SpringSecurity中RememberMe以及其它功能实现(五)

最新推荐文章于 2023-03-11 16:34:08 发布
最新推荐文章于 2023-03-11 16:34:08 发布
阅读量390 收藏 1
点赞数 2
分类专栏: SpringBoot 文章标签: SpringSecurity RememberMe CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42047611/article/details/115726562
版权

RememberMe功能实现

Spring Security中Remember Me为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true。Spring Security 会自动把用户信息存储到数据源中,以后就可以不登录进行访问。

<tr>
    <td style="width: 30%; text-align: right; padding-right: 5px">
        记住我:
    </td>
    <td style="padding-left: 5px; text-align: left;">
        <input type="checkbox" name="remember-me" value="true">
    </td>
</tr>

//配置RememberMe
        http.rememberMe()
                .rememberMeParameter("remember-me")   //修改默认参数名,默认是remember-me
                .tokenValiditySeconds(60*60*24*14)  //设置记住我有效时间,单位是秒,默认是14天
                .rememberMeCookieName("remember-me")    //修改rememberMe的cookie名称,默认是remember-me
                .tokenRepository(persistentTokenRepository)  //配置用户登录标记的持久化工具对象
                .userDetailsService(userDetailsService);  //配置自定义的UserDerailsService接口实现类对象

        //关闭CSRF安全协议,关闭是为了完整流程的可用
        http.csrf().disable();
    }


    @Autowired
    private PersistentTokenRepository persistentTokenRepository;

    @Autowired
    private UserDetailsService userDetailsService;
    /**
     * 创建一个持久化用户登录标记的Respositroy对象
     * JdbcTokenRepositoryImpl  -   对象,是访问数据库的Repository。
     *      需要提供数据库连接   java-connection-mysql
     *  所有被@Bean注解描述的方法,其参数,都自动从Spring容器中获取对象,如果没有对象或对象不唯一,抛出异常
     *  Security持久化用户登录标记,使用的表格,由Security框架创建
     *  第一次使用的时候,没有表格,需要让框架创建,后续使用的时候,表格存在,不能让框架创建表格,否则抛出数据库访问异常
     * @return
     */
    @Bean
    public PersistentTokenRepository persistentTokenRepository(DataSource dataSource) {

        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);

        //设置启动的时候,在数据库中创建表格persistent_logins。只有数据库中不存在表格的时候可以使用。默认值是false
        tokenRepository.setCreateTableOnStartup(true);
        return tokenRepository;
    }

thymeleaf中使用

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
<head>
    <meta charset="UTF-8">
    <title>登录成功</title>
</head>
<body style="width: 800px; text-align: center; margin: auto;">
    <h1>欢迎<span style="color:red;" sec:authentication="principal.username"></span>登录 --------- 
        <a href="/logout" style="color:#076510;">退出登录</a></h1>
    <h1>当前用户权限是:<span style="color:red;" sec:authentication="authorities"></span></h1>

    <h1 sec:authorize="hasRole('ROLE_管理员')">管理员角色</h1>
    <h1 sec:authorize="hasRole('ROLE_访客')">访客角色</h1>
    <h1 sec:authorize="hasAuthority('admin:write')">管理员写权限</h1>
    <h1 sec:authorize="hasAuthority('admin:read')">管理员读权限</h1>
    <h1 sec:authorize="hasAuthority('guest:write')">访客写权限</h1>
    <h1 sec:authorize="hasAuthority('guest:read')">访客读权限</h1>
</body>
</html>

CSRF防护

什么是CSRF

CSRF ( Cross-site request forgery )跨站请求伪造,也被称为“One Click Attack",或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。
跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。
客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie 中会存放session id用来识别客户端身份的。在跨域的情况下,session id可能被第三方恶意劫持,通过这个session id向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。
通俗解释︰
	CSRF 就是别的网站非法获取我们网站Cookie 值,我们项目服务器是无法区分到底是不是我们的客户端,只有请求中有Cookie,认为是自己的客户端,所以这个时	候就出现了CSRF

 <!--SpringSecurity处理登录请求的方式一定是POST-->
<form action="/login" method="post">
    <!--需要使用CSRF保护的时候,页面必须经过controller处理,否则没有_CSRF数据-->
    <input type="hidden" name="_csrf" th:value="${_csrf.token}">
</form>

在这里插入图片描述

臆想的一只猫
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity详细介绍RememberMe功能
erghtt的博客
04-04 1035
什么是ActiveMQ?ActiveMQ服务器宕机怎么办?丢消息怎么办?持久化消息非常慢怎么办?消息的不均匀消费怎么办?死信队列怎么办?ActiveMQ的消息重发时间间隔和重发次数吗?
Spring Security(12)——Remember-Me功能
Elim的博客
06-08 9627
本文主要介绍Spring Security的Remember-Me机制,以及如何通过配置实现“记住我”功能
SpringSecurity学习(四)密码加密、RememberMe记住我
最新发布
Huathy的博客
03-11 1819
密码泄露,多个网站用同一密码。salt加盐。RememberMe记住我。是一种服务端的行为,而不是将用户密码保存在cookie。传统登录方式是基于Session的,这样一旦用户关闭浏览器重开,就需要再次登录,太过麻烦。实现思路是通过cookie来记住当前用户身份。当用户登录成功后,通过算法,将用户信息、时间戳加密后通过响应头带回前端存到cookie。当重开浏览器后,会自动将cookie信息发送给服务器进行校验分析。从而确定用户身份。具有时效性,一般的为一周左右。
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
主要介绍了Spring Security 构建rest服务实现rememberme 记住我功能,需要的朋友可以参考下
使用Spring Security添加RememberMe身份验证
最佳 Java 编程
05-14 493
我在“ 将社交登录添加到Jiwhiz博客”提到,RememberMe功能不适用于Spring Social Security。 好吧,这是因为该应用程序现在不通过用户名和密码对用户进行身份验证,并且完全取决于社交网站(例如Google,Facebook和Twitter)来完成此工作。 默认的Spring Security配置无法处理这种情况。 Spring Security可能是所有Spr...
SpringSecurity的rememberme
qq_29860591的博客
02-28 234
记住我功能原理分析还记得前面咱们分析认证流程时,提到的记住我功能吗? 现在继续跟踪找到AbstractRememberMeServices对象的loginSuccess方法: 再点进去上面if判断的rememberMeRequested方法,还在当前类: 如果上面方法返回true,就表示页面勾选了记住我选项了。继续顺着调用的方法找到PersistentTokenBase...
Spring Security 记住我
白石的专栏
12-05 322
本教程将展示**如何**使用 Spring Security 在 Web 应用程序启用和配置记住我功能
spring security http.rememberMe()使用和原理解析
qq_43203949的博客
09-19 2485
spring security http.rememberMe()使用和原理解析 文章目录spring security http.rememberMe()使用和原理解析转载请贴上本文链接http.rememberMe()的使用指定Http记住我参数指定Token识别字段修改remember-me的cookie时长指定 Remember-Me 功能自动登录过程使用的 UserDetailsService 对象设置始终创建记住我使用必须使用安全传输的cookie原理分析实现原理首次登录过程AbstractAu
Spring Security的Remember Me功能实现
# 1. 简介 ## 1.1 Spring Security概述 Spring Security是一个基于Spring框架的安全性解决方案,用于为Java应用程序提供身份验证和授权功能。...接下来,我们将深入了解Remember Me功能的配置、实现和定制化等内容。
spring security remember-me
与时间为伴
08-29 1119
spring-security 记住密码功能实现代码
Spring Security学习之rememberMe自动登录的实现
08-18
主要给大家介绍了关于Spring Security学习之rememberMe自动登录的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
security记住我功能
11-02
security记住我功能
spring security 3.0x remember-me 免登陆
08-03
基于用户,角色,权限的spring_security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995648
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1363
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
6.Spring security的rememberMe
EdSheeran的博客
03-07 4519
文章目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`* RememberMe 6.2RememberMe基本用法 /** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时,多了一个请求参数remember-me: on,用
基础4-Spring MVC下整合-remember-me
狼行千里吃肉
09-08 306
关键源码 下面是AbstractRememberMeServices.loginSuccess、rememberMeRequested、onLoginSuccess方法的源码: private String parameter = "remember-me"; public final void loginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulA
安全框架
black210的博客
05-23 2922
文章目录前言概念无状态登录常见的认证机制JWT 鉴权非对称加密Spring的拦截器SpringSecurity简单示例Shiro安全框架功能模块Shiro 架构执行流程分析示例准备工作登录 ControllerDao 与 service 示意异常类自定义 Realm会话管理Shiro 的配置shiro 过滤器授权使用 Zuul 的过滤器自定义过滤器 前言 在 Web 开发,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。 如果在应用开发的后期才考虑安全的
Spring Security 的 RememberMe 登录,so easy!
m0_71777195的博客
11-26 1104
RememberMe 这个功能非常常见,图 6-1 所示就是 QQ 邮箱登录时的“记住我”选项。提到 RememberMe,一些初学者往往会有一些误解,认为 RememberMe 功能就是把用户名/密码用 Cookie 保存在浏览器,下次登录时不用再次输入用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户关闭浏览器重新打开,就要再次登录,这样太过于烦琐。
记住我remember-me功能的几种实现方式
热门推荐
fangchao2061的专栏
04-18 1万+
本文讨论几种记住我功能实现方式。
SpringBoot与SpringSecurity整合实战:用户认证、数据库Remember-Me
这个文档或教程将涵盖如何在Spring Boot项目整合Spring Data MongoDB、Spring SecuritySpring MVC、Spring Data JPA和Thymeleaf,提供一个完整的微服务架构示例,包括用户认证、权限控制、记住我功能以及获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值