SpringSecurity自动登录流程与实现

最新推荐文章于 2024-03-14 06:06:49 发布
最新推荐文章于 2024-03-14 06:06:49 发布
阅读量862 收藏 2
点赞数
分类专栏: SpringSecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43808717/article/details/120120862
版权

1、自动登录原理

在这里插入图片描述
大概的流程是这样一个图,里面还有很多细节与类下面进行分析

1.1、首次登录

  1. 第一次登录时首先需要勾选checkbox的组件,页面中应该给出一个记住我的勾选框!

  2. 然后Security会放行到AbstractAuthenticationProcessingFilter抽象类,这个类里面doFilter放行链主要调用attemptAuthentication方法successfulAuthentication方法

  3. 其中attemptAuthentication方法由UsernamePasswordAuthenticationFilter类实现,这里会调用自定义的UseDetailsService接口的实现类(用户登录账号密码验证),也就是说这个方法会进行账号密码的校验!

  4. successfulAuthentication方法主要是在用户验证通过之后用于Token的生成、存储;其中会用到PersistentTokenBasedRememberMeServices类中的onLoginSuccess方法

  5. onLoginSuccess方法核心就是随机生成一个Token、将Token持久化到数据库中、并且将Token写入到Cookie中!

    @Override
protected void onLoginSuccess(HttpServletRequest request, HttpServletResponse response,
		Authentication successfulAuthentication) {
	
	// 1. 登录的用户名账号	
	String username = successfulAuthentication.getName();
	
	// 2. 生成一个Token
	PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(username, generateSeriesData(),
			generateTokenData(), new Date());
	try {
		// 3. 持久化到数据库中
		this.tokenRepository.createNewToken(persistentToken);
		
		// 4. 添加到Cookie中
		addCookie(persistentToken, request, response);
	}
	catch (Exception ex) {
		this.logger.error("Failed to save persistent token ", ex);
	}
}

  6. 这里的Token可以通过代码进行设置过期时间、像什么十天内免登录、三天内免登录…

1.2、自动登录

  1. 所谓的自动登录是在访问链接时浏览器自动携带上了Cookie中的Token交给后端校验,如果删掉了Cookie或者过期了同样是需要再次验证的!

  2. 浏览器携带Token进行请求来到RememberMeAuthenticationFilter类中的doFilter方法过滤链中;这里调用AbstractRememberMeServices抽象类中的autoLogin方法

  3. autoLogin方法中会从request中拿到cookie的值,然后调用processAutoLoginCookie方法进行数据库层面的校验!

  4. processAutoLoginCookie方法是由PersistentTokenBasedRememberMeServices类给出实现;首先通过Token查到对应的登录账户名。

  5. 如果匹配失败直接拦截掉请求,否则匹配成功那么重新刷新Token的过期时间并且重新持久化并且写到Cookie中,并且调用自定义的UseDetailsService接口的实现类(用户登录账号密码验证)。

@Override
protected UserDetails processAutoLoginCookie(String[] cookieTokens, HttpServletRequest request,
		HttpServletResponse response) {
	// 1. cookie残缺	
	if (cookieTokens.length != 2) {
		throw new InvalidCookieException("Cookie token did not contain " + 2 + " tokens, but contained '"
				+ Arrays.asList(cookieTokens) + "'");
	}
	String presentedSeries = cookieTokens[0];
	String presentedToken = cookieTokens[1];
	PersistentRememberMeToken token = this.tokenRepository.getTokenForSeries(presentedSeries);
	
	....
	// 2. 这里有一大堆的校验失败
	....
	
	// 3. 校验成功,重新生成Cookie等一系列操作
	PersistentRememberMeToken newToken = new PersistentRememberMeToken(token.getUsername(), token.getSeries(),
			generateTokenData(), new Date());
	try {
		this.tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(), newToken.getDate());
		addCookie(newToken, request, response);
	}
	
	// 4. 查用户(因为有可能用户删除掉)
	return getUserDetailsService().loadUserByUsername(token.getUsername());
}
  1. 分析:最后为什么要重新查询一次用户?因为Token查询的是表中一个Token + Username的表,并不是用户登录账号表;有可能Token没过期但是删除掉了这个用户,Token中有残余数据!


2、具体实现

前言:首先需要看一下JdbcTokenRepositoryImpl类的源码,这个类的源码里给出了存放token、用户名,时间戳等一系列参数的建表语句;以及操作数据库的语句。

在这里插入图片描述

2.1、创建数据表

  • 创建数据表可以自己创建,也可以在服务启动时让其自动创建

  • 这里选择自动创建表,直接把它的源码复制过来;表名、列名一些参数最好不要动。

// 操作token的数据表
create table persistent_logins (
    username varchar(64) not null, 
    series varchar(64) primary key, 
    token varchar(64) not null, 
    last_used timestamp not null
)engine=innodb default charset=utf8

// 存放用户信息表
create table `account` (
  `id` int(11) not null auto_increment comment '编号',
  `username` varchar(30) not null comment '姓名',
  `password` varchar(30) not null comment '密码',
  `role` varchar(100) not null comment '权限',
  primary key (`id`)
) engine=innodb default charset=utf8
insert into account(`id`, `username`, `password`, `role`) values (1, 'admin', '123456', 'root')

2.2、UserDetailsService实现
  • 编写Pojo类对应数据库中的表
// pojo
@Data
@AllArgsConstructor
@NoArgsConstructor
public class Account {

    private Integer id;
    private String username;
    private String password;
    private String role;
}
  • 编写mapper用户操作数据库的接口
// mapper
@Mapper
@Repository
public interface AccountMapper {

    Account getLoginAccount(String username);
}
  • 编写mapper用户操作数据库的接口
// accountmapper.xml
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.splay.mapper.AccountMapper">
    
    <select id="getLoginAccount" parameterType="string" resultType="Account">
        select *from account where username = #{username}
    </select>
</mapper>
  • 编写UserDetailsService接口的实现类,注入Mapper
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    // 注入dao层
    @Autowired
    AccountMapper mapper;

    @Autowired
    BCryptPasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException{
        Account account = mapper.getLoginAccount(username);
        System.out.println(account.toString());
        List<GrantedAuthority> list = new ArrayList<>();
        // SpringSecurity权限控制角色需要使用"ROLE_"开头, 并且密码在构造时需要进行加密。
        list.add(new SimpleGrantedAuthority("ROLE_" + account.getRole()));

        return new User(passwordEncoder.encode(account.getUsername()), passwordEncoder.encode(account.getPassword()), list);
    }
}

2.3、Security配置
  • Security中首先需要注入BCryptPasswordEncoder加密解密类、数据源DataSource、JdbcTokenRepositoryImpl操作Token的驱动类、以及UserDetailsService类(也可以在其他Configuration中注入)
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	
	// 数据源
	@Autowired
    DataSource dataSource;

	// UserDetailsService实现类
	@Autowired
    UserDetailsService userDetailsService;

    // 注入密码加密解密类
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    // 注入jdbc Token操作类
    @Bean
    PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl repository = new JdbcTokenRepositoryImpl();
        repository.setCreateTableOnStartup(false);				//关闭自动创建表
        repository.setDataSource(dataSource);					//注入数据源
        return repository;
    }
		
}
  • 配置用户登录密码校验,这里就是查询数据库校验账号密码的有效性
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {

	// 密码需要进行加密解密进行验证匹配!
	auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder);
}
  • 配置登录、登出、记住我、Cookie有效时间
@Override
protected void configure(HttpSecurity http) throws Exception {
	http
        .formLogin()
        .loginPage("/login")                    // 登录页面
        .loginProcessingUrl("/user/login")      // 提交表单处理的请求,由Security实现
        .defaultSuccessUrl("/index",true).permitAll()      //成功访问哪里
    .and()
        .logout()
        .logoutUrl("/logout")
        .logoutSuccessUrl("/index").deleteCookies().permitAll()    //退出成功页面

    // 2. 无需保护的页面
    .and()
        .authorizeRequests()
            .antMatchers("/level1/**").permitAll()
            .antMatchers("/level2/**").hasAnyRole("customer", "admin")
            .antMatchers("/level3/**").hasRole("admin")
    .anyRequest().authenticated().and()
            .rememberMe()                                       //记住我
            .tokenRepository(persistentTokenRepository)         //注入操作token的jdbc
            .tokenValiditySeconds(60).rememberMeCookieName("remember-me")                   //Cookie有效时间 单位: 秒
            .userDetailsService(userDetailsService);             //注入用户验证UserDetailsService
    http.exceptionHandling().accessDeniedPage("/nodeny");
    http.csrf().disable();
}
2.4、编写前端登录页面

这里一定要开启checkbox复选框,并且这个name = “remember-me”。

<form action="/user/login" method="post">
    用户名: <input type="text" name="username"><br/>
    密码: <input type="text" name="password"><br/>
    <input type="checkbox" name="remember-me">记住我<br/>
    <input type="submit" value="登录"/>
</form>


Splaying
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4807
本文重点解析了SpringSecurity登录过程中的详细流程,以及整体总结
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2762
SpringSecurity实现登录登出
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
m0_60721967的博客
03-14 990
至此,文章终于到了尾声。技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;项目经历:只写明星项目,描述遵循 STAR 法则;简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;以及最后为大家准备的福利时间:简历模板+Java面试题+热门技术系列教程视频. 技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;2. 项目经历:只写明星项目,描述遵循 STAR 法则;3. 简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码、短信验证码和github三种登录方式)
向心行者
09-15 8315
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity的认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
SpringSecurity基础入门(详情可以联系博主)
yuan_boss的博客
06-12 478
写下本篇文章是因为我在做小项目时使用到了spring security并且对此有了更深的理解,故写下这篇文章总结了spring security并且再次加深理解,本篇文章适合于有点基础的小伙伴,当然没有基础的小伙伴也可以在评论区提问,或者加扣扣联系,小编看到一定回复哦,扣扣:1928627476...
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
justauth-spring-boot-security-starter:spring security 集成 JustAuth 实现第三方授权登录
05-11
Spring security 集成 JustAuth 实现第三方授权登录脚手架: 一、特性 : 此项目从 用户管理脚手架(UMS): | ) 项目中分离. 支持所有 justAuth 支持的第三方登录登录自动注册 或 绑定 或 创建临时用户(). 支持定时...
spring的概要介绍与分析
最新发布
04-30
此外,Spring框架提供了丰富的功能组件,如数据访问(Spring Data JPA、MyBatis等)、Web开发(Spring MVC、Spring Boot等)、消息传递(Spring AMQP、Spring Integration等)和安全性(Spring Security)等。...
Gitllab+Jenkins+Docker+Harbor 自动化部署流程
01-11
Gitllab+Jenkins+Docker+Harbor 自动化部署流程 一、 版本控制系统 Gitllab Gitllab 是一个基于 web 的 Git 仓库管理系统,提供了一个强大且灵活的平台来管理 Git 项目。 Gitllab 允许用户创建、管理和共享 Git ...
基于Spring Boot的可盈保险合同管理系统的设计与实现.zip
03-09
"基于Spring Boot的可盈保险合同管理系统的设计与实现.zip"是一个针对保险行业设计的应用软件包,它旨在帮助保险公司高效管理保险合同。该项目采用了流行的Java开发框架Spring Boot,以便快速搭建和部署微服务架构。...
SpringBoot集成SpringSecurity(七)简单分析认证流程
xinshengdelei的专栏
03-31 838
认证流程 用户提交后,默认走用户密码认证过滤器UsernamePasswordAuthenticationFilter,其继承了一个抽象的认证过滤器AbstractAuthenticationProcessingFilter。 AbstractAuthenticationProcessingFilter的doFilter方法负责认证流程,其关键过程包括: UsernamePasswordAuthenticationFilter.attemptAuthentication方法,认证过程。 succ
两张图疏通Spring Security认证流程
HHH的博客
07-19 371
我们都知道实现一套Spring Security 的认证流程, 需要设计很多和类来回切换,等等, 这些类名又非常的长, 所以导致我们在写的时候,思绪混乱,不知道下一步应该写什么 ,所以今天我们就通过两张图来搞明白这个认证编码的流程Tip:最好自己是已经跟着文档或者视频做过一次Spring Security认证流程可以看看我的上一篇博客更加优雅的认证授权——Spring Security_Hzq958的博客-CSDN博客所以我们的编码流程自顶向下的方式是非常合理, 避免了反复频繁的切换类。
【编程不良人】SpringSecurity实战学习笔记04---RememberMe
Mr.Cui的Java学习之路
08-27 1392
【编程不良人】SpringSecurity实战学习笔记04---RememberMe
springboot使springsecurity不用登录
weixin_43114582的博客
08-11 6136
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity跟着启动,默认使用HttpBasic的方式启
SpringSecurity的记住登录实现过程———【RememberMeServices】分析过程
SunRains
12-09 1434
在上一篇文章《SpringSecurity的认证流程分析(各个组件之间的关联)》介绍认证的基本流程时,其中的AbstractAuthenticationProcessingFilter有这样一个属性——RememberMeService引起我的注意,虽然从字面上很容易理解这个属性是和记住登录有关。但是其中的实现过程又是如何不深入还真不清楚,所以秉着学习的态度专门了解一下Security中对这个功能的实现。 在了解之前,先要清楚为什么需要这个类来实现?当我们在很多网站上注册...
SpringSecurity实现自动登录功能
qq_34136709的博客
04-29 1605
SpringSecurity实现自动登录功能 我们知道很多网站都有下次自动登录的功能,springsecurity作为较获得安全技术肯定是也有的 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据 要实现记住我这个功能,其实只需要其实只需要在 Spring Security 的配置中,添加如下代...
自动登录实现
weixin_42547717的博客
12-01 313
LoginServlet的实现:  package com.web.servlet; import com.bean.User; import com.dao.UserDao; import com.dao.impl.UserDaoImpl; import org.apache.commons.beanutils.BeanUtils; import javax.servlet.Servle...
spring security自动配置流程
05-16
Spring Security自动配置流程主要分为以下几个步骤: 1. 在Spring Boot应用程序中添加`spring-boot-starter-security`依赖,该依赖将自动为您添加Spring Security和其依赖项。 2. Spring Boot将自动配置`WebSecurityConfigurerAdapter`,并将其作为一个bean添加到应用程序上下文中。这个bean包含了一些默认的安全配置。 3. 如果您需要自定义安全配置,可以创建一个继承自`WebSecurityConfigurerAdapter`的类,并覆盖其中的方法以实现您的自定义配置。 4. Spring Boot还提供了许多可用的属性,您可以使用这些属性来自定义安全配置。例如,您可以在`application.properties`或`application.yml`文件中设置`security.user.name`和`security.user.password`属性来设置默认的用户名和密码。 5. 最后,Spring Boot使用`@EnableWebSecurity`注解启用Web安全性,并将`WebSecurityConfigurerAdapter`的bean添加到应用程序上下文中。 总之,Spring Security自动配置流程非常方便,只需要添加依赖并进行必要的自定义配置即可完成应用程序的安全配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值