Spring Security 源码分析七:Spring Security 记住我

最新推荐文章于 2022-07-18 18:07:06 发布
最新推荐文章于 2022-07-18 18:07:06 发布
阅读量160 收藏
点赞数
分类专栏: 安全框架 Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42073629/article/details/106464274
版权

有这样一个场景——有个用户初访并登录了你的网站,然而第二天他又来了,却必须再次登录。于是就有了“记住我”这样的功能来方便用户使用,然而有一件不言自明的事情,那就是这种认证状态的”旷日持久“早已超出了用户原本所需要的使用范围。这意味着,他们可以关闭浏览器,然后再关闭电脑,下周或者下个月,乃至更久以后再回来,只要这间隔时间不要太离谱,该网站总会知道谁是谁,并一如既往的为他们提供所有相同的功能和服务——与许久前他们离开的时候别无二致。

1. 记住我基本原理

http://dandandeshangni.oss-cn-beijing.aliyuncs.com/github/Spring%20Security/Spring-Security-remeber.png

  1. 用户认证成功之后调用RemeberMeService根据用户名名生成TokenTokenRepository写入到数据库,同时也将Token写入到浏览器的Cookie
  2. 重启服务之后,用户再次登入系统会由RememberMeAuthenticationFilter拦截,从Cookie中读取Token信息,与persistent_logins表匹配判断是否使用记住我功能。最中由UserDetailsService查询用户信息

1.1 记住我实现

  • 创建persistent_logins
create table persistent_logins (
    username varchar(64) not null, 
    series varchar(64) primary key, 
    token varchar(64) not null, 
    last_used timestamp not null
);
  • 登陆页面添加记住我复选款(name必须是remeber-me) 
<input name="remember-me" type="checkbox"> 下次自动登录

http.
......
                .and()
                .rememberMe()
                .tokenRepository(persistentTokenRepository())//设置操作表的Repository
                .tokenValiditySeconds(securityProperties.getRememberMeSeconds())//设置记住我的时间
                .userDetailsService(userDetailsService)//设置userDetailsService
                .and()
	......

1.2 效果如下

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-remeberme.gif

1.3 源码分析

1.3.1 首次登录

1.3.1.1 AbstractAuthenticationProcessingFilter#successfulAuthentication

protected void successfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authResult)
			throws IOException, ServletException {

		if (logger.isDebugEnabled()) {
			logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
					+ authResult);
		}
		//# 1.将已认证过的Authentication放入到SecurityContext中
		SecurityContextHolder.getContext().setAuthentication(authResult);
		//# 2.登录成功调用rememberMeServices
		rememberMeServices.loginSuccess(request, response, authResult);

		// Fire event
		if (this.eventPublisher != null) {
			eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
					authResult, this.getClass()));
		}

		successHandler.onAuthenticationSuccess(request, response, authResult);
	}
  1. 将已认证过的Authentication放入到SecurityContext中
  2. 登录成功调用rememberMeServices

1.3.1.2 AbstractRememberMeServices#loginSuccess

private String parameter = DEFAULT_PARAMETER;//remember-me

public final void loginSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication successfulAuthentication) {
		// #1.判断是否勾选记住我
		if (!rememberMeRequested(request, parameter)) {
			logger.debug("Remember-me login not requested.");
			return;
		}

		onLoginSuccess(request, response, successfulAuthentication);
	}
  1. 判断是否勾选记住我

1.3.1.3 PersistentTokenBasedRememberMeServices#onLoginSuccess

protected void onLoginSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication successfulAuthentication) {
		//#1.获取用户名
		String username = successfulAuthentication.getName();

		logger.debug("Creating new persistent login for user " + username);
		//#2.创建Token
		PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
				username, generateSeriesData(), generateTokenData(), new Date());
		try {
			//#3.存储都数据库
			tokenRepository.createNewToken(persistentToken);
			//#4.写入到浏览器的Cookie中
			addCookie(persistentToken, request, response);
		}
		catch (Exception e) {
			logger.error("Failed to save persistent token ", e);
		}
	}
  1. 获取用户名
  2. 创建Token
  3. 存储都数据库
  4. 写入到浏览器的Cookie中

1.3.2 二次登录Remember-me

1.3.2.1 RememberMeAuthenticationFilter#doFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		//#1.判断SecurityContext中没有Authentication
		if (SecurityContextHolder.getContext().getAuthentication() == null) {
			//#2.从Cookie查询用户信息返回RememberMeAuthenticationToken
			Authentication rememberMeAuth = rememberMeServices.autoLogin(request,
					response);

			if (rememberMeAuth != null) {
				// Attempt authenticaton via AuthenticationManager
				try {
					//#3.如果不为空则由authenticationManager认证
					rememberMeAuth = authenticationManager.authenticate(rememberMeAuth);

					// Store to SecurityContextHolder
					SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);

					onSuccessfulAuthentication(request, response, rememberMeAuth);
......
  1. 判断SecurityContext中没有Authentication
  2. 从Cookie查询用户信息返回RememberMeAuthenticationToken
  3. 如果不为空则由authenticationManager认证

1.3.2.2 AbstractRememberMeServices#autoLogin

public final Authentication autoLogin(HttpServletRequest request,
			HttpServletResponse response) {
			//#1.获取Cookie
		String rememberMeCookie = extractRememberMeCookie(request);

		if (rememberMeCookie == null) {
			return null;
		}

		logger.debug("Remember-me cookie detected");

		if (rememberMeCookie.length() == 0) {
			logger.debug("Cookie was empty");
			cancelCookie(request, response);
			return null;
		}

		UserDetails user = null;

		try {
			//#2.解析Cookie
			String[] cookieTokens = decodeCookie(rememberMeCookie);
			//#3.获取用户凭证
			user = processAutoLoginCookie(cookieTokens, request, response);
			//#4.检查用户凭证
			userDetailsChecker.check(user);

			logger.debug("Remember-me cookie accepted");
			//#5.返回Authentication
			return createSuccessfulAuthentication(request, user);
		}
		catch (CookieTheftException cte) {
			cancelCookie(request, response);
			throw cte;
		}
		catch (UsernameNotFoundException noUser) {
			logger.debug("Remember-me login was valid but corresponding user not found.",
					noUser);
		}
		catch (InvalidCookieException invalidCookie) {
			logger.debug("Invalid remember-me cookie: " + invalidCookie.getMessage());
		}
		catch (AccountStatusException statusInvalid) {
			logger.debug("Invalid UserDetails: " + statusInvalid.getMessage());
		}
		catch (RememberMeAuthenticationException e) {
			logger.debug(e.getMessage());
		}

		cancelCookie(request, response);
		return null;
	}
  1. 获取Cookie
  2. 解析Cookie
  3. 获取用户凭证
  4. 检查用户凭证

2. 代码下载

从我的 github 中下载,https://github.com/longfeizheng/logback

weixin_42073629
关注
专栏目录
springboot记住账号密码登录_259.Spring Boot+Spring Security记住我(RememberMe): 基于持久化token的方案...
weixin_32127359的博客
01-20 1571
说明(1)JDK版本:1.8(2)Spring Boot 2.0.6(3)Spring Security 5.0.9(4)Spring Data JPA 2.0.11.RELEASE(5)hibernate5.2.17.Final(6)MySQLDriver 5.1.47(7)MySQL 8.0.12前言 在前一节,我们使用了简单加密token的方式实现了“记住我“,这一节我...
Spring Security 入门
qq_42044623的博客
04-10 175
1 启用Spring Security 1.1 添加spring-boot-starter-security依赖 <!-- spring security 依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency&g
Spring Security实现记住我功能&源码分析
Charge8的博客
01-12 2125
Spring Security实现记住我功能&源码分析
SpringSecurity remember功能持久化token信息
Leon_Jinhai_Sun的博客
11-16 859
remember me安全性分析 记住我功能方便是大家看得见的,但是安全性却令人担忧。因为Cookie毕竟是保存在客户端的,很容易盗取,而且 Cookie的值还与用户名、密码这些敏感数据相关,虽然加密了,但是将敏感信息存在客户端,还是不太安全。那么 这就要提醒喜欢使用此功能的,用完网站要及时手动退出登录,清空认证信息。 此外,SpringSecurity还提供了remember me的另一种相对更安全的实现机制 :在客户端的cookie中,仅保存一个 无意义的加密串(与用户名、密码等敏感数据无关),然后
SpringSecurity记住我功能如何实现?含源码分析
黑马程序员官方博客
03-18 1597
spring security提供了"记住我"的功能,来完成用户下次访问时自动登录功能,而无需再次输入用户名密码。下面,我们来通过代码演示该功能的实现——主要是通过配置remember-me标签。 我们通过如下的配置过程来实现“记住我”的功能: 1、搭建maven项目(web工程),引入功能的相关依赖 2、配置web.xml中的springspringsecurity的加载、s...
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8087
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
SpringSecurity源码分析
凉茶铺的博客
07-18 2602
在整个过滤器链中,FilterSecurityInterceptor是来处理整个用户授权流程的,也是距离用户API最后一个非常重要的过滤器链,所以下面我们主要针对用户授权来看下源码是如何实现的?在整个过滤器链中,UsernamePasswordAuthenticationFilter是来处理整个用户认证的流程的,所以下面我们主要针对用户认证来看下源码是如何实现的?在整个过滤器链中,CsrfFilter是起到csrf防护的,所以下面我们主要针对记住我看下源码是如何实现的?...
Spring Security源码分析五:Spring Security实现短信登录
郑龙飞
01-14 4838
目前常见的社交软件、购物软件、支付软件、理财软件等,均需要用户进行登录才可享受软件提供的服务。目前主流的登录方式主要有 3 种:账号密码登录、短信验证码登录和第三方授权登录。我们已经实现了账号密码和第三方授权登录。本章我们将使用Spring Security实现短信验证码登录。 概述在Spring Security源码分析一:Spring Security认证过程和Spring Security源码
Spring Security源码分析九:Spring Security Session管理
郑龙飞
01-19 3329
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将
Java流行框架源码分析Spring源码SpringBoot源码SpringAOP源码SpringSecurity源码
最新发布
11-18
Java流行框架源码分析Spring源码SpringBoot源码SpringAOP源码SpringSecurity源码SpringSecurity OAuth2源码、JDK源码、Netty源码
keycloak-springsecurity5-sample:Spring Security 5 OAuth2 ClientOIDC与Keycloak示例的集成
01-31
keycloak-springsecurity5样本 Spring Security 5带来了新的OAuth2 / OIDC客户端,而不是旧的Spring Security OAuth子项目中的旧客户端支持。 核心项目中的新OAuth2伞形模块将替换旧的Spring Security OAuth,Spring...
grpc-spring-security-demo:基于Spring Boot的gRPC服务器,具有受Spring Security保护的gRPC端点
01-31
gRPC Spring Security演示 该项目演示了如何使用Spring Security的基于方法的安全性机制来保护gRPC服务。 这是一个用Java编写并基于Spring Boot构建的gRPC服务器。 它使用gRPC拦截器与Spring Security集成,并支持两...
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: ...
cas单点登录-自定义错误信息提示(十八)
weixin_42073629的博客
07-30 8242
上一篇,我们在登录页面添加了验证码,但是在测试的时候发现,无论是验证码错误,还是密码错误,都是提示的 认证信息无效。我们需要更改错误信息提示来增加用户体验。 cas自定义错误信息需要以下几步: 1.创建 一个异常类继承javax.security.auth.login.AccountExpiredException2.配置异常到application.properties中3.在messages_zh_CN.properties 配置文件中,配置异常弹出的消息 使用maven的Overlay编译好之后,
Spring Boot 安全框架 Spring Security 入门
weixin_42073629的博客
04-30 5044
1. 概述 基本上,在所有的开发的系统中,都必须做认证(authentication)和授权(authorization),以保证系统的安全性。???? 考虑到很多胖友对认证和授权有点分不清楚,艿艿这里引用一个网上有趣的例子: FROM《认证 (authentication) 和授权 (authorization) 的区别》 authentication [ɔ,θɛntɪ'keʃən] 认证 ...
Spring Security OAuth2 单点登录
weixin_42073629的博客
04-05 3970
1. 概述 在前面的文章中,我们学习了 Spring Security OAuth 的简单使用。 《Spring Security OAuth2 入门》 《Spring Security OAuth2 存储器》 今天我们来搞波“大”的,通过 Spring Security OAuth 实现一个单点登录的功能。 可能会有女粉丝不太了解单点登录是什么?单点登录,英文是Single Sign On,简称为SSO,指的是当有多个系统需要登录时,用户只需要登录一个统一的登录系统,而无需在多个系统重复登录。..
cas单点登录-自定义登录验证(四)
weixin_42073629的博客
07-28 2429
我们在使用SSO单点登录的时候不只是验证一下用户名和密码是否一致,有时候还需要验证一些别的校验,那么这一张讲一下如何自定义验证器。自定义验证很重要,因为我们后续的很多功能,都是基于自定义验证。 CAS服务器的org.apereo.cas.authentication.AuthenticationManager负责基于提供的凭证信息进行用户认证。与Spring Security很相似,实际的认证委托给了一个或多个实现了org.apereo.cas.authentication.AuthenticationHa
cas单点登录-动态添加services(十三)
weixin_42073629的博客
07-29 2193
前面我们整合客户端的时候,需要在cas服务端注册,使用的是json文件的方式,更简单的一点,直接配置为只要是http或者https的请求,都表示注册,那也就没有本篇的动态添加services了,哈哈 不过,这也是一个不错的方法。 假如,我们以域名配置的,比如:http://app1.cas.com注册,那么又有新的模块为http://app2.cas.com我们总不能每次修改配置,重启cas服务吧。这很不现实,官网给出了如下的解决方式,将数据库来存储这些数据。 具体参考官网 https://ape...
cas单点登录-Cas Server开启Oauth2.0协议(二十)
weixin_42073629的博客
07-30 1915
学习Cas这么久了,一直在按照CAS自身的协议接入,Cas的强大在于有官方的插件,可以支持其他的协议,当然了,现在流行的Oauth2.0协议肯定是支持了,下面开始集成Oauth。 参考博客 https://apereo.github.io/cas/5.3.x/installation/OAuth-OpenId-Authentication.htmlhttps://apereo.github.io/cas/5.3.x/installation/Configuration-Properties.html#o
Spring Security源码深度解析:ConfigAttributeDefinition与Editor详解
本文将深入分析 Spring Security 源码中的 ConfigAttributeDefinition 和 ConfigAttributeEditor 类,这两个核心组件在实现授权策略时发挥着关键作用。 ConfigAttributeDefinition 类是 Spring Security 中的一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值