Spring Security - RememberMeAuthenticationFilter

最新推荐文章于 2023-06-09 10:12:20 发布
最新推荐文章于 2023-06-09 10:12:20 发布
阅读量205 收藏 1
点赞数
分类专栏: spring Spring Security

RememberMeAuthenticationFilter的作用是, 当用户没有登录而直接访问资源时, 从cookie里找出用户的信息, 如果Spring Security能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统. 它先分析SecurityContext里有没有Authentication对象. 如果有, 则不做任何操作, 直接跳到下一个过滤器. 如果没有, 则检查request里有没有包含remember-me的cookie信息. 如果有, 则解析出cookie里的验证信息, 判断是否有权限.

它的基本配置如下:
 

<sec:http entry-point-ref="myAuthenticationEntryPoint">
	...
	<sec:custom-filter ref="rememberMeFilter" position="REMEMBER_ME_FILTER"/>
</sec:http>
 
<sec:authentication-manager alias="authenticationManager">
	<sec:authentication-provider ref="authenticationProvider"/>
	<sec:authentication-provider ref="rememberMeAuthenticationProvider"/>
</sec:authentication-manager>
 
<bean id="loginAuthenticationFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
	...
	<property name="rememberMeServices" ref="tokenBasedRememberMeServices"></property>
</bean>
 
<bean id="rememberMeAuthenticationProvider" class="org.springframework.security.authentication.RememberMeAuthenticationProvider">
	<property name="key" value="000016aad72443b3b78af239a0b6bd7c"/>
</bean>
 
<bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
	<property name="authenticationManager" ref="authenticationManager"></property>
	<property name="rememberMeServices" ref="tokenBasedRememberMeServices"></property>
</bean>
 
<bean id="tokenBasedRememberMeServices" class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
	<property name="key" value="000016aad72443b3b78af239a0b6bd7c"></property>
	<property name="userDetailsService" ref="userService"></property>
</bean>

注意几点:

1) 在authenticationManager里要加多一个authentication provider -- RememberMeAuthenticationProvider;

2) 要为UsernamePasswordAuthenticationFilter的rememberMeServices属性指定一个实例;

3) RememberMeAuthenticationProvider和TokenBasedRememberMeServices都要为它们的key属性指定一个唯一的值. 这个值可以用应用名加一个不少于36位长度的随机字符串. 这个key是用来识别当前应用的唯一值.

4) 在提交登录表单的时候, 一定要加多一个名的_spring_security_remember_me的参数(这个名字可以改), 值可以是"true", "yes", "on"或"1". 如下:
 

<form id="loginForm" method="POST" action="my_login">
	姓名: <input type="text" id="my_username" name="my_username"/><br>
	密码: <input type="password" id="my_password" name="my_password"/>
	<input type="button" value="登录" onclick="login()"/><br>
	<input id="_spring_security_remember_me" name="_spring_security_remember_me" type="checkbox" value="true"/>
	<label for="_spring_security_remember_me">Remember Me?</label>
</form>

在Spring Security的过滤器链里, RememberMeAuthenticationFilter是排在UsernamePasswordAuthenticationFilter之后的. 在第一次登录时(如果勾选了remember me), 在验证信息正确后, AbstractAuthenticationProcessingFilter(UsernamePasswordAuthenticationFilter的父类)最后会调用一个叫successfulAuthentication()的方法:
 

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response,
		Authentication authResult) throws IOException, ServletException {
 
	if (logger.isDebugEnabled()) {
		logger.debug("Authentication success. Updating SecurityContextHolder to contain: " + authResult);
	}
 
	SecurityContextHolder.getContext().setAuthentication(authResult);
 
	// 调用rememberMeServices的loginSuccess()方法.
	rememberMeServices.loginSuccess(request, response, authResult);
 
	// Fire event
	if (this.eventPublisher != null) {
		eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
	}
 
	successHandler.onAuthenticationSuccess(request, response, authResult);
}

这个方法会调用rememberMeService的loginSuccess()方法(所以之前我们要在配置文件了为UsernamePasswordAuthenticationFilter配上它的rememberMeService实例). loginSuccess()方法最后会调用onLoginSuccess()方法. 上面我们配置的rememberMeService的实例是TokenBasedRememberMeServices. 现在我们看看它的onLoginSuccess()方法:
 

public void onLoginSuccess(HttpServletRequest request, HttpServletResponse response,
		Authentication successfulAuthentication) {
 
	String username = retrieveUserName(successfulAuthentication);
	String password = retrievePassword(successfulAuthentication);
 
	// If unable to find a username and password, just abort as TokenBasedRememberMeServices is
	// unable to construct a valid token in this case.
	if (!StringUtils.hasLength(username)) {
		logger.debug("Unable to retrieve username");
		return;
	}
 
	if (!StringUtils.hasLength(password)) {
		UserDetails user = getUserDetailsService().loadUserByUsername(username);
		password = user.getPassword();
 
		if (!StringUtils.hasLength(password)) {
			logger.debug("Unable to obtain password for user: " + username);
			return;
		}
	}
 
	int tokenLifetime = calculateLoginLifetime(request, successfulAuthentication);
	long expiryTime = System.currentTimeMillis();
	// SEC-949
	expiryTime += 1000L* (tokenLifetime < 0 ? TWO_WEEKS_S : tokenLifetime);
 
	// 把用户名, cookie的过期时间, 登录密码和key组成一个字符串, 然后用MD5加密
	String signatureValue = makeTokenSignature(expiryTime, username, password);
 
	// 把加密字符串放进cookie里, 然后返回给浏览器
	setCookie(new String[] {username, Long.toString(expiryTime), signatureValue}, tokenLifetime, request, response);
 
	if (logger.isDebugEnabled()) {
		logger.debug("Added remember-me cookie for user '" + username + "', expiry: '"
				+ new Date(expiryTime) + "'");
	}
}

这个方法主设置了一个cookie在用户的浏览器上, 它包含一个Base64编码的字符串, 包含以下内容:
用户的名字;
过期的日期/时间;
一个MD5的加密字符串, 包括过期日期/时间, 用户名和密码;
应用的key值, 是在TokenBasedRememberMeServices实例的key属性中定义的.
这些内容将通过Base64加密然后组合成一个cookie的值存储在浏览器中以备后用.
此时, 在登录成功后, 我们可以从浏览器里看到返回的信息里多了一个名为SPRING_SECURITY_REMEMBER_ME_COOKIE的cookie信息.

即使我们登出了, 这个cookie信息还会继续存在,

接着, 如果我们不登录, 而是直接访问页面的话, 它会访问成功. 因为这个时候, RememberMeAuthenticationFilter过滤器将会检查cookie的内容并通过检查是否为一个认证过的remember-me cookie来认证用户.

 

qq_489366879
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security学习笔记之RememberMeAuthenticationFilter
py_xin的博客
09-28 7344
基本配置如下: ...
Spring Security3源码分析-RememberMeAuthenticationFilter分析
Dead_Knight的专栏
05-06 202
RememberMeAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter 看主要的doFilter方法 [code="java"] public void doFilter(ServletReq...
史上最简单的Spring Security教程(三十六):RememberMeAuthenticationFilter详解
银河架构师的博客
10-19 1351
前面我们讲了记住我登录方式,以及和其它登录方式相融合的多种登录形式,想必对记住我登录方式有了一个大致清晰的了解。本次我们就来说一下其中一个比较重要的Filter,即RememberMeAuthenticationFilter。 RememberMeAuthenticationFilter是记住我登录方式比较重要的类,其主要功能有自动登录、身份认证、登录成功、事件发布、异常处理/登录失败等。 另外,重要的一点是,该 Filter 执行有一个条件,就是当前用户尚未认证。 if...
Spring Security Web 5.1.2 源码解析 -- RememberMeAuthenticationFilter
Details Inside Spring
12-10 726
概述 检测SecurityContext是否已经有一个Authentication对象。如果没有,并且开启了remember-me认证机制的话,就会往SecurityContext里面填充一个RememberMeAuthenticationToken Authentication。 认证成功的话,会向应用上下文发布事件InteractiveAuthenticationSuccessEvent。 另...
springsecurity 源码解读 之 RememberMeAuthenticationFilter
weixin_33885253的博客
04-05 134
RememberMeAuthenticationFilter 的作用很简单,就是用于当session 过期后,系统自动通过读取cookie 让系统自动登录。 我们来看看Springsecurity的过滤器链条。 我们发现这个RememberMeAuthenticationFilter 在 匿名构造器之前,这个是为什么呢? 还是从源码来分析: if (SecurityContex...
SpringSecurity-从入门到精通文章的源码文件
10-25
Spring Security 是一个强大的安全框架,用于为 Java 应用程序提供认证和授权功能。这篇文章的源码文件将引领我们深入理解 Spring Security 的核心概念和实际应用。以下是对这些知识点的详细解析: 1. **Spring ...
spring-security-4.1.2.RELEASE-dist.zip
08-16
5. **过滤器链**:Spring Security的核心是基于Filter的,它通过定义一系列安全相关的过滤器,如`DelegatingAuthenticationEntryPoint`、`RememberMeAuthenticationFilter`等,来处理HTTP请求,实现安全控制。...
spring-security-xml:Spring安全演示
05-11
此外,Spring Security还提供了丰富的过滤器链,如`BasicAuthenticationFilter`、`RememberMeAuthenticationFilter`等,它们负责处理HTTP请求的不同方面,如基本认证、记住我功能等。 对于Spring MVC应用程序,...
spring-security-3.1.0.RELEASE
12-29
3. **过滤器链**:Spring Security的核心在于它的过滤器链,包括BasicAuthenticationFilter、RememberMeAuthenticationFilter等,它们在HTTP请求处理过程中介入,实现认证和授权。 二、配置与定制 1. **XML配置**...
SpringSecurity中文文档—Authentication—Remember Me
Logger
03-16 1556
Remember-me或persistent-login authentication 指的是网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送cookie来实现的,在未来的会话中会检测到cookie,并导致自动登录。Spring Security为这些操作提供了必要的hooks ,并有两个具体的Memory me实现。一种使用哈希来保护基于cookie的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。 请注意,这两种实现都需要UserDetailsService。如果您使用的身份
spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法
小伍的程序之路
04-14 851
spring security 在使用自定义的AuthenticationFilter时,提示Invalid remember-me cookie,自动登录失败的解决方法 后台日志报错提示 Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’ 我自定义了一个Login
Shiro之UsernamePasswordToken&RememberMeAuthenticationToken&AuthenticationToken
优质后端技术知识记录
01-15 2679
继承关系 先看一下三者的继承关系,会有一个比较清楚的认识 AuthenticationToken AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码)。Shiro会调用CredentialsMatcher对象的doCredentialsMatch方法对AuthenticationInfo对象和AuthenticationToken进行匹配。匹配...
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2438
Spring Security 之 RememberMe
【深入浅出 Spring Security(七)】RememberMe的实现原理详讲
最新发布
qq_63691275的博客
06-09 1834
RememberMe 实质呢就是将令牌以 Cookie 的形式响应给浏览器,然后浏览器进行了本地存储,等下次再次访问资源的时候,即会拿该令牌连请求一起到服务器端,令牌会使得后台进行自动登录(即用户认证)。
Spring Security 自定义记住我功能!
weixin_52834606的博客
09-03 1755
spring security 前后端分离 自定义 RememberMe
Spring Security RememberMe 记住密码自动登录过程源码分析
weixin_45114101的博客
03-04 5335
Spring Security RememberMe 记住密码自动登录过程源码分析
springboot2.0之配置spring security记住我(rememberMe功能)不起作用的原因
weixin_40240756的博客
05-04 3608
刚入门spring security,感觉东西有点多,不好好研究出了问题都不知道为什么。 rememberMe功能配置核心代码(有问题的): protected void configure(HttpSecurity http) throws Exception { List<SysPermission> allPermission = permissionFe...
深入解析Spring Security 3源码
"Spring Security源码分析.pdf" Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。这份PDF文档详细分析了Spring Security 3的源代码,帮助开发者深入理解其内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值