spring security部分源码分析 记住我的功能

最新推荐文章于 2022-07-06 22:41:43 发布
最新推荐文章于 2022-07-06 22:41:43 发布
阅读量227 收藏
点赞数
分类专栏: 框架 # 认证 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41029286/article/details/125511687
版权

在security 的UsernamePasswordAuthenticationFilter 登陆成功时会进入rememberMeServices.loginSuccess的逻辑

	protected void successfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authResult)
			throws IOException, ServletException {

		if (logger.isDebugEnabled()) {
			logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
					+ authResult);
		}
		//将用户信息放入上下文
		SecurityContextHolder.getContext().setAuthentication(authResult);
		//进入记住我的逻辑
		rememberMeServices.loginSuccess(request, response, authResult);

		// Fire event
		if (this.eventPublisher != null) {
			eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
					authResult, this.getClass()));
		}

		successHandler.onAuthenticationSuccess(request, response, authResult);
	}

	public final void loginSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication successfulAuthentication) {
		//parameter = remember-me,判断有没有remember-me这个参数
		if (!rememberMeRequested(request, parameter)) {
			logger.debug("Remember-me login not requested.");
			return;
		}
		//进入remember-me的处理
		onLoginSuccess(request, response, successfulAuthentication);
	}

	protected void onLoginSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication successfulAuthentication) {
		String username = successfulAuthentication.getName();

		logger.debug("Creating new persistent login for user " + username);
		//创建一个PersistentRememberMeToken,包含用户名,登陆序列号,token值,token创建时间
		PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
				username, generateSeriesData(), generateTokenData(), new Date());
		try {
			//通过tokenRepository来保存token,我之前在spring中注入了JdbcTokenRepositoryImpl的bean
			tokenRepository.createNewToken(persistentToken);
			//把persistentToken写入cookie
			addCookie(persistentToken, request, response);
		}
		catch (Exception e) {
			logger.error("Failed to save persistent token ", e);
		}
	}

进入org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl#createNewToken

	public void createNewToken(PersistentRememberMeToken token) {
		//执行sql
		getJdbcTemplate().update(insertTokenSql, token.getUsername(), token.getSeries(),
				token.getTokenValue(), token.getDate());
	}

之后如果再进行登陆,那么就会在RememberMeAuthenticationFilter过滤器执行记住我的逻辑

//RememberMeAuthenticationFilter的doFilter方法
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		if (SecurityContextHolder.getContext().getAuthentication() == null) {
			//rememberMeServices自动登陆的逻辑,获得RememberMeAuthenticationToken
			Authentication rememberMeAuth = rememberMeServices.autoLogin(request,
					response);

			if (rememberMeAuth != null) {
				// Attempt authenticaton via AuthenticationManager
				try {
					//生成一个已认证的对象
					rememberMeAuth = authenticationManager.authenticate(rememberMeAuth);

					// Store to SecurityContextHolder 放入上下文
					SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);

					onSuccessfulAuthentication(request, response, rememberMeAuth);

					if (logger.isDebugEnabled()) {
						logger.debug("SecurityContextHolder populated with remember-me token: '"
								+ SecurityContextHolder.getContext().getAuthentication()
								+ "'");
					}

					// Fire event
					if (this.eventPublisher != null) {
						eventPublisher
								.publishEvent(new InteractiveAuthenticationSuccessEvent(
										SecurityContextHolder.getContext()
												.getAuthentication(), this.getClass()));
					}

					if (successHandler != null) {
						successHandler.onAuthenticationSuccess(request, response,
								rememberMeAuth);

						return;
					}

				}
				catch (AuthenticationException authenticationException) {
					if (logger.isDebugEnabled()) {
						logger.debug(
								"SecurityContextHolder not populated with remember-me token, as "
										+ "AuthenticationManager rejected Authentication returned by RememberMeServices: '"
										+ rememberMeAuth
										+ "'; invalidating remember-me token",
								authenticationException);
					}

					rememberMeServices.loginFail(request, response);

					onUnsuccessfulAuthentication(request, response,
							authenticationException);
				}
			}

			chain.doFilter(request, response);
		}
		else {
			if (logger.isDebugEnabled()) {
				logger.debug("SecurityContextHolder not populated with remember-me token, as it already contained: '"
						+ SecurityContextHolder.getContext().getAuthentication() + "'");
			}

			chain.doFilter(request, response);
		}
	}

//上面的rememberMeServices.autoLogin方法
public final Authentication autoLogin(HttpServletRequest request,
			HttpServletResponse response) {
		//获取rememberme的cookie
		String rememberMeCookie = extractRememberMeCookie(request);

		if (rememberMeCookie == null) {
			return null;
		}

		logger.debug("Remember-me cookie detected");

		if (rememberMeCookie.length() == 0) {
			logger.debug("Cookie was empty");
			cancelCookie(request, response);
			return null;
		}

		UserDetails user = null;

		try {
			//解码获得登陆的序列号和登陆的token
			String[] cookieTokens = decodeCookie(rememberMeCookie);
			//从tokenRepository获取token并更新token
			//下面更新了TokenValue()和Token.getDate()
			//tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),newToken.getDate())
			//然后把新的token写入cookie
			//最后调用getUserDetailsService().loadUserByUsername(token.getUsername())返回user
			user = processAutoLoginCookie(cookieTokens, request, response);
			userDetailsChecker.check(user);

			logger.debug("Remember-me cookie accepted");
			//生成一个RememberMeAuthenticationToken
			return createSuccessfulAuthentication(request, user);
		}
		catch (CookieTheftException cte) {
			cancelCookie(request, response);
			throw cte;
		}
		catch (UsernameNotFoundException noUser) {
			logger.debug("Remember-me login was valid but corresponding user not found.",
					noUser);
		}
		catch (InvalidCookieException invalidCookie) {
			logger.debug("Invalid remember-me cookie: " + invalidCookie.getMessage());
		}
		catch (AccountStatusException statusInvalid) {
			logger.debug("Invalid UserDetails: " + statusInvalid.getMessage());
		}
		catch (RememberMeAuthenticationException e) {
			logger.debug(e.getMessage());
		}

		cancelCookie(request, response);
		return null;
	}
Chris_Chris_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA上百实例源码以及开源项目
01-03
 基于EJB的真实世界模型,附源代码,部分功能需JSP配合完成。 J2ME优化压缩PNG文件 4个目标文件 内容索引:JAVA源码,综合应用,J2me游戏,PNG,图形处理  这是个J2ME控制台程序,它能剔除PNG文件中的非关键数据段,...
Spring-security-oauth2 源码分析 登陆流程 /oauth/check_token (二)
峡谷电光马仔的博客
01-12 619
Spring-security-oauth2 源码分析 登陆流程 /oauth/check_token
生成token并存放到cookie
txyllyyj的博客
02-14 3636
1.导入依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> </dependency> <dependency>
Spring Security+OAuth2资源服务之令牌校验源码分析
Charge8的博客
02-24 960
Spring Security+OAuth2资源服务之令牌校验源码分析
JAVA上百实例源码以及开源项目源代码
09-17
 Java语言开发的简洁实用的日期选择控件,源码文件功能说明:  [DateChooser.java] Java 日期选择控件(主体类) [public]  [TablePanel.java] 日历表格面板  [ConfigLine.java] 控制条类  [RoundBox.java] ...
Android代码-logback
08-06
Spring Security源码分析七:Spring Security 记住Spring Security源码分析八:Spring Security 退出 Spring Security源码分析九:Spring Security Session管理 Spring Security源码分析十:初识Spring Security ...
开源bbs源码java-JavaStudy:Java全系列知识点都总结在这里了,欢迎大家前来学习,如果对你有所帮助,请不要忘记star一下给于
06-06
SpringBoot整合Shiro实现记住我RememberMe功能 微服务SpringCloud 安全框架(Shiro、SpringSecurity) 消息中间件 ActiveMQ的使用 搜索引擎 非关系型数据库 分布式技术Dubbo、Zookeeper Linux与项目部署 设计模式 ...
dubbo源码
weixin_41029286的博客
10-18 2708
dubbo源码构建参考 官方文档 Provider: 暴露服务的服务提供方 Protocol 负责提供者和消费者之间协议交互数据 Service 真实的业务服务信息 可以理解成接口 和 实现 Container Dubbo的运行环境 Consumer: 调用远程服务的服务消费方 Protocol 负责提供者和消费者之间协议交互数据 Cluster 感知提供者端的列表信息 Proxy 可以理解成 提供者的服务调用代理类 由它接管 Consumer中的接口调用逻辑 Registry: 注册中心,用于作为服务发
OAuth2的简单使用
weixin_41029286的博客
02-15 1284
OAuth2 协议:认证服务器允许⽤户授权第三⽅应⽤访问他们存储在另外的服务提供者(用户服务)上的信息,⽽不需要将⽤户名和密码提供给第三⽅应⽤或分享他们数据的所有内容 Spring Cloud OAuth2 是 Spring Cloud 体系对OAuth2协议的实现,可以⽤来做多个微服务的统⼀认证(验证身份合法性)授权(验证权限)。通过向OAuth2服务(统⼀认证授权服务)发送某个类型的grant_type进⾏集中认证和授权,从⽽获得access_token(访问令牌),⽽这个token是受其他微服务信任
spring cloud 源码 Hystrix
weixin_41029286的博客
04-30 324
Hystrix源码 入口@EnableCircuitBreaker注解 @Target(ElementType.TYPE) @Retention(RetentionPolicy.RUNTIME) @Documented @Inherited //导入断路器导入选择器 @Import(EnableCircuitBreakerImportSelector.class) public @interface EnableCircuitBreaker { } 进入org.springframework.cloud
spring security部分源码分析 鉴权流程
weixin_41029286的博客
07-06 290
鉴权的流程在FilterSecurityInterceptor中 我们需要先执行登陆的操作,然后访问一个需要有权限鉴定的接口,进入org.springframework.security.web.access.intercept.FilterSecurityInterceptor#doFilter方法 进入org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation org.spring
spring源码bean的初始化过程和循环依赖
weixin_41029286的博客
10-20 281
spring 容器初始化流程 spring初始化的核心在refresh()方法 @Override public void refresh() throws BeansException, IllegalStateException { // 对象锁加锁 synchronized (this.startupShutdownMonitor) { /* Prepare this context for refreshing. 刷新前的预处理 表示在真正做refresh
mybatis基础知识
weixin_41029286的博客
09-18 257
mybatis orm框架 : 对象关系映射 ORM完成面向对象的编程语言到关系数据库的映射。当ORM框架完成映射后,程序员既可以利用面向对象程序设计语言的简单易用性,又可以利用关系数据库的技术优势。ORM把关系数据库包装成面向对象的模型。ORM框架是面向对象设计语言与关系数据库发展不同步时的中间解决方案。采用ORM框架后,应用程序不再直接访问底层数据库,而是以面向对象的放松来操作持久化对象,而ORM框架则将这些面向对象的操作转换成底层SQL操作。ORM框架实现的效果:把对持久化对象的保存、修改、删除等操作
dubbo的基础知识
weixin_41029286的博客
10-18 256
dubbo 是一款高性能,轻量级rpc框架,可以和spring集成 三大核心能力: 面向接口的远程方法调用 智能容错和负载均衡 服务自动注册和发现 其他特性: 高度可扩展能力 :协议,传输,序列化都被设计成扩展点 运行期流浪调度:配置路由规则实现灰度发布等功能 可视化服务治理和运维 dubbo配置项 <dubbo:application name="service-consumer" > <dubbo:parameter key="qos.enable" va
springboot 整合日志
weixin_41029286的博客
06-04 246
pom文件中排除默认的log的包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <exclusions> <exclusion> <groupId>org.springframework.boot</groupI
spring cloud使用Gateway
weixin_41029286的博客
04-30 214
gateway路由 GateWay不需要使用web模块,它引入的是WebFlux(类似于SpringMVC) 新建路由项目 然后导入maven <!--spring boot 父启动器依赖--> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <v
spring security部分源码分析 过滤器加载流程
weixin_41029286的博客
06-08 199
在引入的springframework.boot.autoconfigure的包中的spring.factories中注入了 //过滤器自动配置 org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration
mybatis的插件使用
weixin_41029286的博客
05-02 197
mybatis插件 mybatis可以对四大组件(executor、statementhandler、resultsethandler、parameterhandler)进行拦截 比如增强parameterhandler的时候 public ParameterHandler newParameterHandler(MappedStatement mappedStatement,Object object, BoundSql sql, InterceptorChain interceptorChain){
springsecurity记住功能
最新发布
03-04
可以通过配置remember-me来实现Spring Security记住功能。在登录页面勾选“记住我”选项后,用户的登录信息会被保存在cookie中,下次访问网站时会自动登录。需要注意的是,为了保证安全性,记住功能应该与其他...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值