第二篇 spring security简单实现自动登录

最新推荐文章于 2023-12-25 14:24:02 发布
最新推荐文章于 2023-12-25 14:24:02 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: springsecurity系统学习 文章标签: spring java 后端 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44718708/article/details/122208251
版权

上一篇文章介绍了spring security的简单使用,这一章介绍自动登录的简单实现。

spring security自动登录是通过登录时生成并保存相关加密串,在下次登录失效时再访问时直接从拉取保存的加密串进行自动登录验证来实现,再次访问不需要再显式地进行用户名密码登录。框架中自动登录加密串存储主要基于关系型数据库实现。

目录

一、实现原理

1. 加密串存储

2. 再次访问

二、具体实现

1. 创建数据表

2. 配置WebSecurityConfigurerAdapter

3. 添加自动登录复选框

附录

一、实现原理

1. 加密串存储

在认证成功之后将加密串分别保存到浏览器的cookies中和数据库表中。

2. 再次访问

当再次访问时,获取cookies信息,拿着cookies中的加密串到数据库进行比对,如果比对成功并查询到对应信息,认证成功,可以登录。

* 自动登录过程框架内部已经实现

示意图:

二、具体实现

1. 创建数据表

表结构必须与框架中要求的结构一致。框架中实现了自动建表功能,但是出于安全考虑,系统中配置的数据库账号一般要求不具备建表权限,建议手动建表。

表结构按照JdbcTokenRepositoryImpl建表语句:

2. 配置WebSecurityConfigurerAdapter

基于上一篇配置做拓展。

配置自动登录需要注入数据源和数据库操作对象,在配置中开启remember me自动登录,并设置自动登录Token过期时间和用户权限等用户基本信息来源业务类。

(1)准备(见附录)

(2)注入数据源

    @Autowired
    private DataSource dataSource;

 (3)注入操作数据库对象

    /**
     * 自动登录Token仓储
     * @return PersistentTokenRepository
     */
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        // 自动建表,不建议开启
        // jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }

(4)配置自动登录

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ... ...
        // 自动登录
        http.rememberMe()
                .tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(120)
                .userDetailsService(userDetailService);
    }

3. 添加自动登录复选框

在登录页面配置自动登录复选框,框架要求以“remember-me”做name。

    <input type="checkbox" name="remember-me"/>自动登录

(1)查看效果:

登录后Cookies有了remember-me:

 数据库添加了记录:

 自行勾选自动登录后重启系统,重新访问要求登录的页面/接口以验证。

(2)查看勾选前后访问参数区别

不勾选(无remember-me参数): 

勾选(有remember-me参数):

 这可以为后续前后端完全分离项目自动登录提供思路。

附录

基于第一篇配置做拓展。

添加依赖:

    <properties>
        ... ...
        <spring.boot.version>2.2.1.RELEASE</spring.boot.version>
        <druid.version>1.1.10</druid.version>
        <mysql.version>5.1.46</mysql.version>
        <mybatis.version>1.3.2</mybatis.version>
    </properties>

    <dependencies>
        ... ...
        <!-- jdbc -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
            <version>${spring.boot.version}</version>
        </dependency>
        <!-- druid -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>${druid.version}</version>
        </dependency>
        <!-- mysql connector -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>${mysql.version}</version>
        </dependency>
        <!-- mybatis -->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>${mybatis.version}</version>
        </dependency>
    </dependencies>

application.yml添加数据源和mybatis配置:

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://localhost:3306/security_test?useUnicode=true&characterEncoding=utf-8&useSSL=false&allowMultiQueries=true
    username: root
    password: root
    initialSize: 5 #初始化连接大小
    minIdle: 5     #最小连接池数量
    maxActive: 20  #最大连接池数量
    maxWait: 60000 #获取连接时最大等待时间,单位毫秒
    timeBetweenEvictionRunsMillis: 60000 #配置间隔多久才进行一次检测,检测需要关闭的空闲连接,单位是毫秒
    minEvictableIdleTimeMillis: 300000   #配置一个连接在池中最小生存的时间,单位是毫秒
    validationQuery: SELECT 1 from DUAL  #测试连接
    testWhileIdle: true                  #申请连接的时候检测,建议配置为true,不影响性能,并且保证安全性
    testOnBorrow: false                  #获取连接时执行检测,建议关闭,影响性能
    testOnReturn: false                  #归还连接时执行检测,建议关闭,影响性能
    poolPreparedStatements: false        #是否开启PSCache,PSCache对支持游标的数据库性能提升巨大,oracle建议开启,mysql下建议关闭

    maxPoolPreparedStatementPerConnectionSize: 20 #开启poolPreparedStatements后生效
    filters: stat,wall,slf4j #配置扩展插件,常用的插件有=>stat:监控统计  log4j:日志  wall:防御sql注入
    connectionProperties: 'druid.stat.mergeSql=true;druid.stat.slowSqlMillis=5000' #通过connectProperties属性来打开mergeSql功能;慢SQL记录

mybatis:
  configuration:
    map-underscore-to-camel-case: true  #开启驼峰命名,l_name -> lName
    jdbc-type-for-null: NULL
    lazy-loading-enabled: true
    aggressive-lazy-loading: true
    cache-enabled: true #开启二级缓存
    call-setters-on-nulls: true #map空列不显示问题
  mapper-locations:
  - classpath:mybatis/*.xml

druid连接池:

@Configuration
public class DruidConfiguration {

    @Bean
    @Primary
    @ConfigurationProperties(prefix = "spring.datasource")
    public DataSource dataSource() {
        return new DruidDataSource();
    }

    @Bean
    public ServletRegistrationBean<StatViewServlet> statViewServlet() {
        ServletRegistrationBean<StatViewServlet> servletRegistrationBean = new ServletRegistrationBean<>(new StatViewServlet(), "/druid/*");
        //设置ip白名单
        servletRegistrationBean.addInitParameter("allow", "127.0.0.1");
        //设置ip黑名单,优先级高于白名单
        servletRegistrationBean.addInitParameter("deny", "192.168.0.19");
        //设置控制台管理用户
        servletRegistrationBean.addInitParameter("loginUsername", "root");
        servletRegistrationBean.addInitParameter("loginPassword", "root");
        //是否可以重置数据
        servletRegistrationBean.addInitParameter("resetEnable", "false");
        return servletRegistrationBean;
    }

    @Bean
    public FilterRegistrationBean<WebStatFilter> statFilter() {
        //创建过滤器
        FilterRegistrationBean<WebStatFilter> filterRegistrationBean = new FilterRegistrationBean<>(new WebStatFilter());
        //设置过滤器过滤路径
        filterRegistrationBean.addUrlPatterns("/*");
        //忽略过滤的形式
        filterRegistrationBean.addInitParameter("exclusions", "*.js,*.gif,*.jpg,*.png,*.css,*.ico,/druid/*");
        return filterRegistrationBean;
    }

}
大迪吃小迪
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4837
本文重点解析了SpringSecurity登录过程中的详细流程,以及整体总结
数据库连接池 druid配置 (阿里)
tiguer的博客
07-05 1263
java程序很大一部分要操作数据库,为了提高性能操作数据库的时候,有不得不使用数据库连接池。数据库连接池有很多选择,c3p、dhcp、proxool等,druid作为一名后起之秀,凭借其出色的性能,也逐渐印入了大家的眼帘。接下来本教程就说一下druid的简单使用。 首先从 http://repo1.maven.org/maven2/com/alibaba/druid/下载最新的jar包。如果
Druid使用详解
最难不过坚持,与你共同进步
09-22 3698
Druid 是一个强大的数据库连接池和监控库,它提供了比常见的数据库连接池更多的功能,如连接池监控、统计SQL信息、SQL 监控、防 SQL 注入等。在 Spring Boot 项目中,Druid 可以很容易地集成并进行配置。
Spring Security OAuth Client配置加载源码分析
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-12 1562
这一节我们以前面默认的OAuth2 客户端集成为例,来了解下配置文件的加载,示例见第二、第三节。要学习一个新框架,我一般会按照如下步骤来实施:(1)根据官方文档搭建Demo,先跑起来,有一个整体观(2)分析源码,从Demo的功能配置入手,找到突破口(3)每次分析源码,要带着问题看(4)根据源码分析出来的思路,画架构图、流程图(5)学习框架的实现思路,取其精华去其糟粕码农小胖哥的2022版PDF。............
druid连接池参数配置
m0_49102053的博客
12-25 2629
druid连接池参数配置。
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBootSpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
Spring security登录过程逻辑详解
08-19
用户身份验证是 Spring Security 登录过程的第一步。在这个步骤中,Spring Security 将根据用户输入的用户名和密码对用户的身份进行验证。这个过程是通过 AuthenticationProvider 接口来实现的。 ...
SpringSecurity实现表单安全登录、图形验证的校验、记住我时长控制机制、第三方登录
01-30
SpringSecurity还支持与其他身份验证服务(如OAuth2)的集成,实现第三方登录。OAuth2是一种授权框架,允许用户授权第三方应用访问他们存储在另一服务(如Facebook、Google)上的数据,而无需分享他们的登录凭证。...
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
Spring Security 中,RememberMeAuthenticationFilter 是一个认证过滤器,位于认证过滤器链的倒数第二个位置。当其他认证过滤器都无法认证成功时,将调用 RememberMeAuthenticationFilter 尝试认证。 三、配置 ...
6spring boot+security+oauth2 第三方登录1
08-08
本篇文章将探讨如何利用Spring BootSpring Security以及OAuth2来实现第三方登录功能,特别是在集成GitHub登录时的实现细节。 OAuth 2.0是一种授权框架,它允许第三方应用在用户授权的情况下访问其存储在另一服务...
druid数据库连接池详细属性配置
08-15
阿里巴巴旗下开源产品,目前最好的数据库连接池详细配置极其所有属性。
druid数据库连接池 application.yml 最大连接池数量max-active 最大等待时间max-wait 高并发时大量线程等待TIMED_WAITING
tanzongbiao的专栏
09-27 4612
高并发时大量线程等待。
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
weixin_47083537的博客
04-28 824
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
druid 推荐配置
Ypc_victor的专栏
03-02 2383
#配置初始化大小、最小、最大 initialSize = 1 minIdle = 5 maxActive = 20 #配置从连接池获取连接等待超时的时间 maxWait = 1000 #配置间隔多久启动一次DestroyThread,对连接池内的连接才进行一次检测,单位是毫秒 timeBetweenEvictionRunsMillis = 600000 #配置一个连接在池中最大空闲时间,单位是毫秒...
Spring Security OAuth2使用步骤(一)
FAIRYTAIL的博客
08-26 3857
Springclound Security Oauth2配置授权服务器和资源服务器、token存储
Spring Security Oauth2.0认证授权
IT_Carter的博客
11-02 3056
Spring Security Oauth2.0认证授权 Spring Security:安全框架 OAuth2.0:用于分布式认证授权 JWT:与OAuth2.0相关的令牌 1、基本概念 1.1什么是认证 输入账号和密码登录微信的过程就是认证 判断用户身份合法的过程 系统为什么要认证 保护系统隐私数据和资源 1.2什么是会话 为了避免用户的每次操作都进行认证可将用户的信息保存在会话中 保持当前用户登录状态所提供 的机制 输入支付密码,是二次认证 会话的2种方式 1:基于se
druid连接池的配置文件配置
weixin_68658847的博客
12-13 328
druid连接池的配置文件配置
【MS】微服务调用时,开放某个接口设置不需要oauth2 认证即可访问
热门推荐
唐伯虎点纹香的博客
08-22 1万+
微服务调用时,开放某个接口设置不需要oauth2 认证即可访问 目标 是把不需要认证的接口给资源服务permitAll 思路 创建一个自定义的注解 把所有带注解的URL给资源服务permitAll 1、创建不鉴权注解@AuthIgnore /** * @author czx * @title: AuthIgnore * @projectName ms * @description:...
druid 参数设置
面朝大海,春暖花开
10-25 8324
11)Remove-abandoned-timeout,指的是强制回收的触发时间阈值。4)Validation-query,指的是连接池探测当前连接是否是健康的SQL语句。9)Time-between-eviction-runs-millis指的是触发空闲连接健康探测阈值,需要跟上面的Test-while结合起来。8)Test-while-idle,指的是控制当连接处于空闲状态时,是否需检测连接的健康状态。2)Min-idle:关掉多余连接,保留有效连接,节省数据库的资源,这个值根据应用实际情况调整。
spring-security-oauth2文档
最新发布
03-26
Spring Security OAuth2 Boot提供了一系列自动配置选项,方便开发者快速集成OAuth2.0协议,尤其是在迁移至Spring Boot 2.x时,作为旧版OAuth支持与新版Spring Security 5之间的一个过渡工具。 1.1 自动配置与授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大迪吃小迪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值