SpringBoot集成Spring Security(4)—— 自动登录2

最新推荐文章于 2022-09-03 17:05:23 发布
最新推荐文章于 2022-09-03 17:05:23 发布
阅读量224 收藏
点赞数
分类专栏: spring security 文章标签: Spring Security SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34975710/article/details/110131693
版权

文章目录

一、前言

        上一篇介绍了关于自动登录无持久化方式的内容,通过源码我们知道这种方式的cookie中包含了用户名、密码,这个从安全性上讲是存在风险的,那还有另一种方式就是通过数据库持久化cookie所包含的信息,并且是跟用户名、密码不相关的内容。

二、实现

        Spring Security中已经定义好了对于数据库操作的类JdbcTokenRepositoryImpl,所以不需要我们自己定义了,但是存储数据的表默认是没有的需要创建。那在原有的基础上在SecurityConfig类中要增加一些内容:

// 导入数据源
@Autowired
DataSource dataSource;

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .csrf().disable() // CSRF(跨站请求伪造)禁用,默认开启,会检测请求中是否包含令牌,没有则拒绝并返回403
            .authorizeRequests()
            // 对静态资源放行
            .mvcMatchers(HttpMethod.GET,
                    "/*.html",
                    "/**/*.html",
                    "/**/*.css",
                    "/**/*.js")
            .permitAll()
            .anyRequest().authenticated()// 除了上面其他都必须鉴权
            .and()
            .formLogin().loginPage("/loginPage")// 未认证时访问跳转登录页面
            .loginProcessingUrl("/doLogin")// 表单登录url设置,默认/login
            // 登录成功跳转
            .defaultSuccessUrl("/main",true)
            .permitAll()
            .and()
            .logout().permitAll()
            .and()
            .rememberMe() // 自动登录
            .tokenRepository(jdbcTokenRepository()) // 添加;
}

// 注入JdbcTokenRepositoryImpl 
@Bean
public JdbcTokenRepositoryImpl jdbcTokenRepository(){
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    // 表示自动创建表,但是如果重复启动则会报异常,提示表存在了
    // jdbcTokenRepository.setCreateTableOnStartup(true);
    jdbcTokenRepository.setDataSource(dataSource); // 设置数据源
    return jdbcTokenRepository;
}

要注入数据源,还有操作数据库的bean,上面有个注释提到的在jdbcTokenRepository中是可以设置自动创建数据表,但是问题也在注释说明了,那我们其实可以把JdbcTokenRepository中创建表的语句拷贝出来自己手动建表就行了。

// 建表的方法
protected void initDao() {
    if (this.createTableOnStartup) {
        this.getJdbcTemplate().execute("create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)");
    }
}

建表sql:

create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)

建完表然后运行,登录成功后查看数据库:
在这里插入图片描述

三、细节

        下面来看下这种方式的cookie是一些什么内容,上面提到过这种方式的cookie内容与用户名、密码无关,具体源码位于PersistentTokenBasedRememberMeServices:

    protected void onLoginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication) {
        String username = successfulAuthentication.getName();
        this.logger.debug("Creating new persistent login for user " + username);
        // 创建token
        PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(username, this.generateSeriesData(), this.generateTokenData(), new Date());

        try {
        	// 添加到数据库
            this.tokenRepository.createNewToken(persistentToken);
            // 创建cookie并添加到response
            this.addCookie(persistentToken, request, response);
        } catch (Exception var7) {
            this.logger.error("Failed to save persistent token ", var7);
        }

    }
    
    protected String generateSeriesData() {
        byte[] newSeries = new byte[this.seriesLength];
        this.random.nextBytes(newSeries);
        return new String(Base64.getEncoder().encode(newSeries));
    }

    protected String generateTokenData() {
        byte[] newToken = new byte[this.tokenLength];
        this.random.nextBytes(newToken);
        return new String(Base64.getEncoder().encode(newToken));
    }
    
    private void addCookie(PersistentRememberMeToken token, HttpServletRequest request, HttpServletResponse response) {
    	this.setCookie(new String[]{token.getSeries(), token.getTokenValue()}, this.getTokenValiditySeconds(), request, response);
    }

        其中PersistentRememberMeToken数据表persistent_logins对应表示持久化的token的实体类,包含了用户名,序列号、token、创建token的时间,其中序列号和token都是随机生成的,并且在addCookie中创建cookie用到的就只是序列号和token,就没有用户名、密码。
        那这种方式自动登录时又是怎么校验的,还是在这个类中的processAutoLoginCookie方法:

    protected UserDetails processAutoLoginCookie(String[] cookieTokens, HttpServletRequest request, HttpServletResponse response) {
        if (cookieTokens.length != 2) {
            throw new InvalidCookieException("Cookie token did not contain 2 tokens, but contained '" + Arrays.asList(cookieTokens) + "'");
        } else {
        	// 获取传过来cookie中的序列号
            String presentedSeries = cookieTokens[0];
            // 获取传过来cookie中的token
            String presentedToken = cookieTokens[1];
            // 通过序列号查询数据表,得到PersistentRememberMeToken对象
            PersistentRememberMeToken token = this.tokenRepository.getTokenForSeries(presentedSeries);
            if (token == null) {
                throw new RememberMeAuthenticationException("No persistent token found for series id: " + presentedSeries);
            } else if (!presentedToken.equals(token.getTokenValue())) {// token值判断
                this.tokenRepository.removeUserTokens(token.getUsername());
                throw new CookieTheftException(this.messages.getMessage("PersistentTokenBasedRememberMeServices.cookieStolen", "Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));
            } else if (token.getDate().getTime() + (long)this.getTokenValiditySeconds() * 1000L < System.currentTimeMillis()) {// 有效时间判断 
                throw new RememberMeAuthenticationException("Remember-me login has expired");
            } else {
                if (this.logger.isDebugEnabled()) {
                    this.logger.debug("Refreshing persistent login token for user '" + token.getUsername() + "', series '" + token.getSeries() + "'");
                }
				// 满足上面判断的话,就说明满足自动登录了
				// 创建新的PersistentRememberMeToken,主要是更新时间
                PersistentRememberMeToken newToken = new PersistentRememberMeToken(token.getUsername(), token.getSeries(), this.generateTokenData(), new Date());

                try {
                	// 更新数据表
                    this.tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(), newToken.getDate());
                    // 创建cookie并添加到response
                    this.addCookie(newToken, request, response);
                } catch (Exception var9) {
                    this.logger.error("Failed to update token: ", var9);
                    throw new RememberMeAuthenticationException("Autologin failed due to data access problem");
                }
				// 最后通过persistentRememberMeToken中的用户名获取用户数据
                return this.getUserDetailsService().loadUserByUsername(token.getUsername());
            }
        }
    }

上面的注释已经把过程写的很清楚了,主要就是通过cookie中的序列号查询数据表中已有的PersistentRememberMeToken数据进行比对,满足条件即可自动登录。

这种方式重启服务器也不会影响到此前用户的cookie的有效性了,只要是在期限内重启服务器也能正常自动登录。

YO_RUI
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+mybatis+gradle+thymeleaf+springsecurity
01-03
综上所述,"springboot+mybatis+gradle+thymeleaf+springsecurity"的项目组合,构建了一个功能完善的、安全的Web应用,涵盖了从数据存储、业务处理到用户界面呈现和安全防护的各个层面。开发者可以根据实际需求...
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
本文将深入探讨如何在SpringBoot项目集成SpringSecurity构建一个前后端分离的企业级人事管理系统。 首先,SpringBoot简化了Spring应用的初始化和配置过程,使得开发者可以快速搭建项目结构。在这个案例中,...
SpringBoot集成SpringSecurity - 自动登录(二)
Lambda
07-23 277
源码地址:https://github.com/springsecuritydemo/microservice-auth-center02 在上一章入门案例 中,我们实现了入门程序,本篇我们在上一章的基础上完成自动登录功能。 一、修改登录页面:login.html 在登录页面中添加自动登录复选框,自动登录字段名必须为:remember-me <!DOCTYPE html&gt...
Springboot实现自动登录的功能
一个还在上学的程序缘
12-03 2148
目录: 概念 实现 自动登录是我们在软件开发一个非常常见的功能,例如我们登录 QQ登录界面会有记住密码这个功能,下次进入qq会进行自动登录。 浏览器的自动登录是指用户在登录成功后,在某一段间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 那么应该如何实现呢,其实spring security已经为我们提供了相应的支持。 实战: (1)创建spring工程,引入web和security的依赖。 pom.xml如下: <dependen
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3235
spring security 记住我 rememberMe
spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法
小伍的程序之路
04-14 837
spring security 在使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法 后台日志报错提示 Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’ 我自定义了一个Login
Invalid remember-me token (Series/token) mismatch
Memory_2020的博客
07-23 583
开启remember-me,关闭浏览器再登录后端报错 Invalid remember-me token (Series/token) mismatch.springsecurity
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
以上就是关于"SpringBoot集成Spring Security登录管理 添加 session 共享"的详细讲解。通过这个过程,我们可以创建一个安全且具有session共享功能的SpringBoot应用,为用户提供一致的登录体验。实际操作,应根据...
基于SpringBoot+SpringSecurity的RBAC管理系统.zip
最新发布
05-18
【毕业设计&课程设计】:这个项目可能是作为计算机科学或相关专业学生的毕业设计或课程设计项目,目的是让学生实践企业级应用开发,理解并掌握SpringBootSpringSecurity集成,以及RBAC模型在实际系统中的应用。...
基于SpringBoot+SpringSecurity+Thymeleaf新冠疫情管理系统设计源码案例设计.zip
04-20
本系统设计案例采用的是现代Web开发的主流技术栈——SpringBootSpringSecurity和Thymeleaf,旨在构建一个新冠疫情的管理平台,实现数据的高效存储、安全访问以及用户友好的界面展示。以下将对这三个核心组件进行...
Spring Security系列教程16--基于持久化令牌方案实现自动登录
一一哥
10-09 3267
前言 在上一章节中,一一哥 带各位基于散列加密方案实现了自动登录,并且给各位介绍了散列加密算法,其实还有另一种自动登录的实现方案,也就是基于持久化令牌方案来进行实现。接下来请跟 一一哥 学习这种方案该怎么实现吧。 一. 持久化令牌方案简介 1. 持久化令牌方案 有的小伙伴会问,既然我们要基于持久化令牌来实现自动登录,那啥是持久化令牌啊?所以 一一哥 先给大家做个概念解释。 所谓的持久化令牌的实现方案,其实在交互上与我们前面章节讲的散列加密方案一致,只不过是在用户勾选Remember-me之后,将生
Spring——Security安全框架之记住我
专注写bug
02-24 3851
文章目录简介思维逻辑配置和测试数据库创建配置类注入数据源,配置操作数据库对象配置config(HttpSecurity)页面增加记住我选项测试注意事项原理分析代码下载 简介 在一般的网站中,比如Bilibili。当用户登录成功后,关闭浏览器后,下次重新进入网站,可以自动登录。 本次就来探究如何实现这种自动登录、记住我的功能。 思维逻辑 需要实现记住我的功能操作,需要保证具体的实现方式,接下来就来梳理下。 首先,在Security框架中,针对记住我的功能实现,Security框架本身对其做了一定的封装,其实现
SpringSecurity(七)添加记住我功能
lizc_lizc的博客
11-14 1594
记住我基本原理 用户认证成功后调用RemeberMeService服务,这个服务里有一个TokenRepository,它会生成一个Token写入浏览器Cookie,同它还会使用TokenRepository将Token和用户名写入到数据库中。 当用户再次访问系统,过滤器链如下所示,请求会经过RememberMeAuthenticationFilter过滤器,该过滤器会读取cookie...
SpringBoot整合SpringSecurity系列(5)-登录状态控制
TianXinCoord的博客
04-18 1343
文章目录一、Remember Me1.1 PersistentTokenRepository1.2 "记住我"功能配置二、系统退出控制三、403处理方案 一、Remember Me Spring Security中 Remember Me 为“记住我”功能,用户只需要在登录添加remember-me复选框,取值为true Spring Security在用户登录后会自动登录信息存储到数据库,后续就可以不登录进行访问 Spring Security实现Remember Me功能底层实现依赖spring-
spring-Security(三):记住我,实现下次免登录
liyu121的博客
05-12 7556
记住我基本原理用户认证成功之后调用RemeberMeService根据用户名名生成Token由TokenRepository写入到数据库,同也将Token写入到浏览器的Cookie中重启服务之后,用户再次登入系统会由RememberMeAuthenticationFilter拦截,从Cookie中读取Token信息,与persistent_logins表匹配判断是否使用记住我功能。最中由User...
Spring Security(四):认证(Authentication)-记住我
人不风流枉少年
05-21 3953
1. pom.xml 增加mybatis和mysql依赖 <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>1.3.2...
SpringSecurity学习笔记三
我就是我的博客
10-25 577
基于用户名、密码的"记住我"功能 SpringBoot 2.2.0.RELEASE <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</art...
使用Spring Security进行自动登录验证
qy20115549的博客
09-25 3839
**原文来自师兄的博客**: http://blog.csdn.net/df19900725/article/details/78085152http://www.datalearner.com/blog/1051506310769424在之前的博客使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法 中,我们描述了如何配置一个基于Sp
Springboot集成SpringSecurity实现登录和权限管理代码
06-07
好的,下面是 SpringBoot 集成 SpringSecurity 实现登录和权限管理的示例代码: 首先,我们需要在 pom.xml 中添加 SpringSecurity 的依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值