Spring Security学习笔记之RememberMeAuthenticationFilter

最新推荐文章于 2024-04-18 09:31:15 发布
最新推荐文章于 2024-04-18 09:31:15 发布
阅读量7.3k 收藏 1
点赞数
文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_xin/article/details/52682791
版权

RememberMeAuthenticationFilter的作用是, 当用户没有登录而直接访问资源时, 从cookie里找出用户的信息, 如果Spring Security能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统. 它先分析SecurityContext里有没有Authentication对象. 如果有, 则不做任何操作, 直接跳到下一个过滤器. 如果没有, 则检查request里有没有包含remember-me的cookie信息. 如果有, 则解析出cookie里的验证信息, 判断是否有权限.

它的基本配置如下:

<sec:http entry-point-ref="myAuthenticationEntryPoint">
	...
	<sec:custom-filter ref="rememberMeFilter" position="REMEMBER_ME_FILTER"/>
</sec:http>

<sec:authentication-manager alias="authenticationManager">
	<sec:authentication-provider ref="authenticationProvider"/>
	<sec:authentication-provider ref="rememberMeAuthenticationProvider"/>
</sec:authentication-manager>

<bean id="loginAuthenticationFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
	...
	<property name="rememberMeServices" ref="tokenBasedRememberMeServices"></property>
</bean>

<bean id="rememberMeAuthenticationProvider" class="org.springframework.security.authentication.RememberMeAuthenticationProvider">
	<property name="key" value="000016aad72443b3b78af239a0b6bd7c"/>
</bean>

<bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
	<property name="authenticationManager" ref="authenticationManager"></property>
	<property name="rememberMeServices" ref="tokenBasedRememberMeServices"></property>
</bean>

<bean id="tokenBasedRememberMeServices" class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
	<property name="key" value="000016aad72443b3b78af239a0b6bd7c"></property>
	<property name="userDetailsService" ref="userService"></property>
</bean>

注意几点:

1) 在authenticationManager里要加多一个authentication provider -- RememberMeAuthenticationProvider;

2) 要为UsernamePasswordAuthenticationFilter的rememberMeServices属性指定一个实例;

3) RememberMeAuthenticationProvider和TokenBasedRememberMeServices都要为它们的key属性指定一个唯一的值. 这个值可以用应用名加一个不少于36位长度的随机字符串. 这个key是用来识别当前应用的唯一值.

4) 在提交登录表单的时候, 一定要加多一个名的_spring_security_remember_me的参数(这个名字可以改), 值可以是"true", "yes", "on"或"1". 如下:

<form id="loginForm" method="POST" action="my_login">
	姓名: <input type="text" id="my_username" name="my_username"/><br>
	密码: <input type="password" id="my_password" name="my_password"/>
	<input type="button" value="登录" οnclick="login()"/><br>
	<input id="_spring_security_remember_me" name="_spring_security_remember_me" type="checkbox" value="true"/>
	<label for="_spring_security_remember_me">Remember Me?</label>
</form>

在Spring Security的过滤器链里, RememberMeAuthenticationFilter是排在UsernamePasswordAuthenticationFilter之后的. 在第一次登录时(如果勾选了remember me), 在验证信息正确后, AbstractAuthenticationProcessingFilter(UsernamePasswordAuthenticationFilter的父类)最后会调用一个叫successfulAuthentication()的方法:

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response,
		Authentication authResult) throws IOException, ServletException {

	if (logger.isDebugEnabled()) {
		logger.debug("Authentication success. Updating SecurityContextHolder to contain: " + authResult);
	}

	SecurityContextHolder.getContext().setAuthentication(authResult);

	// 调用rememberMeServices的loginSuccess()方法.
	rememberMeServices.loginSuccess(request, response, authResult);

	// Fire event
	if (this.eventPublisher != null) {
		eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
	}

	successHandler.onAuthenticationSuccess(request, response, authResult);
}
这个方法会调用rememberMeService的loginSuccess()方法(所以之前我们要在配置文件了为UsernamePasswordAuthenticationFilter配上它的rememberMeService实例). loginSuccess()方法最后会调用onLoginSuccess()方法. 上面我们配置的rememberMeService的实例是TokenBasedRememberMeServices. 现在我们看看它的onLoginSuccess()方法: 

public void onLoginSuccess(HttpServletRequest request, HttpServletResponse response,
		Authentication successfulAuthentication) {

	String username = retrieveUserName(successfulAuthentication);
	String password = retrievePassword(successfulAuthentication);

	// If unable to find a username and password, just abort as TokenBasedRememberMeServices is
	// unable to construct a valid token in this case.
	if (!StringUtils.hasLength(username)) {
		logger.debug("Unable to retrieve username");
		return;
	}

	if (!StringUtils.hasLength(password)) {
		UserDetails user = getUserDetailsService().loadUserByUsername(username);
		password = user.getPassword();

		if (!StringUtils.hasLength(password)) {
			logger.debug("Unable to obtain password for user: " + username);
			return;
		}
	}

	int tokenLifetime = calculateLoginLifetime(request, successfulAuthentication);
	long expiryTime = System.currentTimeMillis();
	// SEC-949
	expiryTime += 1000L* (tokenLifetime < 0 ? TWO_WEEKS_S : tokenLifetime);

	// 把用户名, cookie的过期时间, 登录密码和key组成一个字符串, 然后用MD5加密
	String signatureValue = makeTokenSignature(expiryTime, username, password);

	// 把加密字符串放进cookie里, 然后返回给浏览器
	setCookie(new String[] {username, Long.toString(expiryTime), signatureValue}, tokenLifetime, request, response);

	if (logger.isDebugEnabled()) {
		logger.debug("Added remember-me cookie for user '" + username + "', expiry: '"
				+ new Date(expiryTime) + "'");
	}
}
这个方法主设置了一个cookie在用户的浏览器上, 它包含一个Base64编码的字符串, 包含以下内容:
  • 用户的名字;
  • 过期的日期/时间;
  • 一个MD5的加密字符串, 包括过期日期/时间, 用户名和密码;
  • 应用的key值, 是在TokenBasedRememberMeServices实例的key属性中定义的.
这些内容将通过Base64加密然后组合成一个cookie的值存储在浏览器中以备后用.


此时, 在登录成功后, 我们可以从浏览器里看到返回的信息里多了一个名为SPRING_SECURITY_REMEMBER_ME_COOKIE的cookie信息.



在后面的每个请求里面, request对象里都会附上这个cookie信息,


即使我们登出了, 这个cookie信息还会继续存在,


接着, 如果我们不登录, 而是直接访问页面的话, 它会访问成功. 因为这个时候, RememberMeAuthenticationFilter过滤器将会检查cookie的内容并通过检查是否为一个认证过的remember-me cookie来认证用户.


RememberMeAuthenticationFilter的doFilter()方法如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
		throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;

	// 如果SecurityContext里没有包含Authentication对象
	if (SecurityContextHolder.getContext().getAuthentication() == null) {
	
		// 从request里解析出SPRING_SECURITY_REMEMBER_ME_COOKIE的信息, 然后转成一个RememberMeAuthenticationToken对象
		Authentication rememberMeAuth = rememberMeServices.autoLogin(request, response);

		if (rememberMeAuth != null) {
			// Attempt authenticaton via AuthenticationManager
			try {
				// 再判断rememberMeAuth对象里的key值是否与配置文件里的key值相同
				rememberMeAuth = authenticationManager.authenticate(rememberMeAuth);

				// Store to SecurityContextHolder
				SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);

				onSuccessfulAuthentication(request, response, rememberMeAuth);

				if (logger.isDebugEnabled()) {
					logger.debug("SecurityContextHolder populated with remember-me token: '"
						+ SecurityContextHolder.getContext().getAuthentication() + "'");
				}

				// Fire event
				if (this.eventPublisher != null) {
					eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
							SecurityContextHolder.getContext().getAuthentication(), this.getClass()));
				}

				if (successHandler != null) {
					successHandler.onAuthenticationSuccess(request, response, rememberMeAuth);

					return;
				}

			} catch (AuthenticationException authenticationException) {
				if (logger.isDebugEnabled()) {
					logger.debug("SecurityContextHolder not populated with remember-me token, as "
							+ "AuthenticationManager rejected Authentication returned by RememberMeServices: '"
							+ rememberMeAuth + "'; invalidating remember-me token", authenticationException);
				}

				rememberMeServices.loginFail(request, response);

				onUnsuccessfulAuthentication(request, response, authenticationException);
			}
		}

		chain.doFilter(request, response);
	} else {
		if (logger.isDebugEnabled()) {
			logger.debug("SecurityContextHolder not populated with remember-me token, as it already contained: '"
				+ SecurityContextHolder.getContext().getAuthentication() + "'");
		}

		chain.doFilter(request, response);
	}
}
它首先解析出cookie里的remember-me信息, 然后从数据库拿出用户的信息,  再比较两个信息是否一致, 来完成验证.

这里要注意 authenticationManager.authenticate(rememberMeAuth) 这个方法, 它会轮流调用authenticationManager里所有的AuthenticationProvider来进行验证. 而只有RememberMeAuthenticationProvider才能验证remember-me信息, 所有上面的配置文件里, 我们要为authenticationManager配多一个authentication-provider的实例 -- RememberMeAuthenticationProvider.

---------------------------------------

浏览器里的cookie信息什么时候会消失:

1) cookie自动过期

2) 手动清除浏览器的cookie信息(关闭浏览器不会自动清除cookie)

3) 登录一次失败后, 之前cookie里的remember-me信息会消失. (这个估计是RequestCacheAwareFilter的原因, 具体原因以后再补充)

py_xin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security3源码分析-RememberMeAuthenticationFilter分析
Dead_Knight的专栏
05-06 180
RememberMeAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter 看主要的doFilter方法 [code="java"] public void doFilter(ServletReq...
史上最简单的Spring Security教程(三十六):RememberMeAuthenticationFilter详解
银河架构师的博客
10-19 1346
前面我们讲了记住我登录方式,以及和其它登录方式相融合的多种登录形式,想必对记住我登录方式有了一个大致清晰的了解。本次我们就来说一下其中一个比较重要的Filter,即RememberMeAuthenticationFilter。 RememberMeAuthenticationFilter是记住我登录方式比较重要的类,其主要功能有自动登录、身份认证、登录成功、事件发布、异常处理/登录失败等。 另外,重要的一点是,该 Filter 执行有一个条件,就是当前用户尚未认证。 if...
Spring Security Web 5.1.2 源码解析 -- RememberMeAuthenticationFilter
Details Inside Spring
12-10 724
概述 检测SecurityContext是否已经有一个Authentication对象。如果没有,并且开启了remember-me认证机制的话,就会往SecurityContext里面填充一个RememberMeAuthenticationToken Authentication。 认证成功的话,会向应用上下文发布事件InteractiveAuthenticationSuccessEvent。 另...
springsecurity 源码解读 之 RememberMeAuthenticationFilter
weixin_33885253的博客
04-05 131
RememberMeAuthenticationFilter 的作用很简单,就是用于当session 过期后,系统自动通过读取cookie 让系统自动登录。 我们来看看Springsecurity的过滤器链条。 我们发现这个RememberMeAuthenticationFilter 在 匿名构造器之前,这个是为什么呢? 还是从源码来分析: if (SecurityContex...
SpringSecurity中文文档—Authentication—Remember Me
Logger
03-16 1553
Remember-me或persistent-login authentication 指的是网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送cookie来实现的,在未来的会话中会检测到cookie,并导致自动登录。Spring Security为这些操作提供了必要的hooks ,并有两个具体的Memory me实现。一种使用哈希来保护基于cookie的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。 请注意,这两种实现都需要UserDetailsService。如果您使用的身份
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
spring security 官方文档
10-08
Spring Security 是一个强大的安全框架,用于为Java应用提供全面的安全管理解决方案。它是Spring生态系统的组成部分,...无论你是初学者还是经验丰富的开发者,官方文档都是学习和掌握Spring Security不可或缺的资源。
浅析Spring Security登录验证流程
08-25
Spring Security登录验证流程是Spring Security框架中最核心的部分之一,本文将详细介绍Spring Security登录验证流程的源码解析,通过源码讲解登录验证流程,具有很高的参考价值。 一、登录认证基于过滤器链 ...
spring_security.zip
09-07
3. **过滤器链**:Spring Security 的核心在于一系列过滤器,如UsernamePasswordAuthenticationFilter、RememberMeAuthenticationFilter 等。这些过滤器按特定顺序处理请求,执行认证和授权逻辑。 4. **会话管理**:...
Spring Security如何在Servlet中执行
08-19
`FilterChainProxy`是Spring Security的核心组件之一,它扮演着Filter Chain的调度者角色。它会根据配置匹配请求,并调用合适的`SecurityFilterChain`来处理请求。在调试时,`FilterChainProxy`是很好的断点位置,...
spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法
小伍的程序之路
04-14 843
spring security 在使用自定义的AuthenticationFilter时,提示Invalid remember-me cookie,自动登录失败的解决方法 后台日志报错提示 Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’ 我自定义了一个Login
Shiro之UsernamePasswordToken&RememberMeAuthenticationToken&AuthenticationToken
优质后端技术知识记录
01-15 2674
继承关系 先看一下三者的继承关系,会有一个比较清楚的认识 AuthenticationToken AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码)。Shiro会调用CredentialsMatcher对象的doCredentialsMatch方法对AuthenticationInfo对象和AuthenticationToken进行匹配。匹配...
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2412
Spring Security 之 RememberMe
【深入浅出 Spring Security(七)】RememberMe的实现原理详讲
qq_63691275的博客
06-09 1617
RememberMe 实质呢就是将令牌以 Cookie 的形式响应给浏览器,然后浏览器进行了本地存储,等下次再次访问资源的时候,即会拿该令牌连请求一起到服务器端,令牌会使得后台进行自动登录(即用户认证)。
springSecurity-记住我(Remember me)
最新发布
weixin_54097396的博客
04-18 864
Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
Spring Security 自定义记住我功能!
weixin_52834606的博客
09-03 1511
spring security 前后端分离 自定义 RememberMe
spring-security(二十一)核心Filter-UsernamePasswordAuthenticationFilter
高枫的博客
03-04 588
一、UsernamePasswordAuthenticationFilter功能和属性 到目前为止,我们已经探讨了三个主要的filter,当采用默认配置时spring security会自动给我们追加这三个filter,现在我们的filter中还差一个处理用户认证的filter,下面我们就主要讨论下最常用的认证filter-UsernamePasswordAuthenticationFilter...
Spring Security RememberMe 记住密码自动登录过程源码分析
weixin_45114101的博客
03-04 5168
Spring Security RememberMe 记住密码自动登录过程源码分析
Shiro框架:缓存、session会话、自定义FormAuthenticationFilter、RemenberMe
张维鹏的博客
08-03 1524
上篇的地址:https://blog.csdn.net/a745233700/article/details/81350191   一、Shiro缓存--cacheManager: 针对上一篇授权的时候频繁查询数据库的问题,可以使用shiro缓存来解决。 1、缓存流程: (1)shiro中提供了对认证信息和授权信息的缓存。shiro默认是关闭认证信息缓存的,对于授权信息的缓存shiro默...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值