java security 详解_Spring Security Remember me使用及原理详解

最新推荐文章于 2023-03-25 16:39:22 发布
最新推荐文章于 2023-03-25 16:39:22 发布
阅读量491 收藏
点赞数
文章标签: java security 详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36202603/article/details/114553638
版权

Remember me功能就是勾选"记住我"后,一次登录,后面在有效期内免登录。

先看具体配置:

pom文件:

org.springframework.boot

spring-boot-starter-data-jpa

org.springframework.boot

spring-boot-starter-security

Security的配置:

@Autowired

private UserDetailsService myUserDetailServiceImpl; // 用户信息服务

@Autowired

private DataSource dataSource; // 数据源

@Override

protected void configure(HttpSecurity http) throws Exception {

// formLogin()是默认的登录表单页,如果不配置 loginPage(url),则使用 spring security

// 默认的登录页,如果配置了 loginPage()则使用自定义的登录页

http.formLogin() // 表单登录

.loginPage(SecurityConst.AUTH_REQUIRE)

.loginProcessingUrl(SecurityConst.AUTH_FORM) // 登录请求拦截的url,也就是form表单提交时指定的action

.successHandler(loginSuccessHandler)

.failureHandler(loginFailureHandler)

.and()

.rememberMe()

.userDetailsService(myUserDetailServiceImpl) // 设置userDetailsService

.tokenRepository(persistentTokenRepository()) // 设置数据访问层

.tokenValiditySeconds(60 * 60) // 记住我的时间(秒)

.and()

.authorizeRequests() // 对请求授权

.antMatchers(SecurityConst.AUTH_REQUIRE,securityProperty.getBrowser().getLoginPage()).permitAll() // 允许所有人访问login.html和自定义的登录页

.anyRequest() // 任何请求

.authenticated()// 需要身份认证

.and()

.csrf().disable() // 关闭跨站伪造

;

}

/**

* 持久化token

*

* Security中,默认是使用PersistentTokenRepository的子类InMemoryTokenRepositoryImpl,将token放在内存中

* 如果使用JdbcTokenRepositoryImpl,会创建表persistent_logins,将token持久化到数据库

*/

@Bean

public PersistentTokenRepository persistentTokenRepository() {

JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();

tokenRepository.setDataSource(dataSource); // 设置数据源

// tokenRepository.setCreateTableOnStartup(true); // 启动创建表,创建成功后注释掉

return tokenRepository;

}

上面的myUserDetailServiceImpl是自己实现的UserDetailsService接口,dataSource会自动读取数据库配置。过期时间设置的3600秒,即一个小时

在登录页面加一行(name必须是remeber-me):

"记住我"基本原理:

6491aaaeddcf2bf15455e1710d679eab.gif

1、第一次发送认证请求,会被UsernamePasswordAuthenticationFilter拦截,然后身份认证。

认证成功后,在AbstracAuthenticationProcessingFilter中,有个RememberMeServices接口。

该接口默认实现类是NullRememberMeServices,这里会调用另一个实现抽象类AbstractRememberMeServices

// ...

private RememberMeServices rememberMeServices = new NullRememberMeServices();

protected void successfulAuthentication(HttpServletRequest request,HttpServletResponse response,FilterChain chain,Authentication authResult) throws IOException,ServletException {

// ...

SecurityContextHolder.getContext().setAuthentication(authResult);

// 登录成功后,调用RememberMeServices保存Token相关信息

rememberMeServices.loginSuccess(request,response,authResult);

// ...

}

2、调用AbstractRememberMeServices的loginSuccess方法。

可以看到如果request中name为"remember-me"为true时,才会调用下面的onLoginSuccess()方法。这也是为什么上面登录页中的表单,name必须是"remember-me"的原因:

6491aaaeddcf2bf15455e1710d679eab.gif

3、在Security中配置了rememberMe()之后, 会由PersistentTokenBasedRememberMeServices去实现父类AbstractRememberMeServices中的抽象方法。

在PersistentTokenBasedRememberMeServices中,有一个PersistentTokenRepository,会生成一个Token,并将这个Token写到cookie里面返回浏览器。PersistentTokenRepository的默认实现类是InMemoryTokenRepositoryImpl,该默认实现类会将token保存到内存中。这里我们配置了它的另一个实现类JdbcTokenRepositoryImpl,该类会将Token持久化到数据库中

// ...

private PersistentTokenRepository tokenRepository = new InMemoryTokenRepositoryImpl();

protected void onLoginSuccess(HttpServletRequest request,Authentication successfulAuthentication) {

String username = successfulAuthentication.getName();

logger.debug("Creating new persistent login for user " + username);

// 创建一个PersistentRememberMeToken

PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(

username,generateSeriesData(),generateTokenData(),new Date());

try {

// 保存Token

tokenRepository.createNewToken(persistentToken);

// 将Token写到Cookie中

addCookie(persistentToken,request,response);

}

catch (Exception e) {

logger.error("Failed to save persistent token ",e);

}

}

4、JdbcTokenRepositoryImpl将Token持久化到数据库

/** The default sql used by createNewToken */

public static final String DEF_INSERT_TOKEN_sql = "insert into persistent_logins (username,series,token,last_used) values(?,?,?)";

public void createNewToken(PersistentRememberMeToken token) {

getJdbcTemplate().update(insertTokensql,token.getUsername(),token.getSeries(),token.getTokenValue(),token.getDate());

}

查看数据库,可以看到往persistent_logins 中插入了一条数据:

6491aaaeddcf2bf15455e1710d679eab.gif

5、重启服务,发送第二次认证请求,只会携带Cookie。

所以直接会被RememberMeAuthenticationFilter拦截,并且此时内存中没有认证信息。

可以看到,此时的RememberMeServices是由PersistentTokenBasedRememberMeServices实现

6491aaaeddcf2bf15455e1710d679eab.gif

6、在PersistentTokenBasedRememberMeServices中,调用processAutoLoginCookie方法,获取用户相关信息

protected UserDetails processAutoLoginCookie(String[] cookieTokens,HttpServletRequest request,HttpServletResponse response) {

if (cookieTokens.length != 2) {

throw new InvalidCookieException("Cookie token did not contain " + 2

+ " tokens,but contained '" + Arrays.asList(cookieTokens) + "'");

}

// 从Cookie中获取Series和Token

final String presentedSeries = cookieTokens[0];

final String presentedToken = cookieTokens[1];

//在数据库中,通过Series查询PersistentRememberMeToken

PersistentRememberMeToken token = tokenRepository

.getTokenForSeries(presentedSeries);

if (token == null) {

throw new RememberMeAuthenticationException(

"No persistent token found for series id: " + presentedSeries);

}

// 校验数据库中Token和Cookie中的Token是否相同

if (!presentedToken.equals(token.getTokenValue())) {

tokenRepository.removeUserTokens(token.getUsername());

throw new CookieTheftException(

messages.getMessage(

"PersistentTokenBasedRememberMeServices.cookieStolen","Invalid remember-me token (Series/token) mismatch. Implies prevIoUs cookie theft attack."));

}

// 判断Token是否超时

if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System

.currentTimeMillis()) {

throw new RememberMeAuthenticationException("Remember-me login has expired");

}

if (logger.isDebugEnabled()) {

logger.debug("Refreshing persistent login token for user '"

+ token.getUsername() + "',series '" + token.getSeries() + "'");

}

// 创建一个新的PersistentRememberMeToken

PersistentRememberMeToken newToken = new PersistentRememberMeToken(

token.getUsername(),new Date());

try {

//更新数据库中Token

tokenRepository.updateToken(newToken.getSeries(),newToken.getTokenValue(),newToken.getDate());

//重新写到Cookie

addCookie(newToken,response);

}

catch (Exception e) {

logger.error("Failed to update token: ",e);

throw new RememberMeAuthenticationException(

"Autologin Failed due to data access problem");

}

//调用UserDetailsService获取用户信息

return getUserDetailsService().loadUserByUsername(token.getUsername());

}

7、获取用户相关信息后,再调用AuthenticationManager去认证授权

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

相关文章

总结

如果觉得编程之家网站内容还不错,欢迎将编程之家网站推荐给程序员好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。

如您喜欢交流学习经验,点击链接加入交流1群:1065694478(已满)交流2群:163560250

zhang MR
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security Remember me使用原理详解
08-25
Spring Security Remember me使用原理详解 Spring Security是一个广泛使用的安全框架,提供了许多功能来保护Web应用程序。在这些功能中,Remember me是其中的一个重要组件。它允许用户在登录时选择“记住我”,...
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1355
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
java中shiro记住密码_java shiro配置记住密码功能 RememberMe
weixin_29009401的博客
03-01 439
2019独角兽企业重金招聘Python工程师标准>>> 一般来讲,记住密码的基本处理,就是把用户的一些基本信息(密码)存入浏览器的Cookie,下次登录的时候优先验证Cookie,后端做处理;以此来实现记住密码的功能!使用shiro自带的RememberMe功能,使用起来比较简单,只需简单的配置。需注意一点的是,网站如果对安全性要求比较高的,一般都不建议有记住密码的功能! 因为C...
Remember Me 功能实现
weixin_44569326的博客
01-08 832
Spring Security 中 Remember Me 为“记住我”功能,用户只需要 在登录时添加 remember-me 复选框,取值为 true。Spring Security 会 自动把用户信息存储到数据源中,以后就可以不登录进行访问。 1 添加依赖 <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</a
Java Spring Security 安全框架:(十四)Remember Me 功能实现
地球村
10-12 378
Remember Me 功能实现1.添加依赖2.配置数据源3.编写配置4.修改 SecurityConfig5.在客户端页面中添加复选框6.有效时间 Spring Security 中 Remember Me 为“记住我”功能,用户只需要在登录时添加 remember-me 复选框,取值为 true。Spring Security 会自动把用户信息存储到数据源中,以后就可以不登录进行访问 1.添加依赖 Spring Security 实现 Remember Me 功能时底层实现依赖 Spring-JD
java记住我_记住我remember-me功能的几种实现方式
weixin_35306450的博客
02-26 1094
本文讨论几种“记住我”功能的实现方式。原理:用户登录后,服务端为用户生成一个Token,并放入客户端Cookie中。下次用户登录,服务端验证Cookie中的Token并自动登录。简单的Token生成方法Token=MD5Hex(username+分隔符+expiryTime+分隔符+password)CookieValue=Base64(username+分隔符+expiryTime+分隔符+To...
Spring Security学习之rememberMe自动登录的实现
08-18
当你启用`rememberMe`时,Spring Security会生成一个名为`REMEMBER_ME`的cookie,其中包含加密后的用户信息。默认情况下,这个cookie的有效期为两周。每次用户通过表单登录成功,Spring Security会更新这个cookie,...
springboot_pdf.zip_java_remember564_societyund_spring_springboot
09-21
SpringBoot是Java开发中的一个热门框架,由Pivotal团队维护,主要目的是简化Spring应用的初始搭建以及开发过程。它集成了大量常用的第三方库配置,如JPA、Thymeleaf、WebSocket等,使得开发者可以“零配置”或少量...
Spring security实现记住我下次自动登录功能过程详解
08-24
记住我:<input id="_spring_security_remember_me" type="checkbox" name="remembermeParamater" value="true"> 登录"> ``` 其中,checkbox 的 name 属性需要和上边配置文件中的 remember-me-parameter 保持一致...
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
java 记住密码 安全_Java 通过 Shiro 配置 RememberMe 实现记住密码功能
weixin_29692851的博客
02-28 585
Apache Shiro是一个强大易用的Java安全框架,提供了认证、授权、加密和会话管理功能,可为任何应用提供安全保障 - 从命令行应用、移动应用到大型网络及企业应用。下面讲述一下如何实现记住密码,一般记住密码就是把用户的基本信息存入浏览器Cookie,下次登录时优先验证Cookie,后端做处理操作,依此来实现记住密码操作,而shiro中自带RememberMe功能,只需简单配置即可。注意:对于...
初学spring security(五)-----Remember Me功能实现
最新发布
m0_48631806的博客
03-25 188
Spring Security 中Remember Me为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true。Spring Security会自动把用户信息存储到数据源中,以后就可以不登录进行访问。需要实现实现依赖Spring-JDBC,此处导入mybatis启动器,MySQL驱动。
Spring Security 中的 RememberMe 登录,so easy!
m0_71777195的博客
11-26 1096
RememberMe 这个功能非常常见,图 6-1 所示就是 QQ 邮箱登录时的“记住我”选项。提到 RememberMe,一些初学者往往会有一些误解,认为 RememberMe 功能就是把用户名/密码用 Cookie 保存在浏览器中,下次登录时不用再次输入用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户关闭浏览器重新打开,就要再次登录,这样太过于烦琐。
SpringSecurity系列 之 认证成功处理流程
向心行者
06-26 3018
1、常见用法   和SpringSecurity认证失败处理器方法类似,认证成功也提供了三种的配置方式,而且和认证失败的方式基本上是对应的。分别是: defaultSuccessUrl()方法,提供了两个重载方法,一个参数的方法只需要配置默认重定向路径,两个参数的方法除了配置重定向路径,还需要配置是否无论什么情况只重定向配置的路径。 successForwardUrl()方法,服务端转发,无论什么情况只转发到配置的路径。 successHandler()方法,自定义认证成功处理器。 defaultSuc
Java高级技术
12-19
本阶段课程涵盖Java开发流行的自动化构建工具:Maven,版本控制系统:SVN和Git,容器虚拟化技术:Docker,权限模型:RBAC,集成测试:Jenkins,微服务架构:SpringCloud等核心内容。旨在应对各种实际开发情况下的的各种开发场景及业务的需要。
java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation
fuermoda的博客
12-18 653
java学习笔记(二):Spring-security的Remember-me配置,以及配置Session管理器防止Session fixation Remember-me配置 今天在完善自己毕设的登录操作时,想为我的登录弄一个记住我的选项,能够使我短时间内可以免登录。好在Spring-security封装好了这个功能,我们只要调用就好。而这个功能在Spring-security有两种实现方式:1)将登录信息发送给浏览器以Cookie的方式存储,登录的时候进行验证拿出Cookie来进行比较。2)将登录信息
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3306
spring security 记住我 rememberMe
spring securityspring security前后端分离设置rememberMe(一)
Meditation_Crazy
09-28 1323
文章目录前言解决过程解决总结 前言 前面基础的登录,权限验证等都已经完成了,现在想实现记住密码的操作,按网上博客来实现了一翻,却总是失败,token并没有存储到persistent_logins表。 解决过程 经过调试发现是因为当登录成功的时候,rememberMeServices执行的方法是NullRememberMeServices下面的: 可以看到它执行了NullRememberMeServices下面的方法。 然后查看另外一个实现类下面的代码AbstractRememberMeServic
SpringSecurity之RememberMe功能的原理
qq_16159433的博客
10-17 500
在大多数网站中,都会实现RememberMe这个功能,方便用户在下一次登录时直接登录,避免再次输入用户名以及密码去登录,下面,主要讲解如何使用Spring Security实现记住我这个功能以及深入源码探究它的原理。 首先,如下图所示为Spring Security实现RememberMe功能的原理图: 核心接口:RememberMeService 先来看看RememberMeService接口的3个方法 方法名 执行时间 描述 autoLogin 收到请求时,由RememberMeA
Spring SecurityJava应用安全解决方案详解
Spring SecurityJava开发中的一个重要框架,它在身份验证(Authentication)和授权(Authorization)方面提供了一个强大且易用的解决方案,弥补了早期Java第三方库在安全机制上的不足。Spring Security的设计初衷...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值