【Spring Security系列】Spring Security自动登录

最新推荐文章于 2023-04-18 14:38:34 发布
最新推荐文章于 2023-04-18 14:38:34 发布
阅读量893 收藏
点赞数
分类专栏: Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28248897/article/details/107041455
版权

1.为什么需要自动登录

当我们在某个网站上注册账号时,网站会对我们设置的登录密码提出要求。例如,有的网站要求使用固定位数的纯数字密码,有的网站则强制要求用户使用英文+数字组合成的密码,甚至要求加一些特殊符号来组成密码。总体而言,设定一个密码并不困难,真正的困难总是在下次登录时才会遇到。要么想不出网站要求的密码格式是什么,要么还原不了设置密码时的思维状态。总之,在几次尝试登录失败之后,大部分人会选择找回密码,从而再次陷入如何设置密码的循环里。为了尽可能减少用户重新登录的频率,在系统开发之初就需要考虑加入可以提升用户登录体验的功能。自动登录便是这样一个会给用户带来便利,同时也会给用户带来风险的体验性功能。自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验并建立登录态的一种机制。

Spring Security提供了两种非常好的令牌:

  • 用散列算法加密用户必要的登录信息并生成令牌。
  • 数据库等持久性数据存储机制用的持久化令牌。

散列算法在Spring Security中是通过加密几个关键信息实现的。

 

2.实现自动登录

(1)散列加密方案

在Spring Security中加入自动登录的功能非常简单。

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private MyUserDetailService userDetailService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/api/**").hasRole("ADMIN")
                .antMatchers("/user/api/**").hasRole("USER")
                .antMatchers("/app/api/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .csrf().disable()
            .formLogin()
                .and()
            .rememberMe().userDetailsService(userDetailService);
    }
}

前提是已经实现了一个 UserDetailsService。重启服务后访问受限 API,这次在表单登录页中多了一个可选框。

勾选“Remember me on this computer”可选框(简写为Remember-me),按照正常的流程登录,并在开发者工具中查看浏览器cookie,可以看到除JSESSIONID外多了一个值

 

这就是Spring Security默认自动登录的cookie字段。在不配置的情况下,过期时间是两个星期。

public abstract class AbstractRememberMeServices implements RememberMeServices,
		InitializingBean, LogoutHandler {
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String SPRING_SECURITY_REMEMBER_ME_COOKIE_KEY = "remember-me";
	public static final String DEFAULT_PARAMETER = "remember-me";
	public static final int TWO_WEEKS_S = 1209600;

	private static final String DELIMITER = ":";

	// ~ Instance fields
	// ================================================================================================
	protected final Log logger = LogFactory.getLog(getClass());

	protected final MessageSourceAccessor messages = SpringSecurityMessageSource
			.getAccessor();

	private UserDetailsService userDetailsService;
	private UserDetailsChecker userDetailsChecker = new AccountStatusUserDetailsChecker();
	private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource = new WebAuthenticationDetailsSource();

	private String cookieName = SPRING_SECURITY_REMEMBER_ME_COOKIE_KEY;
	private String cookieDomain;
	private String parameter = DEFAULT_PARAMETER;
	private boolean alwaysRemember;
	private String key;
	private int tokenValiditySeconds = TWO_WEEKS_S;
	private Boolean useSecureCookie = null;
	private GrantedAuthoritiesMapper authoritiesMapper = new NullAuthoritiesMapper();

	protected AbstractRememberMeServices(String key, UserDetailsService userDetailsService) {
		Assert.hasLength(key, "key cannot be empty or null");
		Assert.notNull(userDetailsService, "UserDetailsService cannot be null");
		this.key = key;
		this.userDetailsService = userDetailsService;
	}

	@Override
	public void afterPropertiesSet() {
		Assert.hasLength(key, "key cannot be empty or null");
		Assert.notNull(userDetailsService, "A UserDetailsService is required");
	}

	/**
	 * Template implementation which locates the Spring Security cookie, decodes it into a
	 * delimited array of tokens and submits it to subclasses for processing via the
	 * <tt>processAutoLoginCookie</tt> method.
	 * <p>
	 * The returned username is then used to load the UserDetails object for the user,
	 * which in turn is used to create a valid authentication token.
	 */
	@Override
	public final Authentication autoLogin(HttpServletRequest request,
			HttpServletResponse response) {
		String rememberMeCookie = extractRememberMeCookie(request);

		if (rememberMeCookie == null) {
			return null;
		}

		logger.debug("Remember-me cookie detected");

		if (rememberMeCookie.length() == 0) {
			logger.debug("Cookie was empty");
			cancelCookie(request, response);
			return null;
		}

		UserDetails user = null;

		try {
			String[] cookieTokens = decodeCookie(rememberMeCookie);
			user = processAutoLoginCookie(cookieTokens, request, response);
			userDetailsChecker.check(user);

			logger.debug("Remember-me cookie accepted");

			return createSuccessfulAuthentication(request, user);
		}
		catch (CookieTheftException cte) {
			cancelCookie(request, response);
			throw cte;
		}
		catch (UsernameNotFoundException noUser) {
			logger.debug("Remember-me login was valid but corresponding user not found.",
					noUser);
		}
		catch (InvalidCookieExc
最低0.47元/天 解锁文章
光阴似键
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security系列Spring Security注销登录
qq_28248897的博客
06-30 444
认证系统往往都带有注销登录功能,Spring Security也提供了这方面的支持。事实上,从我们编写配置类继承WebSecurityConfigurerAdapter的那一刻起,Spring Security就已经为我们的系统埋入了注销的逻辑。 protected final HttpSecurity getHttp() throws Exception { if (http != null) { return http; } AuthenticationEventPublishe
详解使用Spring Security进行自动登录验证
08-29
本篇文章主要介绍了详解使用Spring Security进行自动登录验证,非常具有实用价值,需要的朋友可以参考下
Druid 数据源连接池配置
roydon
11-20 7686
Spring Boot 的配置文件中对 Druid 数据源连接池进行配置 # Druid连接池的配置 spring: datasource: druid: initial-size: 5 #初始化连接大小 min-idle: 5 #最小连接池数量 max-active: 20 #最大连接池数量 max-wait: 60000 #获取连接时最大等待时间,单位毫秒 time-between-eviction-runs-millis: 6
Spring Security Config : HttpSecurity安全配置器 RememberMeConfigurer
Details Inside Spring
07-01 1550
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,RememberMeConfigurer的配置任务如下 : 配置如下安全过滤器Filter RememberMeAuthenticationFilter 属性authenticationManager使用共享对象AuthenticationManager 属性rememberMeServices 来自 ...
spring security 自动登录
有范编程
03-07 434
Spring Security记住自动登录,安全和便捷 用户登录网后,一般情况为了用户的账号安全如果停留网站太久没有操作,或者隔一段时间再打开,浏览器就会跳转到用户的登录界面,但是如果是自己的电脑,设置了屏幕锁密码,又经常访问的网站,就会想让它自动登录。所以有的网站登录页多一个勾选的按钮有了免登录三天,或者自动登录自动登录实现原理 在用户勾选自动登录成功后,后端生成两个cookie浏览器本地存储,set-cookie remember-me来存储免登录用户名,过期时间。cookie session标识
Spring Security自动登录
​​
05-27 575
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 中如何实现这个功能。 实战代码 首先,要实现记住我这个
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我下次自动登录功能过程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍...
Spring Security实现验证码登录功能
08-25
验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序的攻击和恶意攻击。下面是Spring Security实现验证码登录功能的知识点: 知识点一:Spring Security验证码登录功能的实现原理 Spring ...
spring security实现下次自动登录功能过程解析
08-25
在本文中,我们将深入探讨如何使用Spring Security实现“记住我”功能,以便用户在下次访问时能够自动登录。 一、原理分析 “记住我”功能的核心在于使用Cookie来保存用户的登录状态。当用户首次登录并勾选“记住我...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
SpringSecurity实现自动登录
Kk_Chosen1的博客
08-21 720
在日常的上网中,各种网站需要登陆之后才能使用,而频繁的输入用户名和密码也是够令人烦恼的。那么自动登录就解决了这一痛点,就比如登录qq邮箱时就有这一选项。今天正好学到使用spring security可以实现这一功能,因此前来记录一下。简而言之,当用户在第一次登陆之后spring security会生成一个加密的字符串存放在cookie中,同时在数据库中也会存放加密字符串和用户的信息加密字符串。等下一次访问时就会比较cookie与数据库之间的数据,如果一致那么就能免去登录了。
Spring Security Config : UserDetailsServiceConfigurer
Details Inside Spring
06-02 527
概述 介绍 UserDetailsServiceConfigurer是Spring Security Config提供的一个安全配置器基类,用于配置安全构建器ProviderManagerBuilder,它继承自AbstractDaoAuthenticationConfigurer。UserDetailsServiceConfigurer对来自基类的能力作了如下定义 : 扩展定义 : 提供一个初...
05 SpringSecurity-实现自动登录
01-19 2951
文章配套代码:https://gitee.com/lookoutthebush/spring-security-demo 自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验 并建立登录态的一种机制。 Spring Security提供了两种非常好的令牌: 用散列算法加密用户必要的登录信息并生成令牌。 数据库等持久性数据存储机制用的持久化令牌。 散列算法在Spring Security中是通过加密几个关键信息实现的: hashInfo = md5Hex(us
SpringSecurity自动登录
xkshihaoren的博客
11-29 469
1 散列加密方案 在spring security中加入自动登录功能: @Autowired private MyUserDetailsService userDetailsService; protected void configure(HttpSecurity http){ http...... .formLogin() .and() .rememberMe()...
Spring Security 实现自动登录
moran_3346的博客
04-18 132
以上两张图是自动配置相关的配置代码。
关于SpringSecurity设置Cookie的问题
m0_67393593的博客
03-24 3775
关于前后端分离SpringSecurity设置Cookie的问题 今天刚入手SpringSecurity,很多不是太懂,在github找到个dome github地址:https://github.com/ChinaSilence/spring-security-demos 然后发现SpringSecurity登录成功之后访问需要登录的接口依然是返回未登录,看了demo中的文档,登录成功之后响应头会携带一个cookie绑定到本地,然后请求需要登录的接口的时候需要携带这个cookie。 在登录接口响应头中有
Spring Security前置知识3--Cookie与Web Storage
天下英雄出我辈,一入江湖岁月催
03-28 3200
文章目录一、概述二、Cookie产生背景三、Cookie值在哪里设置四、Cookie有哪些属性五、Cookie存储在哪里六、Cookie如何传到后台七、后台如何处理Cookie八、Cookie存储空间与数量的限制九、Web本地存储(Web Storage)1、Web Storage的产生2、Web Storage简单介绍3、Web Storage的问题4、LocalStorage用于存储Jwt T...
Spring Security怎么记住我们的登录信息
bangiao的博客
02-03 930
小白: “过程虽然简单, 但我觉得你这也不安全吧?不过是换了个名字么?照样不安全吧?小黑: “spring security使用默认的remember-me肯定是不安全的, 你需要开启持久化功能, 也就是下图红框框的类”小白: “那你要怎么修改它内部使用哪个类的呢?小黑: “你有两种方式”和小黑: “也就是这两种方式”小黑: “从他们前面的源码可以看出, 这两种方式有优先级区别, 明显第一种优先级高于后面的。
springsecurity实现自动登录
最新发布
09-06
要实现Spring Security自动登录功能,你可以按照以下步骤进行操作: 1. 确保你已经将Spring Security添加到你的项目中,并配置好了基本的安全设置。 2. 创建一个实现了`UserDetailsService`接口的类,用于从数据库或其他数据源中加载用户信息。该接口中的`loadUserByUsername`方法根据用户名返回一个`UserDetails`对象,其中包含了用户的信息和权限。 3. 在Spring Security的配置文件中,使用`rememberMe()`方法启用自动登录功能,并配置相关参数。例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .rememberMe() .key("yourSecretKey") // 设置一个密钥,用于生成和验证令牌 .userDetailsService(userDetailsService); // 设置刚才创建的UserDetailsService实现类 } ``` 4. 在用户登录成功后,使用`RememberMeServices`接口提供的方法生成一个持久化的令牌,并将其发送给客户端。 ```java @Autowired private RememberMeServices rememberMeServices; @PostMapping("/login") public String login(HttpServletRequest request, HttpServletResponse response) { // 处理用户登录逻辑 // 生成一个持久化的令牌并发送给客户端 rememberMeServices.loginSuccess(request, response, authentication); } ``` 5. 在应用程序启动时,配置一个`PersistentTokenRepository`实现类来管理持久化令牌的存储和检索。你可以选择将令牌存储在数据库中或其他持久化存储器中。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // ... @Bean public PersistentTokenRepository persistentTokenRepository() { // 配置持久化令牌的存储和检索方式 // 例如,可以使用JdbcTokenRepositoryImpl将令牌存储在数据库中 JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl(); tokenRepository.setDataSource(dataSource); return tokenRepository; } } ``` 通过按照以上步骤进行配置,你就可以实现Spring Security自动登录功能了。当用户登录成功并选择“记住我”选项时,下次访问应用程序时就会自动使用持久化的令牌进行登录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值