spring security 自动登录

已于 2023-07-22 10:36:33 修改
阅读量438 收藏 2
点赞数
文章标签: java
于 2023-03-07 09:23:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39406322/article/details/129375468
版权

Spring Security记住自动登录,安全和便捷

用户登录网后,一般情况为了用户的账号安全如果停留网站太久没有操作,或者隔一段时间再打开,浏览器就会跳转到用户的登录界面,但是如果是自己的电脑,设置了屏幕锁密码,又经常访问的网站,就会想让它自动登录。所以有的网站登录页多一个勾选的按钮有了免登录三天,或者自动登录。

自动登录实现原理

在用户勾选自动登录成功后,后端生成两个cookie浏览器本地存储,set-cookie remember-me来存储免登录用户名,过期时间。cookie session标识当前用户登录会话标识。等用户当前会话过期后,就会用每次请求带的remember-me的cookie信息去登录,这样就实现用户自动登录。

Spring Security 免登录实现

上文介绍到Spring security 的核心是过滤链SecurityFilterChain,
用户登录匹配到对应过滤器UsernamePasswordFilter进行业务逻辑处理。
用户登录成功后调用RememberMeService.loginSeccess(),
用户失败时也调用RememberMeService.loginFail(),当用户的会话过期后调 匹配到它过滤器RememberMeServie.autoLogin()进行自动登录。

1、TokenBased 简单实现

TokenBasedRememberMeServices生成remember-me的cookie规则如下

base64(username + ":" + expirationTime + ":" + algorithmName + ":"
algorithmHex(username + ":" + expirationTime + ":" password + ":" + key))
  • username: 用户名
  • password: 密码
  • expirationTime:有效期
  • key:加密key
  • algorithmName: 加密签名

用户自动登录,通过解析cookie,用冒号切分,第一个是username,第二是有效期,第三个是签名。userDetailService查询用户名找到用户信息,进行签名对比校验通过即自动登录成功。

2、PersistentTokenBased 存储实现

PersistentTokenBasedRememberMeServices 是实现token存储后端的方式,一种是具有内存,一种是基于数据库存储。

  • InMemoryTokenRepositoryImpl
  • JdbcTokenRepositoryImpl

前端cookie:remember-me的生成规则:

base64(series:token)
  • username:用户名
  • series:作为id查询
  • token:登录凭证
  • last_used:有效时间

3、RememberMeFilter 自动登录

RememberMeAuthenticationFilter 拦截器进行自动登录,dofilter方法里面两段核心代码,获取rememberMeAuth登录

Authentication rememberMeAuth =  this.rememberMeServices.autoLogin(request, response);
rememberMeAuth = this.authenticationManager.authenticate(rememberMeAuth);

参考样例

spring-security-easy-sample是集成spring-security-easy-starter的参考样例工程。初始化数据脚本后启动样例工程,登录访问路径 http://localhost:9080/static/index.html

1、参考配置文档application-local.yml
2、参考readme文档
3、用户名密码 + 图形验证码登录

代码仓库
https://gitee.com/fjh2017/spring-security-easy-starter

本文由mdnice多平台发布

有范编程
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Druid 数据源连接池配置
roydon
11-20 7703
Spring Boot 的配置文件中对 Druid 数据源连接池进行配置 # Druid连接池的配置 spring: datasource: druid: initial-size: 5 #初始化连接大小 min-idle: 5 #最小连接池数量 max-active: 20 #最大连接池数量 max-wait: 60000 #获取连接时最大等待时间,单位毫秒 time-between-eviction-runs-millis: 6
SpringSecurity实现自动登录
Kk_Chosen1的博客
08-21 729
在日常的上网中,各种网站需要登陆之后才能使用,而频繁的输入用户名和密码也是够令人烦恼的。那么自动登录就解决了这一痛点,就比如登录qq邮箱时就有这一选项。今天正好学到使用spring security可以实现这一功能,因此前来记录一下。简而言之,当用户在第一次登陆之后spring security会生成一个加密的字符串存放在cookie中,同时在数据库中也会存放加密字符串和用户的信息加密字符串。等下一次访问时就会比较cookie与数据库之间的数据,如果一致那么就能免去登录了。
SpringSecurity(三):基于数据库的记住我(免密登陆)
qq_39198749的博客
11-12 1588
1. 基于数据库的免密登陆实现 1.1 创建表 CREATE TABLE `persistent_logins` ( `username` varchar(64) NOT NULL, `series` varchar(64) NOT NULL, `token` varchar(64) NOT NULL, `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KEY
SpringSecurity 免密登录方法
最新发布
weixin_38982591的博客
01-29 1929
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
vue+druid+springboot+security中druid免密码登录
jjsmida1的博客
05-22 1365
看到网上的博客,多数是需要将登录页面下载下来,通过拦截器拦截请求,修改请求相应,设置返回码为307,再设置重定向的登录url带上账号和密码。最近需要将druid整合入后台管理系统,如果每次查看都要键入账号密码就太麻烦了,所以需要做druid的免密码登录。3.vue接受请求的账号和密码,请求/druid/submitLogin接口,带上账号和密码,就可以登录。因为我是用的是vue做前端,所以这样的方式是行不通的。2.拦截器拦截druid,同时返回登录druid的账号和密码。
详解使用Spring Security进行自动登录验证
08-29
详解使用Spring Security进行自动登录验证 作为一名IT行业大师,我将详细介绍使用Spring Security进行自动登录验证的知识点。 一、Spring Security登录验证的关键步骤 1. 在数据库中建立三张表:users、...
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我下次自动登录功能过程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍...
Spring Security实现验证码登录功能
08-25
验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序的攻击和恶意攻击。下面是Spring Security实现验证码登录功能的知识点: 知识点一:Spring Security验证码登录功能的实现原理 Spring ...
spring security实现下次自动登录功能过程解析
08-25
在本文中,我们将深入探讨如何使用Spring Security实现“记住我”功能,以便用户在下次访问时能够自动登录。 一、原理分析 “记住我”功能的核心在于使用Cookie来保存用户的登录状态。当用户首次登录并勾选“记住我...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
spring security 3.0x remember-me 免登陆
08-03
基于用户,角色,权限的spring_security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995648
springboot使springsecurity不用登录
geejkse_seff的博客
04-26 1692
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity也会跟着启动,默认使用HttpBasic的方式启
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 5124
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
SpringSecurity-4.自动登陆的功能实现
weixin_43899452的博客
05-19 114
四、自动登陆的功能实现 1.在数据库中创建表 CREATE TABLE `persistent_logins` ( `username` varchar(64) NOT NULL, `series` varchar(64) NOT NULL, `token` varchar(64) NOT NULL, `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KEY
Spring Security--自动登录
a2285786446的博客
06-12 706
rememberMe还有一个key属性,当key设置了值的时候,即使服务端重启了也不用重新登录。分三部分:用户名:时间戳:加密字符串(根据用户名+用户密码+时间戳+key加密的字符串)因为有的接口可以支持rememberMe认证,有的接口不支持,用上图的方式做区别。我们记住登录后,关掉浏览器再打开,访问一下接口,可以访问,说明记住登录成功了。然后发送请求时加上:remember-me字段。value值可以为,ture,1,on。//禁止给url编码。//读取当前用户信息。base64解密完是。
【第3期】Springboot集成SpringSecurity+RSA+ECS免密登录
朱晓龙的博客
12-16 1591
本期要点: 1. 如何生成RSA公钥文件和私钥文件 2. 获取公钥文件和私钥文件转换成JDK的密钥文件对象 3. 简单的验证加密和解密 4. 与Springboot、SpringSecurity如何集成 5. 集成后验证用户注册的加密存储 6. 集成后验证用户登录的解密验证 7. 实现ECS的免密登录
SpringSecurity框架跳过加密步骤直接验证用户密码
快敲代码去
06-29 4468
程序内获取到用户的username和password,构造User对象,框架自动对密码进行加密然后和数据库中的密码作比较,得出结果。如果这里的密码是密文(直接从数据库中获得),那么你在构造User对象的时候,框架会再加密一遍,这样和库中密码匹配的时候肯定是错误的。在password字段前添加即可,这样后面会直接使用你传入的密码(不会再次加密)进行操作。......
SpringSecurity实现自动登录功能
qq_34136709的博客
04-29 1608
SpringSecurity实现自动登录功能 我们知道很多网站都有下次自动登录的功能,springsecurity作为较获得安全技术肯定是也有的 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据 要实现记住我这个功能,其实只需要其实只需要在 Spring Security 的配置中,添加如下代...
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
weixin_47083537的博客
04-28 824
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
springsecurity实现自动登录
09-06
要实现Spring Security自动登录功能,你可以按照以下步骤进行操作: 1. 确保你已经将Spring Security添加到你的项目中,并配置好了基本的安全设置。 2. 创建一个实现了`UserDetailsService`接口的类,用于从...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值