称是arrayName。第二种方式有些老旧了。由于数组是一种引用变量(也就是一个指针),所以定义的时候还没有指向任何有效的内存空间,因此在定义数组的时候不能指定数组的长度,也不能直接使用。必须进行初始化。可以使用var让系统自动推断变量类型,既可以用于静态初始化,也可以用于动态初始化。
springsecurity源码分析
03-16
Spring Security源码分析可以帮助我们深入了解其实现原理,从而更好地使用和定制 Spring Security。在源码分析过程中,我们可以学习到 Spring Security 的核心组件、流程和设计思想,以及如何扩展和定制 Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值