Spring Security RememberMe的令牌持久化JdbcTokenRepositoryImpl的工作原理

最新推荐文章于 2022-08-12 13:53:40 发布
最新推荐文章于 2022-08-12 13:53:40 发布
阅读量1.4k 收藏 1
点赞数 2
文章标签: spring 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490274/article/details/120377361
版权

JdbcTokenRepositoryImpl

简介

SpringSecurity的令牌持久化接口PersistentTokenRepository的一个实现类JdbcTokenRepositoryImpl。

作用

将原本存于内存的session存入数据库。

session持久化的优点

  1. 避免使用内存session,一旦用户量大了,内存极有可能爆掉。
  2. 避免使用内存session,重启后需要重新登录。

使用方法

数据库配置步骤省略。

1. 配置存储器

在这里插入图片描述

2. 配置SpringSecurity过滤器链

在这里插入图片描述

3. 登录开启记住我

在这里插入图片描述

4、 使用测试
  1. 登录成功关闭浏览器。
  2. 再重新打开网页,发现自动登录成功。

工作原理

1. JdbcTokenRepositoryImpl类简介

基于Jdbc对数据库进行操作,自身携带固定的表结构。
在这里插入图片描述

2. JdbcTokenRepositoryImpl创建的表结构

在这里插入图片描述

3. 将series和token使用base64进行加密,放入前端的remember-me的cookie中

在这里插入图片描述
在这里插入图片描述

3. remember-me cookie的简介

SpringSecurity默认对认证用的创建的cookie是“阅后即焚”策略。而JdbcTokenRepositoryImpl会在用户浏览器创建一个浏览器关闭不会消失的cookie(有一定时间限制),在进行登录时通过remember-me cookie作为SpringSecurity默认cookie不存在时的一个备用认证策略。

阅后即焚

可以理解为顶人,使用token登录成功后,使该token所对应的username下所有的token无效化,并授予当前登录用户一个新的有效的token(下次用这个token登录,继续使其他token无效)而当前会话使用cookie来保证,不会消耗本次token;迫使其他设备的用户下线。

4. 源码分析

  1. RememberMeAuthenticationFilter检测到默认cookie不存在时,调用AbstractRememberMeServices的autoLogin。

  2. AbstractRememberMeServices获取用户传来的rememberMeCookie,对rememberMeCookie进行解码,获取其中的series和token字段。

  3. AbstractRememberMeServices调用PersistentTokenBasedRememberMeServices#processAutoLoginCookie对rememberMeCookie进行验证并解析用户数据。

  4. PersistentTokenBasedRememberMeServices拿到series和token到数据库比对,失败抛出CookieTheftException,并清除用户cookie、数据库中该用户的所有认证字段(意味着该账户密码泄露,所有登录成功的端都将登录失效,需要重新登录)。【注:很巧妙的设计~】
    在这里插入图片描述

  5. 若比对成功则series不变,token刷新。将token重写写入数据库、重设rememberMeCookie。生成用户认证信息,用户登录成功。

JdbcTokenRepositoryImpl在实际场景下的作用

  1. 每次使用rememberMe进行登录,rememberMe中的token部分都会刷新。
  2. 如果rememberMeCookie泄露给黑客,正常用户在自动登录一次后会重新生成token,rememberMeCookie也得以更新。由于rememberMeCookie的更新便会使得黑客手中的rememberMeCookie失效(old)。
  3. 此时,黑客若再使用rememberMeCookie进行登录,在SpringSecurity取出rememberMeCookie中的series和token与数据库中的最新的series和token比对时发现不匹配,将判定为用户rememberMeCookie泄露。
  4. rememberMeCookie泄露,将触发删除所有该用户的授权cookie与数据库persistent_logins表中该用户的所有与该用户名关联的数据行,最终导致所有的用户都将需要使用密码重新登录。

综上所述

我们可以总结persistent_logins各个字段的主要作用:

create table persistent_logins
(
    username  varchar(64)                         not null,
    series    varchar(64)                         not null
        primary key,
    token     varchar(64)                         not null,
    last_used timestamp default CURRENT_TIMESTAMP not null on update CURRENT_TIMESTAMP
);

在这里插入图片描述

username

与用户表关联的标识符。

series

勾选记住我+用户密码登录时创建,之后除非删除否则不会改变,主要作用是作为该表id,用于查token。

token

使用rememberMeCookie自动登录时会刷新,和series组合生成rememberMeCookie。每次使用“记住我”自动登录时刷新,用来防止rememberMeCookie泄露。

last_used

使用rememberMeCookie自动登录时会刷新,可以用来判断认证信息是否超过期限。

蔡徐坤是个程序媛
关注
Spring Security学习之rememberMe自动登录的实现
08-18
本文将深入探讨如何在Spring Security中配置和使用`rememberMe`自动登录,以及其背后的持久化令牌方案。 ### 一、`rememberMe`基础配置 在Spring Security中,启用`rememberMe`功能非常直观。首先,你需要在`...
SpringSecurity框架
weixin_47826286的博客
11-11 316
SpringSecurity框架介绍(下)
从零开始java安全权限框架篇(三):记住我Token存储的源码解析以及自定义Token存储
qq_35755863的博客
09-03 1723
目录 一:记住我功能的Token持久化 1.新建数据表结构 2.使用JdbcTemplate来存储生成的Token 二:记住我功能的源码解析 1.首先来看一下PersistentTokenRepository接口 2.PersistentTokenRepository的实现 3.1PersistentTokenRepository实现之一InMemoryTokenRepository...
JdbcTokenRepositoryImpl没有setDataSource()方法
RkieCoder57的博客
08-12 485
JdbcTokenRepositoryImpl没有setDataSource()方法
springsecurity记住我
热门推荐
钟健的博客
04-03 5万+
Spring Security 记住我 第一步 创建(配置)数据库 spring: datasource: username: root password: 123456 url: jdbc:mysql://127.0.0.1:3306/study-security?serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf8 driver-class-name: com.mysql.cj.jd
Spring Security Web : HttpSessionCsrfTokenRepository
Details Inside Spring
06-23 3777
概述 介绍 HttpSessionCsrfTokenRepository是一个基于HttpSession保存csrf token的存储库实现。它具有如下能力: saveToken 保存csrf token到http session loadToken 从http session中提取csrf token generateToken 生成csrf token,值为一个随机UUID 继承关系 使...
Spring Security 3多用户登录实现之九 基于持久化存储的自动登录
04-13
综上所述,实现Spring Security 3中的多用户登录和基于持久化存储的自动登录涉及了用户认证、授权、数据库集成、Remember-Me服务配置和安全实践等多个方面。理解并熟练掌握这些知识点,对于构建安全、可扩展的Web...
spring security 3.0x remember-me 免登陆
08-03
这个特性通过在用户的cookie中存储一个持久化令牌来实现,提高了用户体验。 在Spring Security 3.0x中,配置"remember-me"服务主要包括以下几个步骤: 1. **依赖配置**:首先,确保你的项目依赖于Spring ...
SpringSecurity5.7.11实现用户认证和记住我功能
最新发布
01-02
3. **持久化令牌**:当用户选择“记住我”时,SpringSecurity会生成一个令牌并存储在数据库或cookie中。下次用户访问时,框架会使用这个令牌来自动登录用户。 4. **安全考虑**:“记住我”功能增加了安全性风险,...
springsecurity角色和权限
12-13
用户信息通常存储在数据库或其他持久化存储中。为了获取这些信息,Spring Security使用`UserDetailsService`接口。实现该接口的服务负责查找和加载用户信息,包括用户名、密码、角色等。 5. **Authentication对象*...
史上最简单的Spring Security教程(三十五):RememberMe记住我之更安全的实现方式-持久化token存储方式PersistentTokenBasedRememberMeServic
银河架构师的博客
10-15 1463
前面介绍的几种RememberMe实现方式,全部都是基于RememberMeServices接口的实现TokenBasedRememberMeServices。此实现是将username、过期时间、password、key等按照一定的规则组合之后取MD5值,之后将此值存在浏览器的Cookie中。 大部分网站的RememberMe 实现方式都是基于此。但是,将用户的 password 存储在浏览器的 Cookie 中, 始终存在隐患,即使难以实现。因此,Spring Security 框架...
SpringBoot安全管理(二)
zhmq_top的博客
04-07 2292
文章目录[隐藏] 自定义用户授权 自定义用户退出 用户登录信息获取 记住我功能 CSRF防护功能 源码下载 自定义用户授权 Spring Security的安全管理有两个重要概念,分别是Authentication(认证)和Au...
2020-12-29
weixin_46295656的博客
12-29 104
SpringSecurity教程六:实现自动登录 该博客基于SpringSecurity教程一,请先查看:教程一 自动登录,就是当你第二次访问网站时,你不需要输入用户信息,就能登录,这是cookies技术,那么在springsecurity中怎么实现呢? 1.创建数据库。(这个数据库的作用是:保存用户的信息和登录时的token,当用户第二次登录时,用客户端保存的token数据库中的token比较。) 这个数据库的命名可不是随便来的奥,你自己看看源码。打开JdbcTokenRepositoryImpl.ja
SpringSecurity记住我功能实现
Curtisjia的博客
10-31 1645
目录`记住我`功能实现token持久化修改登录页配置生效 记住我功能实现 在网站的登录页面中,记住我选项是一个很常见的功能,勾选记住我后在一段时间内,用户无需进行登录操作就可以访问系统资源。在Spring Security中添加记住我功能很简单,大致过程是:当用户勾选了记住我选项并登录成功后,Spring Security会生成一个token标识,然后将该token标识持久化数据库,并且生成一个与该token相对应的cookie返回给浏览器。当用户过段时间再次访问系统时,如果该cookie没有过期,Spr
Spring Security(四)自动登录-持久化令牌方案
core815的专栏
10-09 1862
一.简介 持久化令牌方案在交互上与散列加密方案一致,都是在用户勾选Remember-me之后,将生成的令牌发送到用户浏览器上,并在用户下次访问系统时读取该令牌进行认证。不同的是,它采用了更加严谨的安全设计。 在持久化令牌方案中,最核心的是series和token两个值,它们都是用MD5散列过的随机字符串。不同的是series仅在用户使用密码重新登录时更新,而token会在每一个...
七.SpringSecurity基础-记住我功能实现
墨家巨子@俏如来
08-28 1096
1.理解记住我 1.1.什么是记住我 Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次访问该网站会默认登录成功,即使浏览器退出重新打开也是如此,这个功能需要借助浏览器的cookie实现,具体流程如下 1.2.记住我核心流程 在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下: 认证成功UsernamePasswordAuthenticationFilter会调用RememberMeS
spring security 学习总结
法国锄头雨
04-18 262
1,自定义User必须实现UserDetails @Data public class User implements UserDetails{ private Integer id; private String username; private String password; //这四个暂且都给默认值为true private boolean isAccountNonExpir...
Spring Security 入门 Remember-Me 记住我功能
SheTing'Blog
04-16 813
用户选择了“记住我”成功登录后,将会把username、随机生成的序列号、生成的token存入一个数据库表中,同时将它们的组合生成一个cookie发送给客户端浏览器。 当没有登录的用户访问系统时,首先检查 remember-me 的 cookie 值 ,有则检查其值包含的 username、序列号和 token数据库中是否一致,一致则通过验证。并且系统还会重新生成一个新的 token 替换数据库中对应旧的 token,序列号 series 保持不变 ,同时删除旧的 cookie,重新生成 cookie.
Spring Security(12)——Remember-Me功能
e765741668的专栏
04-03 883
Remember-Me功能   目录   1.1     概述 1.2     基于简单加密token的方法 1.3     基于持久化token的方法 1.4     Remember-Me相关接口和实现类 1.4.1    TokenBasedRememberMeServices 1.4.2    PersistentTokenBasedRememberMeServices
Spring Security实现自动登录:rememberMe功能详解
Spring Security提供了两种令牌处理方式:散列加密方案和持久化令牌方案。" 在Spring Security中,`rememberMe`功能的实现依赖于`RememberMeServices`接口,该接口定义了处理记住我功能的方法。默认实现是`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值