SpringSecurity (六) RememberMe登录

最新推荐文章于 2023-11-28 23:54:37 发布
最新推荐文章于 2023-11-28 23:54:37 发布
阅读量239 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43189971/article/details/125866024
版权

一.项目配置

延用第五节的配置,依旧使用json的返回返回值

二.RememberMe的作用

1.默认可以所有接口访问,需要在securityConfig里配置securityFilterChain
2.加入了.remember()就是默认加入了rememberMe过滤器链rememberFilterChain,一共有35个过滤器链,不配置默认14个启用

在这里插入图片描述
在这里插入图片描述

三.securityConfig里配置securityFilterChain增加配置rememberFilterChain

    package com.huang.springsecurity.comments.config;

    import com.fasterxml.jackson.databind.ObjectMapper;
    import com.huang.springsecurity.comments.result.RespBean;
    import com.huang.springsecurity.model.User;
    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    import org.springframework.security.authentication.*;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.builders.WebSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;
    import org.springframework.security.core.userdetails.UsernameNotFoundException;
    import org.springframework.security.crypto.argon2.Argon2PasswordEncoder;
    import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
    import org.springframework.security.crypto.password.*;
    import org.springframework.security.crypto.scrypt.SCryptPasswordEncoder;
    import org.springframework.security.web.SecurityFilterChain;

    import java.io.PrintWriter;
    import java.util.HashMap;
    import java.util.Map;

    @Configuration
    public class SecurityConfig {





        @Bean
        PasswordEncoder passwordEncoder() {
            //这个表示使用明文密码
//        return NoOpPasswordEncoder.getInstance();
            //表示使用 bcrypt 做密码加密
//        return new BCryptPasswordEncoder();
            String encodingId = "bcrypt";
            Map<String, PasswordEncoder> encoders = new HashMap();
            encoders.put(encodingId, new BCryptPasswordEncoder(12));
            encoders.put("ldap", new LdapShaPasswordEncoder());
            encoders.put("MD4", new Md4PasswordEncoder());
            encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
            encoders.put("noop", NoOpPasswordEncoder.getInstance());
            encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
            encoders.put("scrypt", new SCryptPasswordEncoder());
            encoders.put("SHA-1", new MessageDigestPasswordEncoder("SHA-1"));
            encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));
            encoders.put("sha256", new StandardPasswordEncoder());
            encoders.put("argon2", new Argon2PasswordEncoder());
            return new DelegatingPasswordEncoder(encodingId, encoders);
        }


        /**
         * 给登录页面放行
         * Spring Security 给一个地址放行,有两种方式:
         * 1. 被放行的资源,不需要经过 Spring Security 过滤器链(静态资源一般使用这种)。
             * 2. 经过 Spring Security 过滤器链,但是不拦截(如果是一个接口想要匿名访问,一般使用这种)。
         * <p>
         * 下面这种方形方式是第一种
         *
         * @return
         */

        @Bean
        WebSecurityCustomizer securityCustomizer() {
            return new WebSecurityCustomizer() {
                @Override
                public void customize(WebSecurity web) {
                    web.ignoring().antMatchers("/login.html");
                }
            };
        }

        /**
         * 自己手动配置安全过滤器链
         *
         * @return
         */
        @Bean
        SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
            //开始认证
            http.authorizeRequests()
                    //请求路径如果是 /login.html,则这个请求可以匿名通过
                    .antMatchers("/login.html").anonymous()
                    //所有的请求,类似于 shiro 中的 /**
                    .anyRequest()
                    //必须要认证之后才能访问,类似于 shiro 中的 authc
                    .authenticated()
                    .and()
                    //开始配置登录表单
                    .formLogin()
                    //配置登录页面,如果访问了一个需要认证之后才能访问的页面,那么就会自动跳转到这个页面上来
                    .loginPage("/login.html")
                    //配置处理登录请求的接口,本质上其实就是配置过滤器的拦截规则,将来的登录请求就会在过滤器中被处理
                    .loginProcessingUrl("/doLogin")
                    //配置登录表单中用户名的 key
                    .usernameParameter("username")
                    //配置登录表单中用户密码
                    .passwordParameter("password")
                    //配置登录成功后的跳转地址
//                .defaultSuccessUrl("/hello")
//                .failureUrl("/login.html")
                    //登录成功处理器
                    //req:当前请求对象
                    //resp:当前响应对象
                    //auth:当前认证成功的用户信息
                    .successHandler((req, resp, auth) -> {
                        resp.setContentType("application/json;charset=utf-8");
                        User principal = (User) auth.getPrincipal();
                        principal.setPassword(null);
                        RespBean respBean = RespBean.ok("登录成功", principal);
                        String s = new ObjectMapper().writeValueAsString(respBean);
                        resp.getWriter().write(s);
                    })
                    //登录失败的回调
                    .failureHandler((req, resp, e) -> {
                        resp.setContentType("application/json;charset=utf-8");
                        //登录失败可能会有多种原因
                        RespBean respBean = RespBean.error("登录失败");
                        if (e instanceof BadCredentialsException) {
                            respBean.setMsg("用户名或者密码输入错误,登录失败");
                        } else if (e instanceof UsernameNotFoundException) {
                            //默认情况下,这个分支是不会进来的,Spring Security 自动隐藏了了这个异常,如果系统中发生了 UsernameNotFoundException 会被自动转为 BadCredentialsException 异常然后抛出来
                        } else if (e instanceof LockedException) {
                            //如果 com.qfedu.security02.model.User.isAccountNonLocked 方法返回 false,就会进入到这里来
                            respBean.setMsg("账户被锁定,登录失败");
                        } else if (e instanceof AccountExpiredException) {
                            //com.qfedu.security02.model.User.isAccountNonExpired
                            respBean.setMsg("账户过期,登录失败");
                        } else if (e instanceof CredentialsExpiredException) {
                            respBean.setMsg("密码过期,登录失败");
                        } else if (e instanceof DisabledException) {
                            respBean.setMsg("账户被禁用,登录失败");
                        }
                        ObjectMapper om = new ObjectMapper();
                        String s = om.writeValueAsString(respBean);
                        PrintWriter out = resp.getWriter();
                        out.write(s);
                    })

                    
                    .and()
                    //默认情况下,开启了 RememberMe 之后,所有的接口都可以通过 RememberMe 登录之后访问
                    //本质上,这个方法就是向 Spring Security 过滤器链中添加了一个过滤器 RememberMeAuthenticationFilter
                    .rememberMe()
                    .key("huang")
                   
                   
                    .and()
                    //关闭 csrf 防御机制,这个 disable 方法本质上就是从 Spring Security 的过滤器链上移除掉 csrf 过滤器
                    .csrf().disable()
                    .exceptionHandling()
                    //如果用户未登录就访问某一个页面,就会触发当前方法
                    .authenticationEntryPoint((req, resp, authException) -> {
                        resp.setContentType("application/json;charset=utf-8");
                        RespBean respBean = RespBean.error("尚未登录,请登录");
                        String s = new ObjectMapper().writeValueAsString(respBean);
                        resp.getWriter().write(s);
                    });

            return http.build();
        }
    }

增加的RememberMe配置为

	.and()
 //默认情况下,开启了 RememberMe 
 //本质上,这个方法就是向 Spring Security 过滤器链中添加了一个过滤器 RememberMeAuthenticationFilter
.rememberMe()
.key("huang")

四. RememberMe的登录返回值

开启 RememberMe 之后,登录成功后,服务端会响应一个 rm 字符串回来:emhhbmdzYW46MTY1OTQwMzM3NzE0ODowNjczYzdlYWFlNjE5MWU1YzY1MDYyOWRhMWUwZWQ5Zg ,这是一个 base64 编码之后的字符串,解码之后,分为三部分:

  • 用户名
  • 时间戳
  • 加密的字符串(根据用户名+用户密码+时间戳+key加密生成的字符串,不可解密)

以后每次请求的时候,都会自动携带上这个 Cookie,服务端收到 Cookie 之后,会解析出来用户名和时间戳,通过时间戳就能判断出 Cookie 是否已经过期,没有过期的话,根据用户名查询出用户密码,然后根据和用户名、用户密码、时间戳、key 进行加密,将加密后的字符串跟 Cookie 中的第三部分进行比较。

谁是黄黄
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security学习之rememberMe自动登录的实现
08-18
主要给大家介绍了关于Spring Security学习之rememberMe自动登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Spring Security Remember me使用及原理详解
08-25
.rememberMe() .userDetailsService(myUserDetailServiceImpl) .tokenRepository(persistentTokenRepository()) .tokenValiditySeconds(60 * 60) .and() .authorizeRequests() .antMatchers(SecurityConst....
6.Spring security中的rememberMe
EdSheeran的博客
03-07 4415
文章目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`* RememberMe 6.2RememberMe基本用法 /** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时,多了一个请求参数remember-me: on,用
Spring Security 06 Rember Me
weixin_46058921的博客
05-07 507
当用户通过用户名/密码的形式登录成功后,系统会根据用户的用户名、密码以及令牌的过期时间计算出一个签名,这个签名使用 MD5 消息摘要算法生成,是不可逆的。然后再将用户名、令牌过期时间以及签名拼接成一个字符串,中间用“:” 隔开,对拼接好的字符串进行Base64 编码,然后将编码后的结果返回到前端,也就是我们在浏览器中看到的令牌。
根据Remember-Me进行自动登录(4)
野皇
05-01 556
根据Remember-Me进行自动登录 如果用户在登录时选择了Remember-Me的功能(即勾选“5天内不用再登录”复选框),登录成功后用户名/密码的信息就保存在客户机的Cookie中。下次用户直接访问站点的安全页面时,必须有一个过滤器能够自动调用RememberMeServices#autoLogin()完成自动登录的操作,这便是通过RememberMeProcessingFilter过滤器来...
SSM集成SpringSecurity(十一):rememberMe和获取登录用户信息
许洪昌的博客
02-13 740
rememberMe springSecurity提供了一个rememberMe功能,可以让用户在一定时间内进行无密码登录。比如说在有效的时间内关闭了浏览器,然后重新打开一样有效。 该功能不是记住密码,大家不要弄混淆了。 1: login.jsp文件加入,name必须是remember-me 记住我:<input type="checkbox" name="remember-me"...
SpringSecurity rememberme功能实现过程解析
08-24
主要介绍了SpringSecurity rememberme功能实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住我功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍如何使用 Spring Security 实现记住我下次自动登录功能。 ...
单点登录CAS9-服务端RememberMe
qq_40026782的博客
05-16 465
CAS一些配置项下面是CAS-4.0.3服务端的来自cas.properties中的一些配置项介绍1、cas.securityContext.status.allowedSubnet=127.0.0.1  可以访问的服务端统计页面:http://sso.jadyer.com:8080/cas-server-web/status  可以访问的服务端统计页面:http://sso.jadyer.com...
Spring Boot 3 + Spring Security 6 最新版本修改 Json 登录后 RememberMe 功能问题失效的解决方案
最新发布
qq_42378797的博客
11-28 1170
Spring Boot 版本更新到 3 之后,最低要求的 JDK 版本变为 17,相应的 最新版本的 Spring Security 的配置也发生了变化,一下主要讲解一些新的 Spring Security 的配置方法。
01.SpringSecurity基础应用——概念、整合SpringSecurity、自定义登录页面、数据库验证、Remember me、授权操作
棒棒的邦邦
06-02 431
一、SpringSecurity概念 SpringSecuritySpring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。 SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,SpringSecurity的真正强大支出在于它轻松扩
下次自动登录(Remember Me)功能
Fish Where The Fish Are
10-11 650
1、自动登录是否有必要? 2、初期是否默认选中? 3、保存时间大概有多久? 4、是否应该提示用户有安全风险? 5、是否有必要采用高级的安全控件? 关于认证,stackoverflow上一篇很全的讨论 [url=http://stackoverflow.com/questions/549/the-definitive-guide-to-form-based-website-authen...
Spring Security RememberMe 自动登录流程
记录,记录,记录
02-15 227
Spring Security 是根据cookie来完成自动登录功能的,所以我将解析分为两部分:何时让请求带上cookie;如何去解析cookie。 1、何时添加cookie 还记得处理登录的过滤器嘛,没错,一切都是从哪里开始,AbstractAuthenticationProcessingFilter。我们先去扎到它的doFilter()方法,如下: private void doFilter(HttpServletRequest request, HttpServletResponse respons
spring security 5 (12)-自动登录 rememberMe
JAVA博客
08-01 526
当你登录了某个网站,过了好几天再去访问,可能会发现当前已经是登录状态,因为客户端一直保存着你的登录信息。虽然服务端session也可以维持用户会话状态,但是如果要维持一两周甚至更长时间,会造成服务端数据量太大。所以这里存储在客户端如cookie。 rememberMe实现自动登录 protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().aut
springSecurity的remember-me功能的思考
weixin_44837750的博客
09-22 387
文章目录思考一、remember-me功能源码解析二、从源码看出的问题三、尝试解决问题 思考 如果使用过springsecurity的记住我功能就知道,其实用户每一次上线都会刷新一次最后登录时间,那么如果将过期时间设置为7天的话,只要用户在7天内再次登录,那么后面的7天时间又不用再登录了,就会无限循环下去。 但有第二种场景,规定7天内免登录,只要过了7天时间就一定需要再次登录,结合springSecurity的remember-me记住我功能源码分析,下文就是对这一场景的思考。 一、remember-m.
Spring Security(12)——Remember-Me功能
e765741668的专栏
04-03 869
Remember-Me功能   目录   1.1     概述 1.2     基于简单加密token的方法 1.3     基于持久化token的方法 1.4     Remember-Me相关接口和实现类 1.4.1    TokenBasedRememberMeServices 1.4.2    PersistentTokenBasedRememberMeServices
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2410
Spring Security 之 RememberMe
Spring Security的十一个拦截器
Tec Log
08-25 3072
处理form登录的过滤器,与form登录有关的所有操作都是在这里进行的,登陆时判断用户名密码是否有效,有效的话就跳转到成功页面。
springsecurity rememberme
03-16
Spring Security中的remember-me功能是一种自动登录机制,它允许用户在关闭浏览器后再次访问应用程序时保持登录状态。当用户登录时,系统会在浏览器中创建一个cookie,该cookie包含用户的身份验证令牌。当用户再次...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值