spring REMEMBER ME配置过程

最新推荐文章于 2024-04-18 09:31:15 发布
最新推荐文章于 2024-04-18 09:31:15 发布
阅读量131 收藏
点赞数
分类专栏: spring java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengfeifei26/article/details/84464472
版权
java 同时被 2 个专栏收录
62 篇文章 0 订阅
订阅专栏
spring
15 篇文章 0 订阅
订阅专栏
为了避免用户重复登录,系统在使用过程中用户可能需要保持登录。Spring提供了remember me的配置,在项目中我使用了基于cookie的保持登录功能。根据spring的安全文档,要实现remember me配置只要做以下几件事情:

1、登录页 

<form action="${ctx}/j_spring_security_check" method="post">
           <input type="text" class="standard-textfield" name="j_username" />

          <input type="password" class="standard-textfield" name="j_password" />
          <input type="checkbox" id="_spring_security_remember_me"  /> 保持登录

</form>
[/html]
2、在spring-security.xml文件中需要加入:
[code="xml"]
     <http>

                <remember-me user-service-ref="userDetailManager" key="e37f4b31-0c45-11dd-bd0b-0800200c9a66"/>

      </http>



其中的key是用于混淆加密串的,key也可以不设置。user-service-ref是用来指定具体使用的登录验证类。由于我们系统的用户认证是通过自己的业务逻辑实现的,此时就需要提供一个UserDetailsService 的一个实现类,这个类就是重载了loadUserByUsername的方法,根据我们内容的业务逻辑实现如下: 

@Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException, DataAccessException {
        UserInfoManager userInfoManager = ContextLoader.getCurrentWebApplicationContext().getBean(UserInfoManager.class);
        UserInfo user = userInfoManager.findUserInfo(userName);
        // 鍒ゆ柇鐢ㄦ埛鐨勮处鍙锋槸鍚﹁繃鏈?
        List<GrantedAuthority> authsList = new ArrayList<GrantedAuthority>();
        authsList.add(new GrantedAuthorityImpl("ROLE_ADMIN"));
        if (user != null) {
            if (user.getEndDate() != null) {
                String endDate = OrganizationConstant.dateToString(user.getEndDate());
                if (endDate.equals(OrganizationConstant.STRIBF_END_DATE)) {
                    org.springframework.security.core.userdetails.User authUser = new org.springframework.security.core.userdetails.User(userName, user
                            .getPassWord(),
                            true, true, true,
                            true,
                            authsList.toArray(new GrantedAuthority[0]));
                    return authUser;
                } else {
                    throw new UsernameNotFoundException("娌℃湁杩欎釜鐢ㄦ埛");
                }
            } else {
                throw new UsernameNotFoundException("娌℃湁杩欎釜鐢ㄦ埛");
            }
        } else {
            throw new UsernameNotFoundException("娌℃湁杩欎釜鐢ㄦ埛");
        }
    }

自己实现的UserDetailsService 也需要在spring-security.xml文件中加以声明: 

<authentication-manager alias="authenticationManager">
  <authentication-provider user-service-ref="userDetailManager">
   <password-encoder hash="md5" base64="true"/>  
  </authentication-provider>
 </authentication-manager>

  <beans:bean id="userDetailManager"
  class="cn.ac.sec.limulus.framework.main.service.UserDetailManager" />

2、

这样配置之后,每次用户进入系统后,一旦session过期,就会从cookie中获取用户信息,用户就永远保持登录。但如果仅仅这样配置,在后面使用过程中就会遇到新的问题,一旦用户点了logout,我们一般都会使用spring 的j_spring_security_logout则系统退出登录的时候就会删除本地的cookie,也就是说下次登录并不能记住用户,如果就实现到目前状态保持登录对用户来说没有任何意义!

这时候我们可以通过提供一个自己实现的SecurityContextLogoutHandler类,这个类继承了org.springframework.security.web.authentication.logout.LogoutHandler,实现了 

public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        Assert.notNull(request, "HttpServletRequest required");
        if (this.invalidateHttpSession) {
            HttpSession session = request.getSession(false);
            if (session != null) {
                session.invalidate();
            }
        }
        org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices service;
        SecurityContextHolder.clearContext();
    }

这时候我们退出系统只是将当前用户的session设成无效,而不会去删除coookie,用户退出系统后再登录,spring就会在cookie中读取用户信息

3、

需要保持登录,用户每次进入登录页面,都应该默认显示登录用户的名字,用户应该只需要填写密码就能登录系统,这时候就需要action先从cookie中读取用户名后再返回给登录页显示即可;

4、

如果用户不想保持登录,在不勾选保持登录的时候需要将本地的cookie删除,目前找不到合适的获取勾选框值的方法,所以最后我决定在用户执行勾选框勾中或不勾中的时通过执行ajax实现cookie的删除



至此整个保持登录的功能就已经实现了,但还是有一些安全的隐患在里面,由于用户使用了保持登录功能,如果用户跳过登录页面,直接访问系统的一个有效链接,由于spring的安全机制决定其会从cookie中获取用户信息,所以系统可以有效访问,也就是只要用户没有清除cookie,那么用户在任何时间都可以无需登录访问系统。
pengfeifei26
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入门到精通:SpringBoot2和SpringSecurity5视频教程
11-12
<img src="https://img-bss.csdn.net/202003040840325012.jpg" alt="" />
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3349
spring security 记住我 rememberMe
SpringSecurity入门《之RememberMe“记住我”功能》
潘大Q仙的博客
04-04 217
RememberMe“记住我”功能 在配置类中开启RememberMe功能: @Override protected void configure(HttpSecurity security) throws Exception { security.authorizeRequests() ....... .and() ...
springSecurity-记住我(Remember me)
最新发布
weixin_54097396的博客
04-18 874
Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
SpringSecurity详细介绍RememberMe功能
erghtt的博客
04-04 1028
什么是ActiveMQ?ActiveMQ服务器宕机怎么办?丢消息怎么办?持久化消息非常慢怎么办?消息的不均匀消费怎么办?死信队列怎么办?ActiveMQ中的消息重发时间间隔和重发次数吗?
spring rememberme 功能的简介及学习
chen_jl168的博客
06-09 678
– 没空写
Spring Security Remember me使用及原理详解
08-25
.rememberMe() .userDetailsService(myUserDetailServiceImpl) .tokenRepository(persistentTokenRepository()) .tokenValiditySeconds(60 * 60) .and() .authorizeRequests() .antMatchers(SecurityConst....
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住我功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
Spring Security学习之rememberMe自动登录的实现
08-18
本文将深入探讨如何在Spring Security中配置和使用`rememberMe`自动登录,以及其背后的持久化令牌方案。 ### 一、`rememberMe`基础配置Spring Security中,启用`rememberMe`功能非常直观。首先,你需要在`...
SpringSecurity function ModifyAuthroties RemebeMe
03-28
在处理Spring Security的RememberMe功能时,你需要确保正确配置RememberMeServices,比如设置适当的token validity seconds(令牌有效期),并使用安全的密钥来签署RememberMe cookie。同时,还需要注意与数据库中的...
springsecurity使用配置详解
03-24
9. **记住我功能(Remember Me)**: 用户可以选择记住登录状态,以便在下次访问时无需重新登录。Spring Security支持这种功能,通过`RememberMeServices`接口实现。 10. **自定义逻辑**: 如果默认的配置无法...
SpringSecurity remember功能基本实现
Leon_Jinhai_Sun的博客
11-17 138
记住我功能页面代码 注意name和value属性的值不要写错哦! 先测试一下,认证通过后,关掉浏览器,再次打开页面,发现还要认证!为什么没有起作用呢?这是因为remember me功能使用的过滤器RememberMeAuthenticationFilter默认是不开启的! 开启remember me过滤器 <!--设置可以用spring的el表达式配置Spring Security并自动生成对应配置组件(过滤器)--> <security:http auto-confi.
Spring Security(12)——Remember-Me功能
e765741668的专栏
04-03 872
Remember-Me功能   目录   1.1     概述 1.2     基于简单加密token的方法 1.3     基于持久化token的方法 1.4     Remember-Me相关接口和实现类 1.4.1    TokenBasedRememberMeServices 1.4.2    PersistentTokenBasedRememberMeServices
Springsecurity的remember-me功能,持久化数据改用Redis实现,步骤超级详细!!!
qq_33999481的博客
07-21 1047
一、用Redis持久化remember-me中所需要的数据 今天用springboot集成springsecurity时,开启remember-me功能时,发现springsecurity提供了两个持久化数据的方式1. InMemoryTokenRepositoryImpl 2.JdbcTokenRepositoryImpl ,这两个实现类,准确的说第一个实现类是存入内存,个人感觉不算真正意义上的持久化。 JdbcTokenRepositoryImpl 这个是Springsecurity实现自动登录,
Spring Security 中实现 Remember Me 记住密码功能
啦啦啦啦 la
11-15 1万+
Spring Boot 集成 Spring Security的简单应用,从数据库读取数据校验用户,页面使用Thymeleaf模板 创建 Spring Boot 应用添加依赖 compile('org.springframework.boot:spring-boot-starter-security') compile('org.springframework.boot:spring-b
Spring boot中使用Spring Security的记住我 remember-me功能
KeepLearnToOld的博客
09-10 1320
Spring boot中使用Spring Security的记住我 remember-me功能 问题描述:Spring security新手,在登录时加上记住我功能,需要使用框架自带的记住我。 记住的用户数据,在数据库中做了持久化处理 首先 pom.xml文件中需要引入: <dependency> <groupId>org.spr...
Spring Seucrity 之 Remember Me
small_love的专栏
07-28 1万+
Spring Security 提供了Remember-me机制用来实现记录用户的登录状态。方便用户下次自动登录。Spring Security 对此操作提供了必要的钩子,remember-me有两个固定的实现一个是使用把用户登录信息加密以cookie的方式保存到客户端。一是用户
Spring Security实现RememberMe功能以及原理探究
热门推荐
不清不慎的博客
04-27 1万+
在大多数网站中,都会实现RememberMe这个功能,方便用户在下一次登录时直接登录,避免再次输入用户名以及密码去登录,下面,主要讲解如何使用Spring Security实现记住我这个功能以及深入源码探究它的原理。 首先,如下图所示为Spring Security实现RememberMe功能的原理图: 首先你进入登录页面,输入用户名以及密码进行登录,通过前几篇文章我们知道了Sprin...
Spring Security如何使用Remember-me功能
04-28
Spring Security提供了Remember-me功能来让用户在下次访问时无需重新登录。要启用Remember-me功能,可以按照以下步骤进行配置: 1. 在Spring Security配置文件中启用Remember-me功能,例如: ``` http .rememberMe() .key("remember-me-key") .rememberMeParameter("remember-me") .tokenValiditySeconds(86400) .userDetailsService(userDetailsService); ``` 其中,key是用来加密Remember-me cookie的密钥,rememberMeParameter是用来接收Remember-me cookie的请求参数,tokenValiditySeconds是Remember-me cookie的有效期,userDetailsService是用来根据用户名获取用户信息的服务。 2. 在登录页面中添加Remember-me的复选框,例如: ``` <input type="checkbox" name="remember-me" value="true" /> Remember me ``` 3. 在登录成功后生成Remember-me cookie,例如: ``` @RequestMapping(value = "/login", method = RequestMethod.POST) public String login(@RequestParam("username") String username, @RequestParam("password") String password, @RequestParam(value = "remember-me", required = false) boolean rememberMe, HttpServletResponse response) { // 验证用户名和密码 // ... // 生成Remember-me cookie if (rememberMe) { TokenBasedRememberMeServices rememberMeServices = new TokenBasedRememberMeServices("remember-me-key", userDetailsService); rememberMeServices.setTokenValiditySeconds(86400); rememberMeServices.setAlwaysRemember(true); rememberMeServices.loginSuccess(request, response, authentication); } // ... } ``` 其中,如果用户勾选了Remember-me复选框,则调用TokenBasedRememberMeServices的loginSuccess方法生成Remember-me cookie。 4. 在下次访问时验证Remember-me cookie,例如: ``` http .csrf().disable() .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .rememberMe() .key("remember-me-key") .rememberMeParameter("remember-me") .tokenValiditySeconds(86400) .userDetailsService(userDetailsService); ``` 其中,Remember-me cookie会在每次请求时被自动验证,如果验证通过,则用户会被认为已经登录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值