Spring Boot+Vue项目 微博系统(8):记住我功能配置源码分析

最新推荐文章于 2024-01-30 17:26:27 发布
最新推荐文章于 2024-01-30 17:26:27 发布
阅读量493 收藏 1
点赞数
分类专栏: Spring Boot + Vue项目 Spring Boot Java 文章标签: java spring boot 安全 后端 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oldcunzhang/article/details/106506285
版权

这里再多说下,对于记住我功能,同样可以查看RememberMeConfigurer,看看是怎么实现的:

public final class RememberMeConfigurer<H extends HttpSecurityBuilder<H>> extends AbstractHttpConfigurer<RememberMeConfigurer<H>, H> {
    private static final String DEFAULT_REMEMBER_ME_NAME = "remember-me";
    private AuthenticationSuccessHandler authenticationSuccessHandler;
    private String key;
    private RememberMeServices rememberMeServices;
    private LogoutHandler logoutHandler;
    private String rememberMeParameter = "remember-me";
    private String rememberMeCookieName = "remember-me";
    private String rememberMeCookieDomain;
    private PersistentTokenRepository tokenRepository;
    private UserDetailsService userDetailsService;
    private Integer tokenValiditySeconds;
    private Boolean useSecureCookie;
    private Boolean alwaysRemember;

且不说别的,就这些类字段就能看到很多信息,比如对应参数名称默认是“remember-me”;类似的也有个RememberMeService,是否总是记住我(alwaysRemember)。。等等。可以按照自己的需求做自定义的配置。该类有个init方法,顾名思义,会做一些初始化操作,我们可以看看记住我的service是怎么操作的。

    public void init(H http) throws Exception {
        this.validateInput();
        String key = this.getKey();
        // 获取service
        RememberMeServices rememberMeServices = this.getRememberMeServices(http, key);
        http.setSharedObject(RememberMeServices.class, rememberMeServices);
        LogoutConfigurer<H> logoutConfigurer = (LogoutConfigurer)http.getConfigurer(LogoutConfigurer.class);
        if (logoutConfigurer != null && this.logoutHandler != null) {
            logoutConfigurer.addLogoutHandler(this.logoutHandler);
        }

        RememberMeAuthenticationProvider authenticationProvider = new RememberMeAuthenticationProvider(key);
        authenticationProvider = (RememberMeAuthenticationProvider)this.postProcess(authenticationProvider);
        http.authenticationProvider(authenticationProvider);
        this.initDefaultLoginFilter(http);
    }

同样地,有个get方法,进一步查看this.getRememberMeServices

    private RememberMeServices getRememberMeServices(H http, String key) throws Exception {
    	// 如果自定义了service
        if (this.rememberMeServices != null) {
            if (this.rememberMeServices instanceof LogoutHandler && this.logoutHandler == null) {
                this.logoutHandler = (LogoutHandler)this.rememberMeServices;
            }

            return this.rememberMeServices;
        } else { // 否则创建service
            AbstractRememberMeServices tokenRememberMeServices = this.createRememberMeServices(http, key);
            tokenRememberMeServices.setParameter(this.rememberMeParameter);
            tokenRememberMeServices.setCookieName(this.rememberMeCookieName);
            if (this.rememberMeCookieDomain != null) {
                tokenRememberMeServices.setCookieDomain(this.rememberMeCookieDomain);
            }

            if (this.tokenValiditySeconds != null) {
                tokenRememberMeServices.setTokenValiditySeconds(this.tokenValiditySeconds);
            }

            if (this.useSecureCookie != null) {
                tokenRememberMeServices.setUseSecureCookie(this.useSecureCookie);
            }

            if (this.alwaysRemember != null) {
                tokenRememberMeServices.setAlwaysRemember(this.alwaysRemember);
            }

            tokenRememberMeServices.afterPropertiesSet();
            this.logoutHandler = tokenRememberMeServices;
            this.rememberMeServices = tokenRememberMeServices;
            return tokenRememberMeServices;
        }
    }

虽然方法、变量都比较长,但是其实是很好懂的,对于没有对应配置的情况下,调用this.createRememberMeServices来创建。再进一步去看:

    private AbstractRememberMeServices createRememberMeServices(H http, String key) {
        return this.tokenRepository == null ? this.createTokenBasedRememberMeServices(http, key) : this.createPersistentRememberMeServices(http, key);
    }

    private AbstractRememberMeServices createTokenBasedRememberMeServices(H http, String key) {
        UserDetailsService userDetailsService = this.getUserDetailsService(http);
        return new TokenBasedRememberMeServices(key, userDetailsService);
    }

    private AbstractRememberMeServices createPersistentRememberMeServices(H http, String key) {
        UserDetailsService userDetailsService = this.getUserDetailsService(http);
        return new PersistentTokenBasedRememberMeServices(key, userDetailsService, this.tokenRepository);
    }

可以看到,这里是根据this.tokenRepository是否为null来选择调用下边两个方法,如果没有设置 tokenRepository,那么就新建一个 TokenBasedRememberMeServices,否则就新建一个PersistentTokenBasedRememberMeServices,从名字就可以看出来,前者是非持久化的,后者是持久化的。这两者都间接实现了RememberMeServices接口。
在这里插入图片描述
从源码也能看出来,对于前者,查看它的onLoginSuccess方法(这是RememberMeServices接口中的方法,用于登录成功时执行记住我的操作):

    public void onLoginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication) {
        String username = this.retrieveUserName(successfulAuthentication);
        String password = this.retrievePassword(successfulAuthentication);
		// ...省略无关代码
        int tokenLifetime = this.calculateLoginLifetime(request, successfulAuthentication);
        long expiryTime = System.currentTimeMillis();
        expiryTime += 1000L * (long)(tokenLifetime < 0 ? 1209600 : tokenLifetime);
        String signatureValue = this.makeTokenSignature(expiryTime, username, password);
        this.setCookie(new String[]{username, Long.toString(expiryTime), signatureValue}, tokenLifetime, request, response);   
    }

对于这种非持久化的方案,它是把用户名、失效时间、签名信息等编码到Cookie中,那么以后通过这个Cookie就可以登录了,相对来说是比较简单易用的。不过这里是把用户名直接编码到Cookie中的,对于不想泄露用户名的应用来说可能安全性不够,(当然通过Cookie/Session这种方式也不是绝对安全的,可以自行了解更多更安全的认证方式)。

查看PersistentTokenBasedRememberMeServices的持久化实现方法:

    protected void onLoginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication) {
        String username = successfulAuthentication.getName();
        
        PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(username, this.generateSeriesData(), this.generateTokenData(), new Date());

        try {
            this.tokenRepository.createNewToken(persistentToken);
            this.addCookie(persistentToken, request, response);
        } catch (Exception var7) {
            this.logger.error("Failed to save persistent token ", var7);
        }

    }

可以看到这里也使用了用户名username,但是这里是先执行了this.tokenRepository.createNewToken(persistentToken);,再把persistentToken添加到Cookie中。如果使用过JPA的同学应该知道这个xxxRepository就是做持久化工作的,比如访问数据库啥的。查看这个createNewToken方法,发现其是PersistentTokenRepository接口的一个方法,该方法有两个默认实现:
在这里插入图片描述

顾名思义,一个是持久化到内存,一个是持久化到数据库。这取决于我们的配置,因为如果我们选择持久化方案,就得配置一个tokenRepository,因为前边看过了,只有在配置中这个参数不为空才会选择持久化方案,而为空就会采用非持久化方案。

其实这里可以自己看下基于内存的实现,其实就是建立一个HashMap保存而已,没什么神奇的。

	private final Map<String, PersistentRememberMeToken> seriesTokens = new HashMap();
    
    public synchronized void createNewToken(PersistentRememberMeToken token) {
        PersistentRememberMeToken current = (PersistentRememberMeToken)this.seriesTokens.get(token.getSeries());
        if (current != null) {
            throw new DataIntegrityViolationException("Series Id '" + token.getSeries() + "' already exists!");
        } else {
            this.seriesTokens.put(token.getSeries(), token);
        }
    }

对于持久化到数据库的实现(JdbcTokenRepositoryImpl)其实更简单,就是执行一条SQL:

    public void createNewToken(PersistentRememberMeToken token) {
        this.getJdbcTemplate().update(this.insertTokenSql, new Object[]{token.getUsername(), token.getSeries(), token.getTokenValue(), token.getDate()});
    }

查看这个类的类字段部分:

public class JdbcTokenRepositoryImpl extends JdbcDaoSupport implements PersistentTokenRepository {
    public static final String CREATE_TABLE_SQL = "create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)";
    public static final String DEF_TOKEN_BY_SERIES_SQL = "select username,series,token,last_used from persistent_logins where series = ?";
    public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";
    public static final String DEF_UPDATE_TOKEN_SQL = "update persistent_logins set token = ?, last_used = ? where series = ?";
    public static final String DEF_REMOVE_USER_TOKENS_SQL = "delete from persistent_logins where username = ?";
    private String tokensBySeriesSql = "select username,series,token,last_used from persistent_logins where series = ?";
    private String insertTokenSql = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";
    private String updateTokenSql = "update persistent_logins set token = ?, last_used = ? where series = ?";
    private String removeUserTokensSql = "delete from persistent_logins where username = ?";
    private boolean createTableOnStartup;

可以看到它内置了一些SQL语句,提供对数据库表的增删改查操作,并且提供了一个boolean createTableOnStartup,表示是否在启动时新建对应数据库表。

其实这里还有个疑问,就是前边说的,持久化方案也会保存用户名,并且也是写入Cookie,看起来它相比非持久化方式,非但没有提供更多的安全性保证,反而多了一些数据库操作。来看来它具体是怎么做的,回到PersistentTokenBasedRememberMeServicesonLoginSuccess方法:

    protected void onLoginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication) {
        String username = successfulAuthentication.getName();
        PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(username, this.generateSeriesData(), this.generateTokenData(), new Date());

        try {
            this.tokenRepository.createNewToken(persistentToken);
            this.addCookie(persistentToken, request, response);
        } catch (Exception var7) {
            this.logger.error("Failed to save persistent token ", var7);
        }

    }

这里它把用户名(username)、当前时间(new Date())还有两个序列数(this.generateSeriesData(), this.generateTokenData())封装为PersistentRememberMeToken对象,随后调用this.addCookie将其放入Cookie中,查看这个addCookie方法:

    private void addCookie(PersistentRememberMeToken token, HttpServletRequest request, HttpServletResponse response) {
        this.setCookie(new String[]{token.getSeries(), token.getTokenValue()}, this.getTokenValiditySeconds(), request, response);
    }

可以看到,这里并没有放对象中的用户名,只放了对象中的两个序列数,这也就防止了用户名在Cookie中来回传递。认证的时候,只需要借助这两个序列数查对应的数据库表,就能得到用户名和过期时间,进而达到记住我的功能。

总结
记住我功能使用Cookie来实现,默认使用的是非持久化方案,它会把用户名写在Cookie里。如果需要持久化方案,就需要配置一个PersistentTokenRepository,这里对于持久化方案有两种选择:基于内存和基于数据库。基于内存的方案是建立一个HashMap来保存,基于数据库的是新建一个专用表。持久化方案会生成序列数,把序列数保存在Cookie中,验证时通过序列数查数据库表 来得到用户名。

此外,官方文档也对记住我功能有很详细的描述
https://docs.spring.io/spring-security/site/docs/current/reference/html5/#servlet-rememberme

0warnings0errors
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot集成SpringSecurity(十、记住我)
伍妖捌的小屋
05-17 308
前言 前面介绍了设置用户最大登录数,这节实现记住功能配置数据库 记住我需要用到数据库,所以这里先配置以下Mysql数据库 添加依赖 <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> <
Vue3 “记住我”功能 密码加密储存
Axi的学习笔记
04-04 673
/ 登录信息 let loginform = {// 获取本地储存的密码 const getPwd =() => {// base64解密 loginform . isRem = true;// 如果出现数据无法响应式的情况 强制刷新页面 用法可自行搜索 // that.$forceUpdate();} };// 记住密码 const remPws =() => {// base64加密 // console.log(password + "password");} else {
springboot security5 + vue 前后分离json方式登录(包括remember-me)实现
liukangjie520的博客
12-24 1198
由于security只支持formData方式提交表单,前端请求axios post为json格式数据,所以产生security接收不到登录参数等一系列问题(spring security应该升级这块功能了)。 问题找到了接下来就是解决问题, ...
登录页面实现记住功能
最新发布
sinat_34896766的博客
01-30 732
【代码】登录页面实现记住功能
JavaSpringBoot+Vue实现后台管理系统的开发
程序员小明1024
07-13 4278
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
SpringSecurity+VUE实现简单的权限管理
xlsj雪松的博客
10-19 967
SpringSecurity权限管理基础框架实现完成了,可以聚焦业务实现了。
springboot个人微博开发项目
11-07
springboot+grandle搭建的个人微博项目,适合新人学习观摩开发
基于springboot+vue个人博客搭建
m0_54853465的博客
08-15 2823
springboot+vue个人博客系统: 基于springboot+vue个人博客系统接入QQ,微博第三方登录,接入腾讯云人机验证、websocket博客作为新手入门项目是十分不错的,项目所用的技术栈覆盖的也比较广,适合初学者学习。主要难点在于权限管理、第三方登录、websocket这块。做的不好的地方请大家见谅,有问题的或者有好的建议可以私聊联系我。......
Vue实现登录记住账号密码功能的思路与过程
菜鸟教程
04-25 7052
文章来源: 学习通http://www.bdgxy.com/ 目录实现思路这里有三种方法来存储账号密码:功能界面记住账号密码功能的具体实现密码加密localStoragecookies总结实现思路 用户登录时若勾选“记住我”功能选项,则将登录名和密码(加密后)保存至本地缓存中,下次登录页面加载时自动获取保存好的账号和密码(需解密),回显到登录输入框中。 这里有三种方法来存储账号密码: 1. sessionStorage(不推荐) 1). 仅在当前会话下有效,关闭浏览器窗口后就被清除了 2). 存放数据
基于SpringBoot+Vue微博系统设计实现(源码+lw+部署文档+讲解等)
全网粉丝10W+、全栈领域优质创作者、掘金、阿里云等社区博客专家、专注于全栈领域和毕业项目实战
01-02 906
💗博主介绍:✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战✌💗👇🏻精彩专栏 推荐订阅👇🏻2023-2024年最值得选的微信小程序毕业设计选题大全:100个热门选题推荐✅2023-2024年最值得选的Java毕业设计选题大全:500个热门选题推荐✅Java精品实战案例《500套》微信小程序项目精品案例《500套》🌟文末获取源码+数据库🌟。
基于spring boot+vue功能完善的学生成绩管理系统源码.zip
05-27
基于spring boot+vue功能完善的学生成绩管理系统源码.zip
前端vue+elementUI如何实现记住密码功能
01-18
我们这回使用纯前端保存密码 既然是记住密码,前端也就是使用cookie保存,访问时用cookie读取 先来了解下cookie的基本使用吧 Cookie 所有的cookie信息都在[removed]中存放着,是一个字符串,里面的cookie以分号和空格分隔。就像这样: key1=value1; key2=value2; key3=value3 // 使用[removed] 来获取所有cookie docuemnt.cookie = id=+value 操作cookie /** * 设置cookie值 * * @param {String} na
security记住功能
11-02
security记住功能
Spring Boot + Vue3 完整开发全栈项目附资料.zip
06-24
Spring Boot + Vue3 完整开发全栈项目附资料 主要是完整项目实战
基于Spring Boot+Vue+Mysql的某银行OA系统(源码+论文+开发文档).zip
01-23
在互联网信息技术时代中,企业管理更多的是使用管理系统...本文首先阐述银行OA系统的背景和意义,然后对系统的技术进行分析,接着进行系统需求分析功能设计和系统实现,最后进行系统测试,完善系统功能和操作流程。
基于Spring Boot+Vue+Mysql的学院迎新系统(源码+论文+开发文档+演示视频).zip
01-04
郑州经贸学院迎新系统的用户是系统最根本使用者,按需要分析系统包括两类用户:学生、管理员。这两类用户对系统的需求简要如下。 3.1.1 管理员用户 管理员通过后台的登录页面,选择管理员权限后进行登录,管理员的...
基于Spring Boot+Vue+Mysql的论坛管理系统 (源码+论文+ppt+开发文档+演示视频).zip
01-23
本论文系统地描绘了整个网上论坛...这篇文章研究了基于Spring Boot框架的论坛管理系统的开发和实现,从需求分析、总体设计到具体实现,最终完成了整个在线论坛管理系统,从而方便了用户和提高了管理人员的管理水平。
Java8下Collectors.toMap方法当key重复时报错信息错误
编程碎碎念
09-26 6414
现象: 在Java 8下,使用Collectors.toMap聚合流数据,如果key重复时,会报错如下: 明明是key重复,并且错误信息前缀是Duplicate key,后边却是value1。 分析: 查看Collectors.toMap源码如下 toMap最终是调用了Map.merge方法,传入的mergeFunction是throwingMerger直接抛出异常,日志信息使用的是第一个参数u。传入的mapSupplier是HashMap对象(HashMap::new)。所以最终会调用到HashMap
Mybatis学习笔记——selectByExample方法和selectByExampleWithBLOBs方法区别
编程碎碎念
08-16 3204
使用 MyBatis,通常会使用 MyBatis Generator 插件逆向生成一套接口和.xml映射文件, 来简化数据库SQL操作。在使用 selectByExample(RecordExample example) 进行数据库的查找时,发现长字段(实践时为 description varchar(256))获取结果为 null 。而其他字段则正常,查看该方法对应的xml配置文件如下: <select id="selectByExample" parameterType="cn.novalue.c
springboot+vue后台管理系统源码
09-28
Spring Boot是一个基于Java的开源框架,它可以快速地构建...综上所述,使用Spring BootVue开发后台管理系统可以提供快速开发、高效可靠、界面美观、用户体验好、功能强大、易于维护等优势。希望这个回答对您有帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值