8-SpringSecurity:RemeberMe及Base64编码

已于 2024-01-13 20:03:32 修改
阅读量87 收藏
点赞数
文章标签: spring 网络安全 java
于 2023-01-07 21:52:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44005305/article/details/128595975
版权

背景

本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。

SpringSecurity提供了开箱即用的remember-me功能,就是长下面这样:

直接在5-SpringSecurity:RBAC及方法授权的项目 springboot-security-rbac 中进行实验 ,核心依赖为 Web 与 SpringSecurity :


<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-devtools</artifactId><scope>runtime</scope><optional>true</optional></dependency><dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId><optional>true</optional></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency>
</dependencies>

实验0:开启RememberMe

直接在最后加一个配置:.and().rememberMe()便开启了RememberMe功能,此时再到登录页,就会看到有个可勾选的checkbox。


@Override
protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/user/add").hasRole("dev").antMatchers("/user/query").hasAuthority("ROLE_test").antMatchers("/user/**").authenticated().anyRequest().permitAll() // Let other request pass.and().formLogin().and().rememberMe();
}

填写账号、密码并勾选Remember me on this computer.之后,先打开浏览器控制台,然后点击登录,可以观察到Cookie中除了JSESSIONID之外,还多了一个remember-me。

实验1:解析remember-me

从.and().rememberMe()这个配置项一直跟到源码AbstractRememberMeServices类,可以看到有个encodeCookie(String[] cookieTokens)方法,里面最后返回是一个Base64编码的字符串。


protected String encodeCookie(String[] cookieTokens) {StringBuilder sb = new StringBuilder();for (int i = 0; i < cookieTokens.length; i++) {try {sb.append(URLEncoder.encode(cookieTokens[i], StandardCharsets.UTF_8.toString()));}catch (UnsupportedEncodingException ex) {this.logger.error(ex.getMessage(), ex);}if (i < cookieTokens.length - 1) {sb.append(DELIMITER);}}String value = sb.toString();sb = new StringBuilder(new String(Base64.getEncoder().encode(value.getBytes())));while (sb.charAt(sb.length() - 1) == '=') {sb.deleteCharAt(sb.length() - 1);}return sb.toString();
}

这里先利用线上的工具进行Base64解码:

接着,再用Java自带的工具类解码:

可以观察到解码后的字符串一致,由三部分构成:用户名:时间戳:类似MD5或去了连词符的UUID,其中时间戳经过计算是14天,这在源码中得到了证实。具体规则经过查阅官方文档,是这样的:

实验2:什么是Base64编码

Base64编码,是选出64个字符作为一个基本字符集(A-Z,a-z,0-9,+,/,再加上作为补充的"=",实际是65个字符),其它所有符号都按照规则转换成这个字符集中的字符。正常编码转成Base64编码,满足3 * 8 = 24 = 4 * 6。即每3个字节的正常编码可以转成由4个字节组成的正常编码。编码规则如下:

1.计算机中,每个字节由8个二进制位构成,将每3个字节作为一组,一共是24个二进制位;

2.将这24个二进制位分为4组,每个组有6个二进制位;

3.在每组前面加00,扩展成32个二进制位,即4个字节;

4.根据码表,得到扩展后的每个字节的对应符号,便是Base64的编码值。

码表(参考RFC2045):

  • 将3个字节编码为4个字符

Note:如果要编码的字节数不能被3整除,最后会多出1个或2个字节。

If you have any questions or any bugs are found, please feel free to contact me.

Your comments and suggestions are welcome!

教IT的无语强
关注
Spring Boot+Spring Security:记住我(Remember-Me): 基于简单加密token的方案 - 第25篇
悟纤学院
03-30 2万+
前言 在上一节我们介绍了Spring Security中”记住我”的两种方案,那么本节就先介绍一下其中的一种:基于简单加密token的方式。 一、编码分析 当用户选择了记住我成功登录后,Spring Security 将会生成一个 cookie 发送给客户端浏览器。cookie 值由如下方式组成: base64(username+":"+expirationTime+"...
1-Spring Security OAuth2专栏介绍
码农小胖哥
03-16 7193
我自己 我是码农小胖哥,一名后端软件工程师,有多年的后端开发经验,同时也是一名热衷于技术分享、拥抱开源的技术博主。我的技术栈主要是Java、Python、Kotlin,欢迎各位同行进行交流和分享。 个人技术公众号:码农小胖哥 个人博客:https://felord.cn Gitee: https://gitee.com/felord 你可以通过以上方式和我交流、解决学习中的疑难杂症。 2021年开源Spring Security 干货系列教程,2022年又开源Spring Security进阶版,帮
BASE64编码转换工具
10-27
包含字符转BASE64编码、十六进制转BASE64编码。以及互转
springboot base64_base64转码
weixin_39564831的博客
10-23 1499
注意事项:标准base64是一种编码转换,不是加密方法,过程可逆;标准base64的64个可打印字符由52个大小写英文字母和10个数字(0-9)以及 / 和 + 组成;base64为了方便把含有不可见字符串的信息用可见字符串表示出来;代码如下:import 运行结果:编码java8可以直接使用Base64,转换原理如下:将二进制数据每三个字节分为一组,每个字节占8bit,那么共有24个二进制位...
Springboot 验证码生成和校验,图片格式和base64编码
默默不代表沉默
09-25 6487
开始敲代码前,先简单介绍下大致的想法实现: 生成验证码: 提供一个接口,这个接口里,我们将生成的验证码存入session,然后将验证码以图片格式或者base64编码串返回给调用端。 校验验证码: 提供一个接口,这个接口里,我们收到调用端传过来的校验码,然后从session取出验证码,两个验证码都全部转小写,进行无大小写区分匹配校验,返回true/flase 。存储验证码: 生成的验证码,在未...
spring boot jdk8 base64 编码 解码
Meta39的博客
10-12 2163
1、编码 以文件上传为例,把文件转成base64。 @PostMapping("base64") public String base64(MultipartFile file) throws IOException { return Base64.getEncoder().encodeToString(file.getBytes()); } 2、解码 前端传base64和文件名称(也可以改成文件类型,名称用UUID或者其它,这里就不展示了)。如:xxx.jpg/xxx.
解决Maven导入依赖时出现Cannot resolve org.springframework:spring-webmvc:5.3.1
热门推荐
m0_59376721的博客
03-18 3万+
当我们在导入有关SpringMVC相关依赖时,出现 Cannot resolve org.springframework:spring-webmvc:5.3.1 原因一:网络不好导致文件未下载 原因二:spring-webmvc为小写,如果不小心将spring写成了Spring,后来再改回spring,是无法导入的。 解决原因二方法: 在IDEA中点击file,然后点击Setting 找到依赖下载的地方,我的依赖下载在,每个人情况不一样。当时配置Maven的时候,根据自己所下载的位置 然后根据这个位
自动构建SB项目,pom.xml报错Failure to transfer org.springframework.boot:spring-boot-starter-parent:pom:2.2.6.
handsomepig123_的博客
04-13 2万+
使用idea自动构建springboot项目,出现Failure to transfer org.springframework.boot:spring-boot-starter-parent:pom:2.2.6.RELEASE from https://repo.maven.apache.org/maven2 was cached in the local repository, resolut...
Failure to transfer org.springframework.boot:spring-boot-starter-parent:pom:2.4.3错误详解
qq_41486775的博客
03-03 2万+
今天在构建springcloud微服务的时候,导入相关依赖,发现pom.xml报错了,报错信息如下: Failure to transfer org.springframework.boot:spring-boot-starter-parent:pom:2.4.3 from https://repo.maven.apache.org/maven2 was cached in the local repository, resolution will not be reattempted until th.
Spring Base64Utils:编码解码小助手
最新发布
m0_51176516的博客
05-07 1388
Spring框架中的Base64Utils是一个实用的工具类,主要用于处理Base64编码和解码的操作。Base64编码是一种常见的编码方式,用于将二进制数据转换为ASCII字符串,以便在网络传输或存储时不会因数据中的特殊字符而引发问题。Base64Utils简化了Base64编码和解码的过程,使开发者能够轻松地进行相关操作。
springboot中base64前端编码与后端解码
YanYeFa
09-21 2388
  当前端向后端传递的参数含非法字符时(tomcat由于版本升级,考虑安全性,将一些字符判定为非法字符,当然可以通过降低tomcat版本,或者增添配置来更改,但是这些都不是好的方法),可采用前端base64编码后再传向后端,后端再解码即可,毕竟编码后这些特定字符就像被转化为二进制一样,可以随意传输了。 前端编码: function b64EncodeUnicode(str) { return btoa(encodeURIComponent(str).replace(/%([0-9A-F]{2})/g
Spring Security认证
HaiYun
07-01 451
Spring Security认证Spring Security认证基本原理与两种认证方式过滤器链认证方式1、HttpBasic认证2、fromLogin登录认证模式表单认证自定义表单登录基于数据库实现认证功能密码加密认证获取当前登录用户Remmber me 记住我退出登录Session管理会话超时并发控制集群sessioncsrf防护机制CSRF原理CSRF防御策略跨域与CORS跨域解决跨域基于SpringSecurity的CORS支持 Spring Security认证基本原理与两种认证方式 首先在工程
SpringBoot后端接收文件转换成Base64保存到数据库
ShanHuHai26的博客
08-19 3928
若依前后端分离项目:Spring Boot + Vue 后端接收文件转换成Base64保存到数据库
BASE64Encoder依赖的jar包配置方式
梦凝哲雪
08-20 1万+
Base64是一种能将任意Binary资料用64种字元组合成字串的方法,而这个Binary资料和字串资料彼此之间是可以互相转换的,十分方便。在实际应用上,Base64除了能将Binary资料可视化之外,也常用来表示字串加密过后的内容。 问题来源 此时 无法使用BASE64Encoder 因为 BASE64Encoder是依赖suan 公司提供的jar包的sun.misc.BASE64Encoder 而BASE64Encoder和BASE64Decoder两个方法都是sun公司的内部方法,并没有在Java
spring boot security ajax_springboot集成security
weixin_39664998的博客
11-21 97
在项目中其实一直在使用springsecurity框架.核心主要是几张表:用户表,用户角色关联表,角色表,角色权限关联表,权限表(菜单表) 工作中所使用的几张关联表,authorization(类似权限表),menu_list(菜单表,主要是关联authorization下的菜单名称进行子父菜单关联),user(用户表),role(角色表),role_action(角色权限表,主要关联role和...
6. Spring Security AuthenticationProvider
一个人的人生
11-29 789
AuthenticationProvider 目录 1.1     用户信息从数据库获取 1.1.1    使用jdbc-user-service获取 1.1.2    直接使用JdbcDaoImpl 1.2     PasswordEncoder 1.2.1    使用内置的PasswordEncoder 1.2.2    使用自定义的PasswordEncoder      
base64原理解析
自有贵人相助
04-20 1万+
开发者对Base64编码肯定很熟悉,是否对它有很清晰的认识就不一定了。实际 上Base64已经简单到不能再简单了,如果对它的理解还是模棱两可实在不应该。大概介绍一下Base64的相关内容,花几分钟时间就可以彻底理解它。文 章下边贴了一个Base64的编解码器,方便阅读文章的同时来实验。   一. Base64编码由来   为什么会有Base64编码呢?因为有些网络传送渠道并不支持所有的
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
weixin_47083537的博客
04-28 863
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
SpringSecurity:JSON登录详解及内存配置示例
在新建的SpringBoot项目中,引入`spring-boot-starter-security`和`spring-boot-starter-web`依赖,以确保项目能够集成Spring Security的基本功能和Web服务支持。 2. 配置Security Config: 创建一个名为`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值