spring security http.rememberMe()使用和原理解析

最新推荐文章于 2023-03-11 16:34:08 发布
最新推荐文章于 2023-03-11 16:34:08 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: spring全家桶 文章标签: http java 数据库 spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43203949/article/details/120381605
版权

spring security http.rememberMe()使用和原理解析

文章目录

转载请贴上本文链接

http.rememberMe()的使用

指定Http记住我参数

使用

//默认为remember-me
http.rememberMe().rememberMeParameter("remeberme");

前端代码

<input type="checkbox" name="remeberme"><span style="color: orange">记住</span>
指定Token识别字段

使用

//默认使用uuid随机数
http.rememberMe().key("123")
修改remember-me的cookie时长

使用

//默认2周(14天)
http.rememberMe().tokenValiditySeconds(24*60*60);
指定 Remember-Me 功能自动登录过程使用的 UserDetailsService 对象

使用

http.rememberMe().userDetailsService(UserDetailsService userDetailsService)

自定义UserDetailsService接口实现实现类

/**
*	作用:
*	这玩意是用来自定义认证用户信息的查找过程的。
*	密码的对比是spring security框架帮我们做了,
*	我们只需要从数据库中找到用户信息,封装成一个UserDetails类return给spring security即可
*	
*	过程:
*   实现UserDetailsService,通过loadUserByUsername中传递的username,
*	去数据库中查找用户信息,并封装成UserDetails的对象传递给spring security框架
*/
@Service
public class AppUserDetailService implements UserDetailsService {
    //mybatis的mapping(对应用户信息表)
    @Resource
    private AdminMapping adminMapping;

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;
	
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Admin admin = adminMapping.selectByUsername(username);
        if (admin == null){
            return null;
        }else {
            //权限组(设置权限,一个权限字符串)
            List<GrantedAuthority> list = AuthorityUtils.createAuthorityList(admin.getRole());
            //如果你数据里面的密码是经过bCryptPasswordEncoder加密的,就无需用bCryptPasswordEncoder
            User user = new User(admin.getUser ,admin.getPwd(),list);
            //User user = new User(admin.getUser ,bCryptPasswordEncoder.encode(admin.getPwd()),list);
            return user;
        }


    }


}
设置始终创建记住我

使用

//没错登录都会创建remenber-me(默认是false)
http.rememberMe().alwaysRemember(true);
使用必须使用安全传输的cookie

使用

//设置后必须https下的cookie才生效
http.rememberMe().useSecureCookie(true);

原理分析

spring security的remember-me功能是通过RememberMeAuthenticationFilter 过滤器实现,通过该过滤器实现自动登录。

ctrl+n:快速进入类

ctrl+f12:查看该类方法

实现原理

JSESSIONID的cookie会在浏览器关闭时消失,而用户再次打开时,是要出现登录的,而remember-me这个cookie是不会在浏览器关闭时销毁(因为设置了cookie时长),而spring security会通过remember-me这个cookie中存储的token值,实现自动登录。后面的会介绍Token 值等于(“username:tokenExpiryTime:password:key”)+MD5加密,所以才能用Token进行重新登录。

当 JSESSIONID 过期后,浏览器中只存在 remember-me 的 Cookie。用户再次请求访问时,由于请求没有携带 JSESSIONID,SecurityContextPersistenceFilter 过滤器无法获取 Session 中的 SecurityContext 对象,也就是说你会认为你没登录认证过。但是如果remember-me 的 Cookie 存在,RememberMeAuthenticationFilter 过滤器会将请求进行拦截,根据 remember-me 存储的 Token 值实现自动登录,并将成功登录后的认证用户信息对象 Authentiacaion 存储到 SecurityContext 中。

情况总结:

  • 首次登录,需要认证,如果成功后会生成remember-me,并在JSESSIONID 对应 Session 中存储的 SecurityContext 对象添加认证用户信息对象 Authentiacaion
  • (remember-me的cookie未过期的情况)关闭浏览器,再次打开网页,因为关闭浏览器JSESSIONID会销毁,原认证用户信息对象 Authentiacaion无法获取,但是有remember-me,会通过remember-me 存储的 Token 值实现自动登录,并将登录后的认证用户信息对象 Authentiacaion存入现有的Session 中的SecurityContext 。
  • (remember-me的cookie过期的情况)关闭浏览器,再次打开网页,情况跟首次登录,需要重新认证,如果成功后会生成remember-me。

首次登录过程

下面我将介绍首次登录中RememberMeServices到底干了什么。

执行流程:

  • 认证
  • 成功,调用认证成功方法(successfulAuthentication方法),其中包含rememberMeServices
  • 失败,调用认证失败方法(unsuccessfulAuthentication方法)
AbstractAuthenticationProcessingFilter
successfulAuthentication

从源码注解中可以得知successfulAuthentication()方法是成功认证的默认行为。

方法步骤:

  1. 将认证结果注入到Security的上下文中
  2. 调用rememberMeServices接口的loginSuccess()方法,默认为空实现
  3. 发布认证成功的事件
  4. 调用认证成功处理器,默认使用SavedRequestAwareAuthenticationSuccessHandler类去实现
/**
	 * Default behaviour for successful authentication.
	 * <ol>
	 * <li>Sets the successful <tt>Authentication</tt> object on the
	 * {@link SecurityContextHolder}</li>
	 * <li>Informs the configured <tt>RememberMeServices</tt> of the successful login</li>
	 * <li>Fires an {@link InteractiveAuthenticationSuccessEvent} via the configured
	 * <tt>ApplicationEventPublisher</tt></li>
	 * <li>Delegates additional behaviour to the
	 * {@link AuthenticationSuccessHandler}.</li>
	 * </ol>
	 *
	 * Subclasses can override this method to continue the {@link FilterChain} after
	 * successful authentication.
	 * @param request
	 * @param response
	 * @param chain
	 * @param authResult the object returned from the <tt>attemptAuthentication</tt>
	 * method.
	 * @throws IOException
	 * @throws ServletException
	 */
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
			Authentication authResult) throws IOException, ServletException {
    	//将认证结果注入到Security的上下文中
		SecurityContextHolder.getContext().setAuthentication(authResult);
		if (this.logger.isDebugEnabled()) {
			this.logger.debug(LogMessage.format("Set SecurityContextHolder to %s", authResult));
		}
    	//这个loginSuccess方法是交给rememberMeServices接口的实现类去实现的
    	//等下在下面的抽象类AbstractRememberMeServices中,会介绍这个方法的实现
    	//点开this.rememberMeServices,发现默认是new NullRememberMeServices();也就是空实现(即默认不开启rememberMe)
		this.rememberMeServices.loginSuccess(request, response, authResult);
    	
		if (this.eventPublisher != null) {
            //发布认证成功的事件
			this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
		}
    	//调用认证成功处理器
    	//this.successHandler的值是new SavedRequestAwareAuthenticationSuccessHandler();
		this.successHandler.onAuthenticationSuccess(request, response, authResult);
	}
AbstractRememberMeServices
loginSuccess

AbstractRememberMeServices实质是去调用子类的onLoginSuccess()方法,而它的子类是TokenBasedRememberMeServices。

方法步骤:

  1. 调用子类的onLoginSuccess()方法
@Override
public final void loginSuccess(HttpServletRequest request, HttpServletResponse response,
Authentication successfulAuthentication) {
	if (!rememberMeRequested(request, this.parameter)) {
		this.logger.debug("Remember-me login not requested.");
		return;
	}
    //一个空实现,交给子类去实现
	onLoginSuccess(request, response, successfulAuthentication);
}
TokenBasedRememberMeServices
onLoginSuccess

方法步骤:

  1. 通过UserDetailsService获得UserDetail
  2. 计算 Token 的生命周期(默认时长两周)
  3. 获取 Token 值
  4. 将 Token 放入 Cookie,传递给浏览器
@Override
public void onLoginSuccess(HttpServletRequest request, HttpServletResponse response,
                           Authentication successfulAuthentication) {
    //获取用户名和密码
    String username = retrieveUserName(successfulAuthentication);
    String password = retrievePassword(successfulAuthentication);
    // If unable to find a username and password, just abort as
    // TokenBasedRememberMeServices is
    // unable to construct a valid token in this case.
    if (!StringUtils.hasLength(username)) {
        this.logger.debug("Unable to retrieve username");
        return;
    }
    
    if (!StringUtils.hasLength(password)) {
        //通过UserDetailsService获得UserDetail
        //如果有自定义UserDetailsService那么就会使用自定义的
        UserDetails user = getUserDetailsService().loadUserByUsername(username);
        //从UserDetailsService获取的UserDetails中拿到封装的信息
        password = user.getPassword();
        if (!StringUtils.hasLength(password)) {
            this.logger.debug("Unable to obtain password for user: " + username);
            return;
        }
    }
    //获取 Token 的生命周期,默认为 (两周)
    int tokenLifetime = calculateLoginLifetime(request, successfulAuthentication);
    long expiryTime = System.currentTimeMillis();
   	
    //计算过期时间
    // SEC-949
    expiryTime += 1000L * ((tokenLifetime < 0) ? TWO_WEEKS_S : tokenLifetime);
    //计算并获取 Token 值
    String signatureValue = makeTokenSignature(expiryTime, username, password);
    //设置 Cookie,将 Token 传递给浏览器
    setCookie(new String[] { username, Long.toString(expiryTime), signatureValue }, tokenLifetime, request,
              response);
    
    if (this.logger.isDebugEnabled()) {
        this.logger.debug(
            "Added remember-me cookie for user '" + username + "', expiry: '" + new Date(expiryTime) + "'");
    }
}
makeTokenSignature

看makeTokenSignature中获取 Token 值,可以发现返回的Token 值应该等于(“username:tokenExpiryTime:password:key”),并且这个值是经过MD5加密的。

/**
 * Calculates the digital signature to be put in the cookie. Default value is MD5
 * ("username:tokenExpiryTime:password:key")
 */
protected String makeTokenSignature(long tokenExpiryTime, String username, String password) {
   String data = username + ":" + tokenExpiryTime + ":" + password + ":" + getKey();
   try {
      MessageDigest digest = MessageDigest.getInstance("MD5");
      return new String(Hex.encode(digest.digest(data.getBytes())));
   }
   catch (NoSuchAlgorithmException ex) {
      throw new IllegalStateException("No MD5 algorithm available!");
   }
}

二次登录过程

RememberMeAuthenticationFilter
doFilter

RememberMeAuthenticationFilter重写了doFilter方法,然后调用了类中重载的doFilter方法。

执行步骤:

  • 判断当前线程的 SecurityContext 对象是否存储 Authentication 对象
  • 当前线程没有对应用户信息,调用 AbstractRememberMeServices 类的 autoLogin() 方法进行自动登录(获取用户信息)
  • 调用 ProviderManager 实现类的 authenticate() 方法进行身份认证
  • 认证成功后,将 Authentication 对象存储当前线程的 SecurityContext
  • 调用本类的认证成功处理
  • 发布认证成功的事件
  • 调用认证成功的处理器
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
    throws IOException, ServletException {
    //调用了下面的doFilter
    doFilter((HttpServletRequest) request, (HttpServletResponse) response, chain);
}
    
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        //判断当前线程的 SecurityContext 对象是否存储 Authentication 对象;
        // 如果存在,意味着当前线程已经获取了用户信息,无需再次进行登录
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            //当前线程没有对应用户信息,调用 AbstractRememberMeServices 类的 autoLogin() 方法进行自动登录
            //其实是获取用户信息
            Authentication rememberMeAuth = this.rememberMeServices.autoLogin(request, response);
            if (rememberMeAuth != null) {
                // 获取用户信息成功
                try {
                    // 调用 ProviderManager 实现类的 authenticate() 方法进行身份认证
                    rememberMeAuth = this.authenticationManager.authenticate(rememberMeAuth);
                    //认证成功后,将 Authentication 对象存储当前线程的 SecurityContext 
                    SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);
                    //调用本类的认证成功处理,是一个空方法
                    this.onSuccessfulAuthentication(request, response, rememberMeAuth);
                    if (this.logger.isDebugEnabled()) {
                        this.logger.debug("SecurityContextHolder populated with remember-me token: '" + SecurityContextHolder.getContext().getAuthentication() + "'");
                    }

                    if (this.eventPublisher != null) {
                        //发布认证成功的事件
                        this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(SecurityContextHolder.getContext().getAuthentication(), this.getClass()));
                    }
					
                    if (this.successHandler != null) {
                        //调用认证成功的处理器
                        this.successHandler.onAuthenticationSuccess(request, response, rememberMeAuth);
                        return;
                    }
                } catch (AuthenticationException var8) {
                    if (this.logger.isDebugEnabled()) {
                        this.logger.debug("SecurityContextHolder not populated with remember-me token, as AuthenticationManager rejected Authentication returned by RememberMeServices: '" + rememberMeAuth + "'; invalidating remember-me token", var8);
                    }
		    		//认证失败
                    this.rememberMeServices.loginFail(request, response);
                    this.onUnsuccessfulAuthentication(request, response, var8);
                }
            }

            chain.doFilter(request, response);
        } else {
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("SecurityContextHolder not populated with remember-me token, as it already contained: '" + SecurityContextHolder.getContext().getAuthentication() + "'");
            }

            chain.doFilter(request, response);
        }
    }
AbstractRememberMeServices
autoLogin
/**
	 * Template implementation which locates the Spring Security cookie, decodes it into a
	 * delimited array of tokens and submits it to subclasses for processing via the
	 * <tt>processAutoLoginCookie</tt> method.
	 * <p>
	 * The returned username is then used to load the UserDetails object for the user,
	 * which in turn is used to create a valid authentication token.
	 */
	@Override
	public final Authentication autoLogin(HttpServletRequest request, HttpServletResponse response) {
        //获取remember-me的cookie值
		String rememberMeCookie = extractRememberMeCookie(request);
		if (rememberMeCookie == null) {
			return null;
		}
		this.logger.debug("Remember-me cookie detected");
        //
		if (rememberMeCookie.length() == 0) {
			this.logger.debug("Cookie was empty");
			cancelCookie(request, response);
			return null;
		}
		try {
            //解码
			String[] cookieTokens = decodeCookie(rememberMeCookie);
            //从cookie中提取UserDetails
            //里面是空实现,交给子类TokenBasedRememberMeServices实现
			UserDetails user = processAutoLoginCookie(cookieTokens, request, response);
			this.userDetailsChecker.check(user);
			this.logger.debug("Remember-me cookie accepted");
            //将 UserDetails 对象封装到 Authentication 对象里,并返回
			return createSuccessfulAuthentication(request, user);
		}
		catch (CookieTheftException ex) {
			cancelCookie(request, response);
			throw ex;
		}
		catch (UsernameNotFoundException ex) {
			this.logger.debug("Remember-me login was valid but corresponding user not found.", ex);
		}
		catch (InvalidCookieException ex) {
			this.logger.debug("Invalid remember-me cookie: " + ex.getMessage());
		}
		catch (AccountStatusException ex) {
			this.logger.debug("Invalid UserDetails: " + ex.getMessage());
		}
		catch (RememberMeAuthenticationException ex) {
			this.logger.debug(ex.getMessage());
		}
        //获取失败就删除remember-me 对应的 cookie
		cancelCookie(request, response);
		return null;
	}
TokenBasedRememberMeServices
processAutoLoginCookie
@Override
	protected UserDetails processAutoLoginCookie(String[] cookieTokens, HttpServletRequest request,
			HttpServletResponse response) {
		if (cookieTokens.length != 3) {
			throw new InvalidCookieException(
					"Cookie token did not contain 3" + " tokens, but contained '" + Arrays.asList(cookieTokens) + "'");
		}
		//获取 Token 过期时间
		long tokenExpiryTime = getTokenExpiryTime(cookieTokens);
        //判断 Token 是否过期
		if (isTokenExpired(tokenExpiryTime)) {
			throw new InvalidCookieException("Cookie token[1] has expired (expired on '" + new Date(tokenExpiryTime)
					+ "'; current time is '" + new Date() + "')");
		}
		// Check the user exists. Defer lookup until after expiry time checked, to
		// possibly avoid expensive database call.
        //通过 UserDetailsService 对象获取对应用户信息 UserDetails
		UserDetails userDetails = getUserDetailsService().loadUserByUsername(cookieTokens[0]);
		Assert.notNull(userDetails, () -> "UserDetailsService " + getUserDetailsService()
				+ " returned null for username " + cookieTokens[0] + ". " + "This is an interface contract violation");
		// Check signature of token matches remaining details. Must do this after user
		// lookup, as we need the DAO-derived password. If efficiency was a major issue,
		// just add in a UserCache implementation, but recall that this method is usually
		// only called once per HttpSession - if the token is valid, it will cause
		// SecurityContextHolder population, whilst if invalid, will cause the cookie to
		// be cancelled.
        //比较 Token 中信息是否和预期的一样,即判断 Token 是否合法
		String expectedTokenSignature = makeTokenSignature(tokenExpiryTime, userDetails.getUsername(),
				userDetails.getPassword());
		if (!equals(expectedTokenSignature, cookieTokens[2])) {
			throw new InvalidCookieException("Cookie token[2] contained signature '" + cookieTokens[2]
					+ "' but expected '" + expectedTokenSignature + "'");
		}
        //放回
		return userDetails;
	}
鸭梨的药丸哥
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity入门《之RememberMe“记住我”功能》
潘大Q仙的博客
04-04 216
RememberMe“记住我”功能 在配置类中开启RememberMe功能: @Override protected void configure(HttpSecurity security) throws Exception { security.authorizeRequests() ....... .and() ...
Spring Security 实现“记住我”功能及原理解析
08-19
主要介绍了Spring Security 实现“记住我”功能及原理解析,需要的朋友可以参考下
SpringBoot Security |四、简单rememberMe
ker的博客
09-10 329
目录 一、项目实现 二、测试 一、项目实现 增加数据库表persistent_logins DROP TABLE IF EXISTS `persistent_logins`; CREATE TABLE `persistent_logins` ( `username` varchar(64) COLLATE utf8mb4_unicode_ci NOT NULL, `series...
SpringSecurity中RememberMe以及其它功能实现(五)
臆想的一只猫
04-15 388
RememberMe功能实现 Spring Security中Remember Me为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true。Spring Security 会自动把用户信息存储到数据源中,以后就可以不登录进行访问。 <tr> <td style="width: 30%; text-align: right; padding-right: 5px"> 记住我: </td> <td
SpringSecurity入门5---自动登录(RememberMe)
Anntly的博客
04-08 807
代码地址 实现方式 SpringSecurity提供了两种令牌 散列算法加密用户必要的登录信息并生成令牌 数据库等持久性数据存储机制用的持久化令牌 散列加密方式 使用方式很简单,修改配置文件,加入RememberMe即可 protected void configure(HttpSecurity http) throws Exception { http.authorizeRe...
Remember Me 功能实现
weixin_44569326的博客
01-08 832
Spring Security 中 Remember Me 为“记住我”功能,用户只需要 在登录时添加 remember-me 复选框,取值为 true。Spring Security 会 自动把用户信息存储到数据源中,以后就可以不登录进行访问。 1 添加依赖 <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</a
shiro 获取请求头中的 rememberMe
weixin_30455023的博客
07-06 612
前言:   上一篇提到了, 将 sessionId 放到请求头中去, 那rememberMe是否也可以放到请求头中去呢.   其实不管是sessionId还是rememberMe, shiro都会默认往cookie里面放, 那么rememberMe肯定也是可以放到请求头中去的.   有兴趣的朋友可以去看看org.apache.shiro.web.mgt.CookieRememberMeMa...
Spring Security 3.1.pdf
01-14
6. **记住我功能**:Spring Security提供了“Remember Me”服务,允许用户在一段时间内无需重新登录,提高了用户体验。 7. **CSRF防护**:Spring Security内置了跨站请求伪造(Cross-Site Request Forgery,简称CSRF...
SpringSecurity深度解析与实践(3)
最新发布
12-23
5. **状态管理**:Spring Security提供了Remember Me服务,允许用户在一段时间内保持登录状态。我们将讨论如何启用这个功能,以及安全考虑。 6. **CSRF保护**:为了防止CSRF攻击,Spring Security提供了内置的防护...
spring security实现下次自动登录功能过程解析
08-25
Spring Security 是一个强大的安全框架,用于管理Web应用的访问控制。在本文中,我们将深入探讨如何使用Spring ...正确配置和使用Spring Security的Remember-Me服务,可以提供更好的用户体验,同时保持应用的安全性。
Spring Security 中的 RememberMe 登录,so easy!
m0_71777195的博客
11-26 1097
RememberMe 这个功能非常常见,图 6-1 所示就是 QQ 邮箱登录时的“记住我”选项。提到 RememberMe,一些初学者往往会有一些误解,认为 RememberMe 功能就是把用户名/密码用 Cookie 保存在浏览器中,下次登录时不用再次输入用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户关闭浏览器重新打开,就要再次登录,这样太过于烦琐。
SpringSecurity学习(四)密码加密、RememberMe记住我
Huathy的博客
03-11 1514
密码泄露,多个网站用同一密码。salt加盐。RememberMe记住我。是一种服务端的行为,而不是将用户密码保存在cookie中。传统登录方式是基于Session的,这样一旦用户关闭浏览器重开,就需要再次登录,太过麻烦。实现思路是通过cookie来记住当前用户身份。当用户登录成功后,通过算法,将用户信息、时间戳加密后通过响应头带回前端存到cookie。当重开浏览器后,会自动将cookie信息发送给服务器进行校验分析。从而确定用户身份。具有时效性,一般的为一周左右。
Spring Security Config : HttpSecurity安全配置器 RememberMeConfigurer
Details Inside Spring
07-01 1566
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,RememberMeConfigurer的配置任务如下 : 配置如下安全过滤器Filter RememberMeAuthenticationFilter 属性authenticationManager使用共享对象AuthenticationManager 属性rememberMeServices 来自 ...
SpringSecurity(十四)---RememberMe功能实现
Apple_Andy的博客
10-10 312
一.使用理由 Spring Security 中Remember Me为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true。Spring Security会自动把用户信息存储到数据源中,以后就可以不登录进行访问。 二.实现步骤 1.添加依赖(jdbc和mysql) Spring Security实现Remember Me 功能时底层实现依赖Spring-JDBC,所以需要添加jdbc的依赖,如果使用的是mybatis框架,只要导入mybatis的启动器即可,同时还需添加mys
SpringSecurity--记住我
OceanStar的博客
01-12 632
记住我-内存版 前端 登录表单携带名为remember-me的请求参数。具体做法是将登录表单中的checkbox的name设置为remember-me 后端 如果不能使用“remember-me”作为请求参数名称,可以使用rememberMeParameter()方法定制。 ...
SpringSecurity学习笔记之 入门 九 (记住我RememberMe&退出登录LoginOut实现)
m0_49194578的博客
08-10 482
依赖 在配置类中配置http 将我们定义好的用户加载类注入进来交给他 同时创建一个Bean=》PersistentTokenRepository,把哪个红色下划线的空格给填了;他是一个接口我们找他的实现类。他有两个实现,一个基于内存一个基于jdbc;我们使用jdbc,创建出来Jdbc那种形式也可以返回,注意一定要使用JdbcTokenRepositorImpl这个实现类,才能找到我们需要的方法 第一次运行之后回来注释掉创建表。如果你不想手动创建数据表的话 前端部分 添加一个记住我功能; 重要:re
Spring SecurityHttpSecurity常用方法及说明
小汤圆
08-18 646
HttpSecurity 常用方法及说明 通常我们在使用Spring Securty的时候会继承WebSecurityConfigurerAdapter,通过以下方法可配置拦截什么URL、设置什么权限等安全控制。 /** * 复写这个方法来配置 {@link HttpSecurity}. * 通常,子类不能通过调用 super 来调用此方法,因为它可能会覆盖其配置。 默认配置为: * * http.authorizeRequests().anyRequest().authenticated().
Spring Security(12)——Remember-Me功能
e765741668的专栏
04-03 872
Remember-Me功能   目录   1.1     概述 1.2     基于简单加密token的方法 1.3     基于持久化token的方法 1.4     Remember-Me相关接口和实现类 1.4.1    TokenBasedRememberMeServices 1.4.2    PersistentTokenBasedRememberMeServices
SpringSecurity 2.0.x入门与高级特性解析
"SpringSecurity2x.pdf 是Spring Security的官方参考文档,涵盖了2.0.x版本的详细内容,包括入门指南、安全命名空间配置、高级Web特性、方法安全以及默认的访问决策和认证管理器,并提供了多个示例应用程序,如教程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值