Spring Security RememberMe 自动登录流程

最新推荐文章于 2023-09-19 16:03:38 发布
最新推荐文章于 2023-09-19 16:03:38 发布
阅读量221 收藏 1
点赞数 1
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40008535/article/details/113819620
版权

Spring Security 是根据cookie来完成自动登录功能的,所以我将解析分为两部分:何时让请求带上cookie;如何去解析cookie。

1、何时添加cookie

还记得处理登录的过滤器嘛,没错,一切都是从哪里开始,AbstractAuthenticationProcessingFilter。我们先去扎到它的doFilter()方法,如下:

	private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);
			return;
		}
        
		try {
            // 1. 第一部分
			Authentication authenticationResult = attemptAuthentication(request, response);
			if (authenticationResult == null) {
				return;
			}
			this.sessionStrategy.onAuthentication(authenticationResult, request, response);
			if (this.continueChainBeforeSuccessfulAuthentication) {
				chain.doFilter(request, response);
			}
            // 2. 第二部分
			successfulAuthentication(request, response, chain, authenticationResult);
		}
        // 3. 第三部分
		catch (InternalAuthenticationServiceException failed) {
			unsuccessfulAuthentication(request, response, failed);
		}
		catch (AuthenticationException ex) {
			unsuccessfulAuthentication(request, response, ex);
		}
	}

我们能很简单地将它所要实现的功能分为三部分:①:认证过程;②认证成功处理;③:认证失败、报错处理。

我们顺着第二部分走下去:

	protected void successfulAuthentication(HttpServletRequest request, 
                                            HttpServletResponse response, 
                                            FilterChain chain,
			Authentication authResult) throws IOException, ServletException { 
		SecurityContextHolder.getContext().setAuthentication(authResult);
		// 1. 第一部分
		this.rememberMeServices.loginSuccess(request, response, authResult);
        
		if (this.eventPublisher != null) {
			this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
		}
        // 2. 第二部分
		this.successHandler.onAuthenticationSuccess(request, response, authResult);
	}

我们又能将该方法所要实现的功能分为两部分:①:rememberServices;②:成功处理措施

我们从第一部分走,我们所要寻找的接口为RememberMeServices,默认实现为NullRememberMeServices。看了下接口,我们发现如果有使用remember功能,那使用的实现类为TokenBasedRememberMeServices

顺着往下找loginSuccess()方法:

	public final void loginSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication successfulAuthentication) {
		if (!rememberMeRequested(request, this.parameter)) {
			this.logger.debug("Remember-me login not requested.");
			return;
		}
        // 调用下面的onLoginSuccess()方法
		onLoginSuccess(request, response, successfulAuthentication);
	}


	public void onLoginSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication successfulAuthentication) {
        // 1. 获取用户名和密码
		String username = retrieveUserName(successfulAuthentication);
		String password = retrievePassword(successfulAuthentication);
		// 2. 用户、密码校验
		if (!StringUtils.hasLength(username)) {
			this.logger.debug("Unable to retrieve username");
			return;
		}
		if (!StringUtils.hasLength(password)) {
			UserDetails user = getUserDetailsService().loadUserByUsername(username);
			password = user.getPassword();
			if (!StringUtils.hasLength(password)) {
				this.logger.debug("Unable to obtain password for user: " + username);
				return;
			}
		}
        // 3. 生成cookie并设置到请求中
		int tokenLifetime = calculateLoginLifetime(request, successfulAuthentication);
		long expiryTime = System.currentTimeMillis();
		// SEC-949
		expiryTime += 1000L * ((tokenLifetime < 0) ? TWO_WEEKS_S : tokenLifetime);
		String signatureValue = makeTokenSignature(expiryTime, username, password);
		setCookie(new String[] { username, Long.toString(expiryTime), signatureValue }, 
                  				tokenLifetime, request,response);
	}

我们又将上面方法的流程分为三步:

  • 获取用户名和密码
  • 对用户名校验是否为空;对密码校验是否被擦除,如果是,则重新获取
  • 用户名、密码、过期时间传入方法生成cookie并在请求上设置
  • cookie的组成有用户名、密码、过期时间、key组成,采用MD5加密方式,其中key为一个UUID字符串,每次程序重启都会改变,建议设置

登录流程的记住我功能就此结束,下面看看如何进行验证

2、如何去解析cookie,实现自动登录

Spring Security中也有一个过滤器来实现自动登录的功能,那就是RememberMeAuthenticationFilter,go,我们直接去看它的doIFilter()方法。

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {
    	// 1. 查看有没有Authentication
		if (SecurityContextHolder.getContext().getAuthentication() != null) {
			chain.doFilter(request, response);
			return;
		}
    	// 2. 解析cookie
		Authentication rememberMeAuth = this.rememberMeServices.autoLogin(request, response);
    	
		if (rememberMeAuth != null) {
			// Attempt authenticaton via AuthenticationManager
			try {
                // 3. 验证Authentication
				rememberMeAuth = this.authenticationManager.authenticate(rememberMeAuth);
				SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);
                // 4. 成功后的操作
				onSuccessfulAuthentication(request, response, rememberMeAuth);
				if (this.eventPublisher != null) {
					this.eventPublisher.publishEvent(
                        new InteractiveAuthenticationSuccessEvent(
							SecurityContextHolder.getContext()
                            .getAuthentication(), this.getClass()));
				}
                
				if (this.successHandler != null) {
					this.successHandler.onAuthenticationSuccess(request, response, rememberMeAuth);
					return;
				}
			}
            // 5. 失败后的操作
			catch (AuthenticationException ex) {
				this.rememberMeServices.loginFail(request, response);
				onUnsuccessfulAuthentication(request, response, ex);
			}
		}
		chain.doFilter(request, response);
	}

我们可以将上面的方法实现分为5个部分:

  • 查看是否需要解析cookie
  • 解析cookie
  • 验证Authentication
  • 验证成功后的操作
  • 验证失败后的操作

我们就主要看下,cookie是怎么解析出来的

public final Authentication autoLogin(HttpServletRequest request, HttpServletResponse response) {
    	// 1. 根据remember-me找到相应的cookie
		String rememberMeCookie = extractRememberMeCookie(request);
		if (rememberMeCookie == null) {
			return null;
		}
		if (rememberMeCookie.length() == 0) {
			cancelCookie(request, response);
			return null;
		}
    	
		try {
            // 2. 解码cookie
			String[] cookieTokens = decodeCookie(rememberMeCookie);
            // 3. 验证解码出来的信息
			UserDetails user = processAutoLoginCookie(cookieTokens, request, response);
			this.userDetailsChecker.check(user);
			return createSuccessfulAuthentication(request, user);
		}
		catch (CookieTheftException ex) {
			cancelCookie(request, response);
			throw ex;
		}
		catch (UsernameNotFoundException ex) {
			this.logger.debug("Remember-me login was valid but corresponding user not found.", ex);
		}
		catch (InvalidCookieException ex) {
			this.logger.debug("Invalid remember-me cookie: " + ex.getMessage());
		}
		catch (AccountStatusException ex) {
			this.logger.debug("Invalid UserDetails: " + ex.getMessage());
		}
		catch (RememberMeAuthenticationException ex) {
			this.logger.debug(ex.getMessage());
		}
		cancelCookie(request, response);
		return null;
	}

上面方法主要实现三个:

  • 获取cookie并验证它
  • 解码cookie
  • 拿解码出来的信息去核对,也就是调用loadUserByUsername()方法。

就这样,很简单!!

oldGarlic
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity实现自动登录功能
qq_34136709的博客
04-29 1608
SpringSecurity实现自动登录功能 我们知道很多网站都有下次自动登录的功能,springsecurity作为较获得安全技术肯定是也有的 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据 要实现记住我这个功能,其实只需要其实只需要在 Spring Security 的配置中,添加如下代...
SpringSecurity自动登录
xkshihaoren的博客
11-29 470
1 散列加密方案 在spring security中加入自动登录功能: @Autowired private MyUserDetailsService userDetailsService; protected void configure(HttpSecurity http){ http...... .formLogin() .and() .rememberMe()...
Spring Security学习之rememberMe自动登录实现
08-18
主要给大家介绍了关于Spring Security学习之rememberMe自动登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Druid 数据源连接池配置
roydon
11-20 7703
Spring Boot 的配置文件中对 Druid 数据源连接池进行配置 # Druid连接池的配置 spring: datasource: druid: initial-size: 5 #初始化连接大小 min-idle: 5 #最小连接池数量 max-active: 20 #最大连接池数量 max-wait: 60000 #获取连接时最大等待时间,单位毫秒 time-between-eviction-runs-millis: 6
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3201
spring security 记住我 rememberMe
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1333
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
Spring Security】的RememberMe功能流程与源码详解
阿Q的小窝
06-09 3828
如果用户勾选了 “记住我” 选项,Spring Security 将在用户登录时创建一个持久的安全令牌,并将令牌存储在 cookie 中或者数据库中。当用户关闭浏览器并再次打开时,Spring Security 可以根据该令牌自动验证用户身份。
Spring Security Remember me使用及原理详解
08-25
.rememberMe() .userDetailsService(myUserDetailServiceImpl) .tokenRepository(persistentTokenRepository()) .tokenValiditySeconds(60 * 60) .and() .authorizeRequests() .antMatchers(SecurityConst....
SpringSecurity rememberme功能实现过程解析
08-24
主要介绍了SpringSecurity rememberme功能实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security实现下次自动登录功能过程解析
08-25
在本文中,我们将深入探讨如何使用Spring Security实现“记住我”功能,以便用户在下次访问时能够自动登录。 一、原理分析 “记住我”功能的核心在于使用Cookie来保存用户的登录状态。当用户首次登录并勾选“记住我...
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住我功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
Spring Security 中的 RememberMe 登录,so easy!
m0_71777195的博客
11-26 1085
RememberMe 这个功能非常常见,图 6-1 所示就是 QQ 邮箱登录时的“记住我”选项。提到 RememberMe,一些初学者往往会有一些误解,认为 RememberMe 功能就是把用户名/密码用 Cookie 保存在浏览器中,下次登录时不用再次输入用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户关闭浏览器重新打开,就要再次登录,这样太过于烦琐。
SpringSecurity (六) RememberMe登录
weixin_43189971的博客
07-19 235
1.Remember默认访问所有接口 2.securityConfig中的securityFilterChain中增加Remember的配置 3.二的步骤说到底就是加了一个过滤器链rememberFilterChain
SpringSecurity - RememberMe
TrustNature
11-09 214
SpringSecurity 记住我原理: 一、创建token 进入UsernamePasswordAuthticationFilter进行用户信息验证,验证成功之后它会调用一个AbstractAuthenticationProcessingFilter的过滤器进入一个successfulAuthentication方法中将用户的信息存入session中,然后调用RememberServic...
Shiro的rememberMe功能
weixin_65824274的博客
07-05 1543
登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
SpringSecurity---Remember Me
最新发布
gaoqiandr的博客
09-19 369
本文主要介绍的是Security中的Remember Me
SpringSecurity详细介绍RememberMe源码流程
波波烤鸭的博客
12-05 4037
  本文我们来详细看看rememberMe的源码流程 rememberMe源码分析   首先我们要搞清楚rememberMe功能应该是在认证成功后才能具有的,所以我们应该从UsernamepasswordAuthenticationFilter中去分析 找到对应的doFilter方法 认证成功后开始rememberMe的处理 进入AbstractRememberMeServices中查看 ...
6.Spring security中的rememberMe
EdSheeran的博客
03-07 4402
文章目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`* RememberMe 6.2RememberMe基本用法 /** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时,多了一个请求参数remember-me: on,用
SpringSecurity详细介绍RememberMe功能
波波烤鸭的博客
12-05 5357
  本文我们来实现SpringSecurity的RememberMe功能 一、rememberMe功能实现 接下来我们看看具体怎么实现rememberMe功能 1.表单记住我选项 <%-- Created by IntelliJ IDEA. User: dengp Date: 2019/12/1 Time: 20:40 To change this template u...
springsecurity rememberme
03-16
Spring Security中的remember-me功能是一种自动登录机制,它允许用户在关闭浏览器后再次访问应用程序时保持登录状态。当用户登录时,系统会在浏览器中创建一个cookie,该cookie包含用户的身份验证令牌。当用户再次...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值