精通Spring Boot—— 第二十篇:Spring Security记住我功能

最新推荐文章于 2023-01-13 17:45:00 发布
最新推荐文章于 2023-01-13 17:45:00 发布
阅读量214 收藏
点赞数
文章标签: java 数据库 python
原文链接:https://my.oschina.net/liululee/blog/3008593
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

引言

本章的代码实现是在上一篇教程:精通Spring Boot——第十九篇:Spring Security 整合验证码登录基础上,如果感觉本篇跳跃幅度较大,可先阅读上一篇,或访问我的github.com(文末会附上地址),下载源码阅读。

1.基本原理介绍

Spring Security记住我功能的基本原理: 首先当我们的浏览器发送请求到UsernamePasswordAuthenticationFilter时,如果认证成功的话,会调用一个RememberMeService服务, 在RememberMeService中,存在一个TokenRepository,它会将token写入到浏览器的cookie中,并将token同时写入到数据库。当用户在下一次重新登录时,服务请求会经过RememberMeAuthentionFilter,这个filter会读取浏览器Cookie中的token,然后再传递给RememberMeService, RememberMeService再去数据库中查询该token是否有效,若该token有效,则会取出对应的用户名,再去调用UserDetailsService获取用户信息,再将用户信息放入SecurityContext里面。

---图片来源网络

RememberMeAuthentionFilter在Spring Security过滤器链中处于AuthenticationFileter中的最后,当其他验证方式无法验证用户信息时,才会调用RememberMeAuthentionFilter类来验证用户信息。

---图片来源网络

2.如何实现

要实现记住我功能,在Spring Security中操作比较简单,只需要实例化PersistentTokenRepository,然后在配置中增加rememberMe配置就行,具体代码实现如下:

import com.linking.springsecurityremeberme.filter.CaptchaFilter;
import com.linking.springsecurityremeberme.handler.MyFailureHandler;
import com.linking.springsecurityremeberme.service.impl.UserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;

/**
 * @author developlee
 * @since 2019/1/18 15:30
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private DataSource dataSource;

    @Bean
    public PersistentTokenRepository tokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        // 设置为true,则项目启动时,会在对应数据源中自动建表token表
        jdbcTokenRepository.setCreateTableOnStartup(false);
        return jdbcTokenRepository;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Autowired
    private AppConfig appConfig;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin().loginPage("/sign_in").loginProcessingUrl(appConfig.getLoginUri())
                .defaultSuccessUrl("/welcome").permitAll()
                .failureHandler(new MyFailureHandler())
                .and().authorizeRequests().antMatchers("/code/image").permitAll()
                .and().addFilterBefore(new CaptchaFilter(appConfig, new MyFailureHandler()), UsernamePasswordAuthenticationFilter.class)
                .logout().logoutUrl("/auth/logout").clearAuthentication(true)
                .and().rememberMe().tokenRepository(tokenRepository())//设置tokenRepository
                .alwaysRemember(true) // 总是记住,会刷新过期时间
                .tokenValiditySeconds(300)// 设置过期时间为5分钟
                .userDetailsService(userDetailsService) // 设置userDetailsService,用来获取username
                .and().authorizeRequests().anyRequest().authenticated();
    }
}

在页面中,新增记住我

  <span><input name="rememberMe" type="checkbox" th:value="true">记住我</span>

3.测试

经过上面的步骤,我们基本上已经完成了如何添加记住我功能,接下来我们在页面上输入用户名和密码,并同时点击记住我。登录成功后,会跳转至welcome.html页。然后重启系统,清空服务器session, 再次去访问welcome.html,看看能否直接访问。 点击登录,已经成功跳转到welcome.html,重启清空session,直接在地址输入http:localhost:8080/welcome.html 直接能够访问,说明在请求在经过Spring Security过滤器链时,读取了cookies中的token,并通过token去查找了用户的信息,再通过userDetailsService进行了登录。

4.记住我源码分析

OK,我们先从第一步登录操作开始说起,第一次登录时,必然会经过UsernamePasswordAuthenticationFilter,所以把断点设置在该类中 然后接着代码走走走,下一步来到successfulAuthentication这个方法,也就是登录成功后的处理方法,可以看到这里rememberService会将登录成功的用户信息保存

OK,再接着走,看下这个rememberService.onLoginSuccess具体实现 可以看到,这个方法,会将一条token记录插入到数据库中,并写入到Cookie。到这里为止,登录操作基本已经完成。 接下来重新启动下服务,并直接访问welcome.html,看看代码的执行顺序如何。断点要打在RememberMeService中的autoLogin方法。 看下实现,首先是判断cookie是否为null和为空,接着往下走,来到decodeCookie解析cookie,然后通过processAutoLoginCookie这个方法,去数据库中通过cookieToken查询用户信息,接下来再对用户信息进行校验(用户更换了密码之类的情况),check成功后,再执行登录操作,写入用户信息到SecurityContext中。

以下是processAutoLoginCookie方法的具体实现。

在Spring Security中实现记住我功能有两种实现,一种是上面介绍的PersistentTokenBasedRememberMeService,一种是TokenBasedRememberService。 这两种的区别主要在于什么呢? 它们是AbstractRememberMeServices.onLoginSuccess方法的不同实现。 上面介绍的PersistentTokenBasedRememberMeService,是生成token的key,expireTime等信息保存在数据库中的,而TokenBasedRememberService则是将key,expireTime等信息保存在客户端(浏览器)中的,验证方式也所有不同。 看下TokenBasedRememberService中对token的验证实现,大概可以得出这样的结论

5.总结

这篇的内容主要目的是为系统增加‘记住我’功能,相对比较简单,代码的编写量也比较少。在本篇我们也分析了一下Spring Security中实现这个功能的源码,需要实现的主要是PersistentTokenRepository,并在配置中增加RememberMe的配置。 本篇的源代码可在我的github.com中找到,欢迎大家star 精通Spring Boot系列和follow我本人,也可以加我本人微信探讨技术,感谢您观看此文,谢谢!

转载于:https://my.oschina.net/liululee/blog/3008593

weixin_33743703
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot整合SpringSecurity登入-记住
程序员劝退师的博客
05-21 874
记住功能,这个是登入时常见的功能,就是用户在登入一次以后,勾选记住功能按钮后,系统会记住用户一段时间,在这段时间内用户不应反复登入系统的操作; 简单说明一下:浏览器在用户登入的时候,发送认证请求给UsernamePassworAuthenticationFilter这个身份认证过滤器,或者是自己特定的过滤器,当我们的认证过滤器认证成功后会调用一个RemeberMeService的服务,这个服务里面有一个TokenRepository,这个会生成一个Token,然后将这个Token返回给浏览器并写入到C
Spring boot中使用Spring Security记住我 remember-me功能
KeepLearnToOld的博客
09-10 1313
Spring boot中使用Spring Security记住我 remember-me功能 问题描述:Spring security新手,在登录时加上记住功能,需要使用框架自带的记住我。 记住的用户数据,在数据库中做了持久化处理 首先 pom.xml文件中需要引入: <dependency> <groupId>org.spr...
SpringSecurity系列】SpringBoot集成SpringSecurity添加记住我的功能
huxiaodong1994的博客
12-12 839
从一文章里我们已经添加了验证码进行登录,这博文,我们将添加一个新的功能记住我的来进行登录,防止需要反复去登录,提高用户体验。 首先我们来看一下具体的流程图: 当我们第一次登录的认证通过UsernamePasswordAuthenticationFilter链接器后,我们会进入RemeberMeService,这个方法主要做两个操作,一个是将我们的认证token写入数据库,一个是将tok...
Spring Security教程(七):RememberMe功能
dichengyan0013的博客
11-20 464
在之前的教程中一笔带过式的讲了下RememberMe记住密码的功能,那的Remember功能是最简易的配置,其功能安全性都不强。这里就配置下security中RememberMe的各种方式。 一、概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自...
4 springboot security+记住功能
charly
05-23 704
springsecurity增加记住功能,实现当用户勾选了记住我并登陆成功后能够不用登陆直接可以再次登陆。 token 持久化 需要依赖数据库信息 pom中增加数据库依赖 <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
最新发布
11-13
总之,这个项目提供了全面的示例,展示如何利用Spring Boot Security 2.5.8实现多种登录方式,并结合记住密码和JWT功能,构建了一个健壮的安全认证系统。对于任何想要在Spring Boot应用中实施安全控制的开发者来说,...
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
Spring Boot简化了创建独立、生产级别的基于Spring的应用程序,并且Spring SecuritySpring生态系统的安全模块,提供了丰富的功能来保护我们的应用程序。 首先,让我们了解什么是基本身份验证。基本身份验证是一种...
spring-boot-security-jwt:使用Spring Boot + Security + JWT用于REST端点的项目
01-30
发布Tomcat嵌入8.5.15 乔达日期时间2.9.9登录您可以使用两种方式登录: 1-在LoginController中调用端点/ login 格式:JSON { "username" : "user" "password" : "test123"}2-调用SpringSecurity提供的端点/ ...
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
Spring Security实现两周内自动登录"记住我"功能
08-25
登录过程中经常使用的“记住我”功能,也就是我们经常会在各种网站登陆时见到的"两周内免登录",“三天内免登录”的功能。今天小编给大家分享基于Spring Security实现两周内自动登录"记住我"功能,感兴趣的朋友一起看看吧
SpringBoot整合SpringSecurity(四)记住
fulinlin的博客
06-28 2212
实现“记住我” 功能 ,在用户登陆一次以后,系统会记住用户一段时间,在这段时间,用户不用反复登陆就可以使用我们的系统。 先说一下使用 改动 拿之前第的入门程序举例子 改一些login.html <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>登录&lt...
SpringBoot-29-springSecurity记住我及首页定制
时光
08-23 165
SpringBoot-29-springSecurity记住我及首页定制
Spring Security实现记住功能&源码分析
Charge8的博客
01-12 2024
Spring Security实现记住功能&源码分析
SpringBoot + Spring Security 学习笔记记住功能实现
Candour_0的博客
01-13 242
SpringBoot + Spring Security 学习笔记记住功能实现
Spring Security 记住功能原理以及实现
ZhuPengWei_
02-28 7078
用户名登陆的案例 实现“记住我” 功能 在用户登陆一次以后,系统会记住用户一段时间,在这段时间,用户不用反复登陆就可以使用我们的系统。 记住功能的基本原理 用户发送请求到UsernamePasswordAuthenticationFilter,当用户认证成功以后,会调一个RemeberMeService这样一个服务。这个服务里面有一个TokenRepository,会生成一个Toke...
SpringSecurity记住功能的实现
xiaokanfuchen86的博客
01-15 905
Spring security记住我基本原理: 登录的时候,请求发送给过滤器UsernamePasswordAuthenticationFilter,当该过滤器认证成功后,会调用RememberMeService,会生成一个token,将token写入到浏览器cookie,同时RememberMeService里边还有个TokenRepository,将token和用户信息写入到数据库中。这样当用户再次访问系统,访问某一个接口时,会经过一个RememberMeAuthenticationFilter的过滤
spring security记住我实现
huangbaokang的博客
12-07 382
在上一博客中,在自定义的配置类中,增加数据源的注入,增加一个PersistentTokenRepository 的Bean @Autowired private DataSource dataSource; @Autowired private PersistentTokenRepository persistentTokenRepository; @Bean public PersistentTokenRepository persistentTokenRep
史上最简单的Spring Security教程(三十七):RememberMe记住我原理剖析
银河架构师的博客
10-20 1554
​用户登录中常用的RememberMe-记住功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对Spring Security框架提供的RememberMe-记住我实现逻辑进行详细讲解,剖析其实现过程。 用户登录 首先,在用户登录时,如果用户勾选了 记住我 选项,则系统会将该用户的一些信息进行处理,以便下次不必登录即可访问系统。在第一次登录时,请求会由 Us...
Spring BootSpring Security 4集成实战:身份验证、加密与数据库记住功能
"本文档详细介绍了如何在Spring Boot项目中整合Spring Security 4进行用户身份认证、登录退出、密码加密、以及数据库驱动的记住功能的实现。首先,文档强调了使用Javaconfig而非XML配置,以适应Spring Boot的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值