spring security 记住我在web和前后端分离如何使用

已于 2024-08-30 14:47:36 修改
阅读量423 收藏 9
点赞数 8
分类专栏: spirng security 文章标签: spring 前端 java
于 2024-08-30 14:44:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36260963/article/details/141717470
版权

一、传统web开发准备工作

如果不懂原理的话,去看上一篇文章:CSDNicon-default.png?t=N7T8https://mp.csdn.net/mp_blog/creation/editor/141716695

导入需要的依赖包,在传统web页面开发比较简单,我们设置只需要在页面请求参数加上一个remember-me 即可,值可以为:true,on,yes,1 均可

 <dependencies>
        <!-- web 支持 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- SpringSecurity依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>

        <!-- 简化get set 方法-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.30</version>
        </dependency>

        <!-- mybatis 支持 -->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>

        <!-- mysql 驱动 -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.30</version>
        </dependency>

    </dependencies>



    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

1.1  效果图

1.2 前端代码,自定义登录页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <link rel="stylesheet" href="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/css/bootstrap.min.css">
    <script src="https://cdn.staticfile.org/jquery/2.1.1/jquery.min.js"></script>
    <script src="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/js/bootstrap.min.js"></script>
    <title>登录</title>
    <style type="text/css">
        .form-horizontal{margin-top: 3%;}
    </style>
</head>
<body>
<form role="form" class="form-horizontal" th:action="@{/doLogin.do}" method="post">
    <div class="form-group">
        <label class="control-label col-sm-2">账号</label>
        <div class="col-sm-8">
            <input type="text" class="form-control" name="loginId" placeholder="请输入登录账号">
        </div>
    </div>
    <div class="form-group">
        <label class="control-label col-sm-2">密码</label>
        <div class="col-sm-8">
            <input type="text" class="form-control" name="pwd"  placeholder="请输入密码">
        </div>
    </div>
   <!-- <div class="form-group">
        <label class="control-label col-sm-2">图形验证码</label>
        <div class="col-sm-4">
            <input type="text" class="form-control" name="verifyImg"  placeholder="请输入密码">
        </div>
        <div class="col-sm-4">
            <img src="/comm/kaptcha" id="kaptcha_id">
        </div>
    </div>-->
    <div class="form-group">
        <div class="col-sm-offset-2 col-sm-10">
            <div class="checkbox">
                <label>
                    <input type="checkbox" value="1" name="remember-me">请记住我
                </label>
            </div>
        </div>
    </div>
    <div class="form-group">
        <div class="col-sm-offset-2 col-sm-10">
            <button type="submit" class="btn btn-default">登录</button>
        </div>
    </div>
</form>

</body>
</html>

1.3 后端代码

该地方cookie是基于数据库的,但是可以使用基于内存的方式;

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {


    @Autowired
    private DataSource mysqlDataSource;


//    @Bean
//    public UserDetailsService userDetailsService() {
//        InMemoryUserDetailsManager userDetailsManager = new InMemoryUserDetailsManager();
//        UserDetails userDetails = User.withUsername("root").password("{noop}123456").authorities("admin").build();
//        userDetailsManager.createUser(userDetails);
//        return userDetailsManager;
//    }


    @Bean
    public UserDetailsService userDetailsService() {
        return new LoginUserServiceImpl();
    }



    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .mvcMatchers("/").permitAll()// 登录页面可直接访问
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginProcessingUrl("/doLogin.do") //登录请求url
                .loginPage("/")//默认登录页面
                .failureForwardUrl("/")//登录失败跳转url
                .defaultSuccessUrl("/hello",true)//登录成功跳转页,总是到 hello页面
                .usernameParameter("loginId")//用户名
                .passwordParameter("pwd")
                .and()
                .rememberMe()//开启记住我的功能
                .rememberMeParameter("remember-me")// 记住我请求参数
                //.rememberMeServices(rememberMeServices())  // 指定rememberMeServices 实现
                .tokenRepository(persistentTokenRepository()) //持久化令牌
                .and()
                .csrf().disable();
    }


    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl repository = new JdbcTokenRepositoryImpl();
        repository.setDataSource(mysqlDataSource);
        //repository.setCreateTableOnStartup(true);//自动创建表结构
        return repository;
}

1.4  设置session 过期时间为1分钟,看登录后cookie值变化

二、自定义页面记住我(前后端分离)

      前后端分离需要自己重写UsernamePasswordAuthenticationFilter 处理json类型的数据,还需要重写AbstractRememberMeServices 中的org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices#rememberMeRequested 中的方法,判断是否是需要记住我,同事需要记传一个UserDetailsService,PersistentTokenRepository 对象;传UserDetailsService的对象是因为记住我解析完cookie之后,会调用 loadUserByUsername的方法重新获取一次用户信息;

2.1 效果图

2.2 代码实现

只有后端代码配置,没有前端页面设置,数据为json格式传输

2.2.1 自定义LoginFilter

用来替代UsernamePasswordAuthenticationFilter 过滤器

public class LoginFilter extends UsernamePasswordAuthenticationFilter {


    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }

        // 判断请求类型是否为json
        if (MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(request.getContentType()) || MediaType.APPLICATION_JSON_UTF8_VALUE.equalsIgnoreCase(request.getContentType())) {
            try {
                Map<String,String> userInfMap = new ObjectMapper().readValue(request.getInputStream(), Map.class);
                String username = userInfMap.get(getUsernameParameter());
                String password = userInfMap.get(getPasswordParameter());

                // 记住我参数
                String remembersValue = userInfMap.get(AbstractRememberMeServices.DEFAULT_PARAMETER);
                request.setAttribute(AbstractRememberMeServices.DEFAULT_PARAMETER,remembersValue);

                UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
                setDetails(request, authRequest);
                return this.getAuthenticationManager().authenticate(authRequest);
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        // 走默认逻辑
        return super.attemptAuthentication(request, response);
    }
}

2.2.2 自定义RememberMeServices

主要是用来重写rememberMeRequested 拿到记住我的请求参数,

public class CustomerRemembersService extends PersistentTokenBasedRememberMeServices {


    public CustomerRemembersService(String key, UserDetailsService userDetailsService, PersistentTokenRepository tokenRepository) {
        super(key, userDetailsService, tokenRepository);
    }


    @Override
    protected boolean rememberMeRequested(HttpServletRequest request, String parameter) {
        String paramValue = request.getAttribute(parameter).toString();
        if (paramValue != null) {
            if (paramValue.equalsIgnoreCase("true") || paramValue.equalsIgnoreCase("on")
                    || paramValue.equalsIgnoreCase("yes") || paramValue.equals("1")) {
                return true;
            }
        }
        return false;
    }
}

2.2.3 将loginFilter和自定义PersistentTokenBasedRememberMeServices 加入搭配配置中

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {


    @Autowired
    private DataSource mysqlDataSource;


//    @Bean
//    public UserDetailsService userDetailsService() {
//        InMemoryUserDetailsManager userDetailsManager = new InMemoryUserDetailsManager();
//        UserDetails userDetails = User.withUsername("root").password("{noop}123456").authorities("admin").build();
//        userDetailsManager.createUser(userDetails);
//        return userDetailsManager;
//    }


    @Bean
    public UserDetailsService userDetailsService() {
        return new LoginUserServiceImpl();
    }



    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginProcessingUrl("/doLogin.do") //登录请求url
                .and()
                .rememberMe()//开启记住我的功能
                .rememberMeParameter("remember-me")// 记住我请求参数
                .rememberMeServices(rememberMeServices())  // 指定rememberMeServices 实现
                .and()
                .exceptionHandling()
                .authenticationEntryPoint((request, response, authException) -> {
                    // 未认证提示错误信息
                    Map<String,Object> resMap = new HashMap<>();
                    resMap.put("code","401");
                    resMap.put("msg","请认证后再来请求接口!");

                    WebUtils.writeJson(response,resMap);
                })
                .and()
                .csrf().disable();


        // 替换默认的认证器
        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }


    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl repository = new JdbcTokenRepositoryImpl();
        repository.setDataSource(mysqlDataSource);
        return repository;
    }


    @Bean
    public RememberMeServices rememberMeServices() {
        return new CustomerRemembersService("uuid"// 定义一个生成令牌的key
                ,userDetailsService()    //认证数据源
                ,persistentTokenRepository()  // 数据库方式
        );
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        loginFilter.setFilterProcessesUrl("/doLogin.do");// 登录请求的url
        loginFilter.setUsernameParameter("loginId");
        loginFilter.setPasswordParameter("pwd");

        // 认证成功时候处理
        loginFilter.setAuthenticationSuccessHandler(((request, response, authentication) -> {
            // 认证失败时候处理
            Map<String,Object> resMap = new HashMap<>();
            resMap.put("code","0000");
            resMap.put("msg","登录成功");
            resMap.put("data",authentication);

            WebUtils.writeJson(response,resMap);
        }));

        // 认证失败时候处理
        loginFilter.setAuthenticationFailureHandler(((request, response, exception) -> {
            Map<String,Object> resMap = new HashMap<>();
            resMap.put("code","401");
            resMap.put("msg",exception.getMessage());

            WebUtils.writeJson(response,resMap);
        }));


        // 设置自定义的认证数据源
        loginFilter.setAuthenticationManager(authenticationManagerBean());

        // 设置记住我,这个地方的记住非第一次登录时候
        loginFilter.setRememberMeServices(rememberMeServices());

        return loginFilter;
    }
}

2.3 最终使用postman 测试接口

2.4 remember 请求参数源码

  为什么请求参数是yes 或者on 都可以,请求的参数的key为remember-me

三、源码资源地址:

https://download.csdn.net/download/qq_36260963/89695919

星空寻流年
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security前后端分离认证及记住我踩坑
互联网编程爱好者
01-24 2232
Spring Security前后端分离认证 前言:Spring Securityspring提供的一个安全框架,提供了登录认证、密码保护、自动登录等。这是我目前学习到的功能,当然它的强大之处远不止这些了。Spring Security处理登录功能时使用的 form表单,底层获取参数使用的request.getParamter的形式获取的。但是前后端分离模式使用的是异步请求,所以在前后端分离模式下会出现很多问题。以下记录了我出现过的问题。 这里后端使用的是springboot+spring secur
Spring Security 前后端分离
Markix的博客
11-14 3344
前后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
如何在前后端分离项目中,使用Spring Security
繁依Fanyi的博客
08-08 941
使用 WebSecurityConfigurationAdapter 在前后端分离的架构中,通常使用 Token 进行认证和授权是一种常见的做法。Token 可以是 JSON Web Token(JWT),用于在客户端和服务器之间传递身份信息和访问控制信息。下面我将详细介绍如何在 Spring Boot 后端和 Vue 前端应用中使用 Token(JWT)来实现认证和授权。 后端(Spring Boot + Spring Security + JWT) 1. 添加依赖 首先,确保在你的 Spring Boo
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
Spring Security前后端分离实现
qq_42682745的博客
04-02 501
自定义UsernamePasswordAuthenticationFilter package com.monkeylessey.xp; import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.http.MediaType; import org.springframework.security.authentication.AuthenticationServiceException; import o
SpringSecurity前后端分离使用
make_progress的博客
07-07 2051
使用SpringSecurity实现安全认证,使用模拟redis的缓存机制,实现不同权限的登录设置。注:application.yml文件没有添加内容。 3.2 config包 3.2.1 WebSecurityConfig 安全配置 3.2.2 UserDetailsServiceImp 用户登录认证 3.2.3 AuthenticationEntryPointImp 用户登录状态认证 3.2.4 AccessDeniedHandlerImp 用户鉴权 3.3 filter包下Authentication
SpringSecurity实现前后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
使用JWT的SpringSecurity实现前后端分离
qq_59099003的博客
07-30 1012
JWT,前后端分离SpringSecurity
SpringSecurity + JWT(前后端分离
HGW的博客
09-30 5453
想必大四的小伙伴们陆陆续续开始写毕业设计了,对于网络安全框架SpringSecurity在网上的资源都是前后端不分离的,这里记录一下小伟的前后端分离版。
SpringSecurity + JWT实战(前后端分离
As_Yua的博客
08-05 1476
先来聊一聊什么是SpringSecurity ,在上一篇文章中已经聊过了,大家可以去看看接下来我们聊聊什么是JWTJson web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且的,特别适用于。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
springbootspringsecurity前后端分离(一个小demo)
08-21
总的来说,这个小demo展示了如何在Spring Boot和Spring Security的环境中实现前后端分离的安全控制,其中后端负责验证用户身份和授权,前端则根据后端的反馈来决定用户界面的行为。这样的设计模式在现代Web开发中...
一篇文章带你使用 Spring Security 完成前后端分离使用 JSON 进行交互
南淮北安的博客
09-14 6927
文章目录一、无状态登录1. 什么是有状态2. 什么是无状态3. 如何实现无状态4. 各自优缺点二、登录交互1, 前后端分离的数据交互2. 登录成功3. 登录擦除三、未认证处理方案四、注销登录五、代码 一、无状态登录 1. 什么是有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典型的设计如 Tomcat 中的 Session。例如登录:用户登录后,我们把用户的信息保存在服务端 session 中,并且给用户一个 cookie 值,记录对应的 sessi
SpringBoot项目中mybatis执行sql很慢的排查改造过程(Interceptor插件、fetchSize、隐式转换等)
星月昭铭的博客
08-29 800
刚入职公司,就发现公司项目跑sql特别慢,差不多一万条数据插入到数据库要5秒以上(没有听错,就是这个速度),查询修改删除也是特别慢。直到22年年底实在是受不了了,我就去排查了一下。用的是Oracle数据库,mybatis、mybatis plus,其中mybatis是引入的平台的依赖。平台封装了一些工具和插件。
redis能正常访问,但是springboot编译报错
生而为人我很抱歉
08-27 319
因为你在自定义的 @Configuration 类中没有明确指定配置属性的绑定,或者这个类的加载顺序影响了 Spring Boot 的属性绑定过程。你可以尝试在 MyConf 类上加上 @Order 注解来调整加载顺序,或者确保 MyConf 类不会干扰到 Redis 配置的加载。你可以在 MyConf 类上使用 @ConditionalOnProperty 注解,确保在特定条件下才加载这个配置类,以避免在 Redis 配置加载之前进行不必要的初始化。
清除系统缓存提高写盘速度的tips
qq_34999565的博客
08-26 332
当内存中存储了大量数据缓存时,系统的可用内存会减少。在内存资源紧张的情况下,执行 echo 3 > /proc/sys/vm/drop_caches 可以清理内存中的页缓存、目录项缓存(dentries)和 inode 缓存,从而释放出更多的内存空间供程序使用。如果系统即将进行新的数据缓存或处理操作,尤其是涉及大量数据的处理任务时,清理缓存可以释放内存,为后续操作提供更多的可用内存。这个命令部分的作用是通过向 /proc/sys/vm/drop_caches 文件写入一个值,来指示内核清理特定的内存缓存。
Spring扩展点系列-@PostConstruct
最新发布
qq_32590535的博客
08-29 233
spring的Bean在创建的时候会进行初始化,而初始化过程会解析出@PostConstruct注解的方法,并反射调用该方法。@PostConstruct 的使用和特点只有一个非静态方法能使用此注解;被注解的方法不得有任何参数;被注解的方法返回值必须为void;被注解的方法不得抛出已检查异常;被注解的方法只会被执行一次;
Spring Cache
m0_55956769的博客
08-26 480
Spring Cache
Spring
qq_48501521的博客
08-29 556
Spring概念:分层的Java SE/EE应用full stack轻量级框架,以IOC(控制反转)和AOP(面向切面)为内核,提供了展现层和持久层以及业务层事务管理等众多的企业应用技术,还可以整合其他第三方框架和类库。轻量级指的是Spting框架的非侵入性,即对象可不必依赖Spring的API类。Spring核心容器:spring-core,spring-beans,spring-context,spring-expression等spring-core:基本组成,包括IOC和DI等功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星空寻流年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值