17.SpringSecurity-web权限方案-自动登录(功能实现)

已于 2022-09-14 17:05:23 修改
阅读量891 收藏
点赞数
分类专栏: Spring Security OAuth2.0 文章标签: java
于 2022-04-26 10:48:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stubborn_bull/article/details/124422283
版权

创建数据库表

CREATE TABLE `persistent_logins` (
 `username` varchar(64) NOT NULL,
 `series` varchar(64) NOT NULL,
 `token` varchar(64) NOT NULL,
 `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE 
CURRENT_TIMESTAMP,
 PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

  也可以不手动创建,JdbcTokenRepositoryImpl中有定义的sql,能自动创建

public class JdbcTokenRepositoryImpl extends JdbcDaoSupport implements
      PersistentTokenRepository {
   // ~ Static fields/initializers
   // =====================================================================================

   /** Default SQL for creating the database table to store the tokens */
   public static final String CREATE_TABLE_SQL = "create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, "
         + "token varchar(64) not null, last_used timestamp not null)";
   /** The default SQL used by the <tt>getTokenBySeries</tt> query */
   public static final String DEF_TOKEN_BY_SERIES_SQL = "select username,series,token,last_used from persistent_logins where series = ?";
   /** The default SQL used by <tt>createNewToken</tt> */
   public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";
   /** The default SQL used by <tt>updateToken</tt> */
   public static final String DEF_UPDATE_TOKEN_SQL = "update persistent_logins set token = ?, last_used = ? where series = ?";
   /** The default SQL used by <tt>removeUserTokens</tt> */
   public static final String DEF_REMOVE_USER_TOKENS_SQL = "delete from persistent_logins where username = ?";

WebSecurityConfig注入数据源、配置操作数据库对象

/**
 * 注入数据源
 */
@Autowired
private DataSource dataSource;

/**
 * 配置对象
 * @return
 */
@Autowired
public PersistentTokenRepository persistentTokenRepository(){
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    //启动的时候将表创建
    //jdbcTokenRepository.setCreateTableOnStartup(true);
    return jdbcTokenRepository;
}

配置自动登录

@Override
protected void configure(HttpSecurity http) throws Exception {
        //访问/logout退出后,跳转到到test/hello路径
        http.logout().logoutUrl("/logout")
                .logoutSuccessUrl("/test/hello").permitAll();

        http
            //自定义自己编写的登录页面
            .formLogin()
            //登录页面设置
            .loginPage("/login.html")
            //登录访问路径
            .loginProcessingUrl("/user/login")
            //登录成功之后,跳转路径
            .defaultSuccessUrl("/success.html").permitAll()
            //设置那些路径可以直接访问,不需要认证
            .and().authorizeRequests()
            .antMatchers("/","/test/hello","/test/erro").permitAll()
            //当前登录用户,只有具备admins权限才可以访问这个路径
            //.antMatchers("/test/index").hasAuthority("admins")
            //当前登录用户,只要具备其中一个权限就可以访问这个路径
            //.antMatchers("/test/index").hasAnyAuthority("admins","manager")
            //当前登录用户,只有具备sale角色才可以访问这个路径
            //.antMatchers("/test/index").hasRole("sale")
            //当前登录用户,只要具备其中一个角色就可以访问这个路径
            .antMatchers("/test/index").hasAnyRole("sale","role")
            // 除上面外的所有请求全部需要鉴权认证
            .anyRequest().authenticated()
            //设置自动登录
            .and().rememberMe().tokenRepository(persistentTokenRepository())
            //设置自动登录有效时长,单位秒
            .tokenValiditySeconds(20)
            //设置自动登录操作数据库
            .userDetailsService(userDetailsService)
            // CSRF禁用,因为不使用session
            .and().csrf().disable();
}

登录界面增加记住我选框

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

<form action="/api/auth/user/login" method="post">
        <input type="text" name="username"  placeholder="输入用户名"/>
        <input type="text" name="password"  placeholder="输入密码"/>
        <input type="checkbox" name="remember-me"/>自动登录
        <br>
    <button>登录</button>
</form>
</body>
</html>

  此处:name 属性值必须位 remember-me.不能改为其他值

访问控制

@GetMapping("update")
//@Secured({"ROLE_role","ROLE_manager"})
//@PreAuthorize("hasAnyAuthority('admins')")
@PostAuthorize("hasAnyAuthority('admins')")
public String update(){
    SimpleDateFormat dateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
    String s = dateFormat.format(new Date());
    //获取当前时间后的30秒
    Date date = new Date(System.currentTimeMillis()+30*1000);
    String e = dateFormat.format(date);
    return "自动登录开始时间->"+s+" 过期时间->"+e;
}

测试

  1、查看Cookie变化

  2、数据库变化

  3、有效时长准确性,维护的时间和北京时间相差8个小时,是时区影响导致,我们只看分秒

  4、在有效期内关掉游览器是否能自动登录,过期后是否需要再次登录

  动态图片太大了,上传不上来可以跳到有道笔记上去看:图片

  以上都已实现;

九宫格输入法
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用SpringSecurity完成JavaWeb应用的登录与退出
tsxiong123的博客
07-02 820
1.SpringSecurity的概述 Spring Security 是一个专注于向 Java 应用程序提供身份验证和授权的安全框架,与所有 Spring 项目一样,Spring Security 的真正优势在于它可以很容易地扩展以满足定制需求。目前,Spring SecuritySpring 官网的顶级项目,与 spring boot、spring data、spring cloud 等...
springboot17 集成SpringSecurity
菜鸟要成长的博客
03-30 167
17、集成SpringSecurity 17.1、安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素
JWT Security Session
Liamlf的博客
08-23 895
JWT最常见的场景就是授权认证,一旦认证用户登录,后续每个请求都将包含JWT,系统在每次处理用户请求之前,都要先进行JWT安全校验,通过之后在进行处理。JWT是一种紧凑且自包含的,用于多方传递JSON对象的技术。传递的数据可以使数据签名增加其安全性。可以使用HMAC加密算法或RSA公钥/私钥加密方式jwt有何作用?
Spring security登录授权用户有效期简单例子
Zhang Phil
01-21 1955
在上一个例子基础上: https://zhangphil.blog.csdn.net/article/details/122489213https://zhangphil.blog.csdn.net/article/details/122489213加入一些简单改造,任何登录授权用户会给一个登录后的有效期,超时后,当前用户需要重新登录认证。这种场景就是常见的网页和app的“记住我”(记住用户名和密码)功能,“记住我”的时间可以通过spring的rememberMe()完成。 修改的代码: @
16.SpringSecurity-web权限方案-自动登录(原理分析)
自能生羽翼,何必仰云梯
04-26 345
实现原理   1.首次登录游览器保存cookie加密串Token,数据库保存cookie加密串及用户信息;   2.再次访问,通过游览器中保存的cookie加密串获取数据库中的用户信息,并进行认证登录; 具体流程 源码   之前有讲过UsernamePasswordAuthenticationFilter是过滤器链中的其中之一,其作用是对/login 的 POST 请求做拦截,校验表单中用户名,密码。   attemptAuthentication方法就是其具体的实现,重点不是这里,是校验之后的逻辑,所
spring security 参考手册中文版
02-01
41.1.17 <anonymous> 295 的父元素 295 属性 295 41.1.18 <csrf> 295 父元素<csrf> 296 属性 296 41.1.19 <custom-filter> 296 <custom-filter>的父元素 296 <custom-filter>属性 296 41.1.20 <expression-...
spring-boot示例项目
03-25
该项目包含helloworld(快速入门)、web(ssh项目快速搭建)、aop(切面编程)、data-redis(redis缓存)、quartz(集群任务实现)、shiro(权限管理)、oauth2(四种认证模式)、shign(接口参数防篡改重放)、encoder(用户...
最新ssm项目教务信息平台的设计与实现+jsp.zip
04-10
该项目以Spring Spring MVC MyBatis作为后端技术架构,并采用JSP作为前端展示层,旨在为教务管理提供一个集成化、自动化和智能化的解决方案。 以下是对该系统的主要功能和特点的介绍: 1. **课程安排管理**:系统...
最新ssm项目明嘉新材料公司仓库管理的设计和实现+jsp.zip
04-10
该项目以Spring Spring MVC MyBatis作为后端技术架构,并使用JSP作为前端展示层,旨在为明嘉新材料公司提供一个全面和高效的仓库管理解决方案。 以下是对该系统的主要功能和特点的介绍: 1. **库存管理**:系统...
springboot基于Web的社区医院管理服务系统.zip
最新发布
04-15
SpringBoot基于Web的社区医院管理服务系统是一个为社区医疗环境设计的综合性管理平台,它利用SpringBoot的快速开发特性和微服务架构,旨在提升医院的服务效率、优化患者体验,并实现医疗资源的高效管理。该系统结合...
Spring Security打造一个简单Login登录页面,实现登录+跳转+注销+角色权限功能,核心代码不到100行!
m0_59562547的博客
10-20 5146
#Spring Security简介 信息安全可以说是任何公司的红线,一般项目都会有严格的认证和授权操作。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,来自于Spring家族,专注于为 Java 应用程序提供身份验证和授权,它是保护基于Spring应用程序的事实上的行业标准。 就我理解和使用而言,Spring Security配置即用、功能强大、非常灵活,能将开发人员从大量安全协议和开发中解脱出来,更加专注于业务。 #Login登录页面设计思路和流程图: 认证和授
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2326
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
Spring Security学习二 - 自定义Login方法
热门推荐
lee353086的专栏
09-19 1万+
自定义Spring Security的Login方法。
Spring Security
Dailyblue的专栏
06-28 1853
对于权限的管理,在企业应用程序的开发中,是必不可少的功能,但是能够灵活且强大的权限控制又不是一件容易的事情,所以在自己学习编写权限控制体系的基础上也接触一下成熟的框架,Spring 的全家桶系列 Spring Security 就进入了我们的视线。.........
Spring Security登录
最佳 Java 编程
05-15 601
1.简介 本文将重点介绍使用Spring Security登录 。 我们将在前面的简单Spring MVC示例的基础上构建,因为这是设置Web应用程序和登录机制的必要部分。 2. Maven依赖 要将Maven依赖项添加到项目中,请参阅Spring Security with Maven文章 。 标准的spring-security-webspring-security-config都...
18.SpringSecurity-web权限方案-CSRF功能
自能生羽翼,何必仰云梯
05-07 337
CSRF 理解   跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。   跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些
9.SpringSecurity-web权限方案-用户认证(设置用户名密码)
自能生羽翼,何必仰云梯
04-11 395
方式一,在 application.properties spring.security.user.name=user spring.security.user.password=123321 方式二,编写实现类继承WebSecurityConfigurerAdapter   类图如下:   简单案例(不实用,只是举个例子): @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
Spring Security权限控制系列
m0_73257876的博客
08-30 1742
过滤器链中的每一个过滤器都是有系统提供的,每种过滤器都处理不同方面的事,如果我们希望在现有的过滤器链中加入我们的一些处理过滤该如何操作?Spring Security为我们提供了往过滤器链中添加过滤器的接口,接下来通过实例来看如何向过滤器链中添加我们自定义的过滤器,以此实现我们自己的逻辑。自定义过滤器@Component= null) {}}}添加到过滤器链。...
springSecurity实现登录的认证与授权——实习日志7.17
weixin_30808693的博客
07-17 94
1.Maven中的pom.xml配置所依赖的包 <!--放在properties属性中--> <spring.security.version>5.0.1.RELEASE</spring.security.version> <dependency> <groupId>org.springfra...
Spring Security+JWT实现
08-20
- *1* *2* [厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证](https://blog.csdn.net/qing_gee/article/details/124016059)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值