使用Spring Security进行自动登录验证

最新推荐文章于 2024-03-14 06:06:49 发布
最新推荐文章于 2024-03-14 06:06:49 发布
阅读量3.8k 收藏 1
点赞数
分类专栏: java 文章标签: spring mvc spring security web

**

原文来自师兄的博客

**:
http://blog.csdn.net/df19900725/article/details/78085152

http://www.datalearner.com/blog/1051506310769424

在之前的博客使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法 中,我们描述了如何配置一个基于SpringMVC、SpringSecurity框架的网站系统。在这篇博客中,我们将继续描述如何使用Spring Security进行登录验证。 原文地址:http://www.datalearner.com/blog/1051506310769424 总结一下Spring Security的登录验证关键步骤: 1、在数据库中建好三张表,即users、authorities和persistent_logins三个。注意字段的定义,不能少,可以多,名字必须按规定来。 2、在Spring Security的配置文件中,配置好登录跳转的页面,登录处理的页面和加密情况。 3、在前台的jsp页面中,登录的字段必须和后台users表中的一致,一般都是username和password。 4、注册页面必须自己写,注册的处理也要自己写。 ### 一、创建数据表 使用Spring Security进行登录验证,需要我们在数据库中建好相应的表,并且字段要和Spring Security内置的字段一致。主要有3张表需要建立。一是users表,包含用户名和密码以及用户状态的表;第二个是authorities表,表明该用户角色的,方便做角色控制,比如是ROLE_USER还是ROLE_ADMIN(比如admin页面可能需要用户的ROLE_ADMIN权限,而ROLE_USER权限无法登录这个管理页面);最后一个是persistent_logins表,是登录状态的记录表,主要用来提供支持“记住我”功能的。三张表的创建语句如下: 

#create users table
CREATE TABLE `users` (
  `username` varchar(100) NOT NULL,
  `password` varchar(100) NOT NULL,
  `enabled` tinyint(1) NOT NULL DEFAULT '1',
  UNIQUE KEY `account` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

#create authorities table
CREATE TABLE `authorities` (
  `username` varchar(50) NOT NULL,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

#create persistent_logins table
CREATE TABLE `persistent_logins` (
  `username` varchar(64) NOT NULL,
  `series` varchar(64) NOT NULL,
  `token` varchar(64) NOT NULL,
  `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

记住,这三张表字段一定要至少包含以上字段。这样Spring Security才能识别。但是,我们也可以额外添加一些字段,比如在users中添加uid等。 ### 二、配置Spring Security的权限控制 配置Spring Security的控制信息就是配置哪些页面需要登录的用户才能访问,登录的页面是那一个,登陆成功跳转到哪里等。以如下配置为例:所有的js等在resources文件夹下的内容都不需要经过过滤器,因为这些都是静态资源。而首页(/),登录页(/signin)、注册页(/register)等不需要用户登录,但是需要经过过滤器(因为我们可能需要获取未登录用户的一些信息)。两种配置方式如下所示。最后我们使用

<form-login login-page="/signin" authentication-failure-url="/signin?login_error" default-target-url="/query"/>

这个配置来说明登录页面是”/signin”,即所有需要用户登录的页面,在用户未登录情况下需要跳转到这个页面,让用户登录。authentication-failure-url配置的是用户登录失败的页面,而default-target-url是配置用户登录成功后跳转的页面。

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xmlns:beans="http://www.springframework.org/schema/beans"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security-4.0.xsd">

    <!-- 配置为none的不经过任何spring的过滤器 -->
    <http pattern="/resources/**" security="none" />
    <http pattern="/sitemap.xml" security="none" />
    <http pattern="/favicon.ico" security="none" />

    <!-- 配置为permitAll允许用户访问,但依然经过过滤器处理 -->
    <http auto-config="true" use-expressions="true">

        <intercept-url pattern="/"  access="permitAll" />
        <intercept-url pattern="/index*" access="permitAll" />
        <intercept-url pattern="/signin*" access="permitAll" />
        <intercept-url pattern="/login*" access="permitAll" />
        <intercept-url pattern="/register*" access="permitAll" />
        <intercept-url pattern="/invalidsession*" access="permitAll" />
        <intercept-url pattern="/404*" access="none" />

        <form-login login-page="/signin" authentication-failure-url="/signin?login_error" default-target-url="/query"/>
        <logout logout-success-url="/query" delete-cookies="JSESSIONID" />

        <intercept-url pattern="/admin" access="hasRole('ROLE_ADMIN')" />
        <intercept-url pattern="/**" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" />

        <csrf disabled="true" />
        <access-denied-handler error-page="/403" />

        <remember-me data-source-ref="dataSource" token-validity-seconds="1209600" remember-me-parameter="remember-me" />

        <session-management invalid-session-url="/"> 
            <concurrency-control max-sessions="1"/> 
        </session-management>

    </http>

    <authentication-manager erase-credentials="false">
        <authentication-provider>
            <password-encoder ref="bcryptEncoder" />
            <jdbc-user-service data-source-ref="dataSource" />
        </authentication-provider>
    </authentication-manager>

    <beans:bean id="messageSource"
        class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
        <beans:property name="basenames">
            <beans:list>
                <beans:value>classpath:myMessages</beans:value>
            </beans:list>
        </beans:property>
    </beans:bean>

    <beans:bean name="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

</beans:beans>

,表明登录的时候会对密码进行加密,那么后面我们写注册页面的时候必须要对密码加密之后才能存入数据库。 ### 三、创建登录/注册的页面 这里属于前台的范畴,如果我们要使用Spring Security自带的验证方法,需要在前台也配置一样的信息来获取验证需要的字段,如用户名和密码。所以这里也是需要注意的地方。具体的页面核心代码如下(我们的页面使用了Bootstrap的前端工具,所以要引入bootrap和jquery等外部样式和脚本语言才会正常显示,但是这些显示不会影响功能,核心的字段不变即可): 

<div class="container">

    <!-- 页面切换代码 -->
    <ul class="nav nav-tabs" id="loginTab" role="tablist">
        <li class="nav-item">
            <a class="nav-link active" id="home-tab" data-toggle="tab" href="#login" 
                role="tab" aria-controls="home" aria-expanded="true">登录</a>
        </li>
        <li class="nav-item">
            <a class="nav-link" id="home-tab" data-toggle="tab" href="#register" 
                role="tab" aria-controls="home" aria-expanded="true">注册</a>
        </li>
    </ul>

    <div class="tab-content" id="myTabContent">
        <!-- 登录页面 -->
        <div id="login" class="tab-pane fade show active" role="tabpanel" aria-labelledby="login-tab">
            <form class="form-signin" action="login" method="post">
                <label for="username" class="sr-only">Email address</label>
                <input type="email" name="username" id="username" class="form-control" placeholder="邮件地址">
                <label for="password" class="sr-only">Password</label>
                <input type="password" name="password" id="password" class="form-control" placeholder="密码">
                <button class="btn btn-lg btn-primary btn-block" type="submit">点击登录</button>
            </form>

        </div>

        <!-- 注册页面 -->
        <div id="register" class="tab-pane fade" role="tabpanel" aria-labelledby="register-tab">
            <div id="register_attention_alert_reg"></div>
            <form class="form-signin" onsubmit="return register()" method="post">
                <label for="registerEmail" class="sr-only">Email address</label>
                <input type="email" id="registerEmail" name="registerEmail" class="form-control" placeholder="邮件地址">
                <label for="registerPassword" class="sr-only">Password</label>
                <input type="password" name="password" id="registerPassword" class="form-control" placeholder="密码">
                <label for="inputPassword2" class="sr-only">Password</label>
                <input type="password" id="inputPasswordForRegister2" class="form-control" placeholder="请再次输入密码">
                <button class="btn btn-lg btn-primary btn-block" onclick="submit">点击注册</button>
            </form>
        </div>
    </div>

</div>

这里有两个Tab页代码,一个是登录Tab一个是注册Tab。主要是登录的Tab要和Spring Security一致,即登录的处理应当是 login,即 action="login",用户名的ID和name应该是 username,而密码的应该是 password,即提交给登录验证的两个参数应当是username和password,处理的请求页是 login

具体详细介绍请看师兄的原文。

HFUT_qianyang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 3多用户登录实现之九 基于持久化存储的自动登录
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1727761
SpringSecurity是如何实现账号密码的验证登录
ykh12345678的博客
07-20 4071
个人理解: ​​​​​​1、 首先在 配置类中定表单登录的URL和账号密码 2、jsp表单中的url和账号秘密要与指定的名称一致。 3、创建SecurityAdmin类,集成User类,因为User类只包含username和password,而我们的实体类肯定不仅仅包含这两个属性 4、新建CrowdUserDetailsService 类,实现UserDetailsService接口登录SpringSecurity会调用下面的方法,并将用户名传入,根据用户名查询出Admin对象和权限,并将Adm..
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
m0_60721967的博客
03-14 924
至此,文章终于到了尾声。技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;项目经历:只写明星项目,描述遵循 STAR 法则;简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;以及最后为大家准备的福利间:简历模板+Java面试题+热门技术系列教程视频. 技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;2. 项目经历:只写明星项目,描述遵循 STAR 法则;3. 简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
Maven构建多项目,如何前后端,B/S A/S分离,代码结构清晰。 SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是老鸟,觉得能得到收获
17.SpringSecurity-web权限方案-自动登录(功能实现)
自能生羽翼,何必仰云梯
04-26 891
创建数据库表 CREATE TABLE `persistent_logins` ( `username` varchar(64) NOT NULL, `series` varchar(64) NOT NULL, `token` varchar(64) NOT NULL, `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KEY (`series`) ) ENG
(一)如何使用Spring-security来实现登录验证功能(XML配置方式)?
王伟的博客
08-18 2018
先从使用xml的方式来实现用户的权限登录 (1)需要在maven工程中加上关于spring-secutity的jar包的依赖 //spring-securityd 有关的依赖 &amp;lt;dependency&amp;gt; &amp;lt;groupId&amp;gt;org.springframework.security&amp;lt;/groupId&amp;gt; &amp;lt
Spring Security 登录认证
weixin_45722666的博客
01-13 1297
SpringBoot + SpringSecurity + Jwt + token 进行登录认证
spring security 自动登录
有范编程
03-07 426
Spring Security记住自动登录,安全和便捷 用户登录网后,一般情况为了用户的账号安全如果停留网站太久没有操作,或者隔一段间再打开,浏览器就会跳转到用户的登录界面,但是如果是自己的电脑,设置了屏幕锁密码,又经常访问的网站,就会想让它自动登录。所以有的网站登录页多一个勾选的按钮有了免登录三天,或者自动登录自动登录实现原理 在用户勾选自动登录成功后,后端生成两个cookie浏览器本地存储,set-cookie remember-me来存储免登录用户名,过期间。cookie session标识
如何利用SpringSecurity进行认证与授权
qq_63218110的博客
02-14 1989
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
第二篇 spring security简单实现自动登录
weixin_44718708的博客
12-29 1360
spring security自动登录是通过登录生成并保存相关加密串,在下次登录失效再访问直接从拉取保存的加密串进行自动登录验证来实现,再次访问不需要再显式地进行用户名密码登录。框架中自动登录加密串存储主要基于关系型数据库实现。
详解使用Spring Security进行自动登录验证
08-29
本篇文章主要介绍了详解使用Spring Security进行自动登录验证,非常具有实用价值,需要的朋友可以参考下
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用才会重建表)
spring security 3 登录 退出 认证 最少配置
01-12
应用中涉及到安全认证,目前项目有独立的统一认证网关,所以登录只需要将安全认证网关的认证后信息塞到spring security中,由security3来管理用户的权限设置。目前项目由spring security2升级到spring security3。...
spring-security-registration:进一步进入“了解Spring Security
04-28
使用Spring Security允​​许从接受的位置进行身份验证 Spring Security –注册后自动登录用户 使用Spring Security跟踪已登录的用户 Spring Web App登录–错误处理和本地化 通知用户从新设备或位置登录 使用...
Spring Security 详解
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
SpringBoot + Spring Security 基本使用及个性化登录配置
热门推荐
whyalwaysmea
03-18 15万+
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring S...
高级色系PPT11.pptx
最新发布
05-08
高级色系PPT11.pptx
springsecurity实现自动登录
09-06
要实现Spring Security自动登录功能,你可以按照以下步骤进行操作: 1. 确保你已经将Spring Security添加到你的项目中,并配置好了基本的安全设置。 2. 创建一个实现了`UserDetailsService`接口的类,用于从数据库或其他数据源中加载用户信息。该接口中的`loadUserByUsername`方法根据用户名返回一个`UserDetails`对象,其中包含了用户的信息和权限。 3. 在Spring Security的配置文件中,使用`rememberMe()`方法启用自动登录功能,并配置相关参数。例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .rememberMe() .key("yourSecretKey") // 设置一个密钥,用于生成和验证令牌 .userDetailsService(userDetailsService); // 设置刚才创建的UserDetailsService实现类 } ``` 4. 在用户登录成功后,使用`RememberMeServices`接口提供的方法生成一个持久化的令牌,并将其发送给客户端。 ```java @Autowired private RememberMeServices rememberMeServices; @PostMapping("/login") public String login(HttpServletRequest request, HttpServletResponse response) { // 处理用户登录逻辑 // 生成一个持久化的令牌并发送给客户端 rememberMeServices.loginSuccess(request, response, authentication); } ``` 5. 在应用程序启动,配置一个`PersistentTokenRepository`实现类来管理持久化令牌的存储和检索。你可以选择将令牌存储在数据库中或其他持久化存储器中。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // ... @Bean public PersistentTokenRepository persistentTokenRepository() { // 配置持久化令牌的存储和检索方式 // 例如,可以使用JdbcTokenRepositoryImpl将令牌存储在数据库中 JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl(); tokenRepository.setDataSource(dataSource); return tokenRepository; } } ``` 通过按照以上步骤进行配置,你就可以实现Spring Security自动登录功能了。当用户登录成功并选择“记住我”选项,下次访问应用程序就会自动使用持久化的令牌进行登录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值