Spring Security RememberMe 记住密码自动登录过程源码分析

已于 2022-03-04 15:37:42 修改
阅读量5.3k 收藏 3
点赞数
分类专栏: 项目源码 文章标签: java 后端 spring 网络安全 web安全
于 2022-03-04 15:36:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45114101/article/details/123275171
版权
本文深入分析了Spring Security的RememberMe功能,从登录成功后的判断到持久化token,再到数据库与cookie的交互,以及后续的自动登录流程。通过源码解读,详细阐述了每个步骤如何确保安全性和有效性。
摘要由CSDN通过智能技术生成

目录

 环境Spring Boot 2.6.3

1. 登录成功后判断是否开启记住密码

  2. 创建持久化token,(记住密码功能的凭证) 

 3. 将凭证写入数据库并写入cookie返回

​  4. 下次登录时,请求经过filter,利用cookie中的token执行自动登录

 5. 通过比较cookie中的数据是否和数据库中持久化的数据一致

  6. 数据合法,产生Authentication对象

 7. 将authentication交给provider去认证

 环境Spring Boot 2.6.3

本文主要讲源码,具体实现代码就不粘全了
自定义UserDetailsService +自定义认证持久层(mysql数据库认证源)

WebSecurityConfigurerAdapter
            @Autowired
            DataSource dataSource;//我用的druid数据源

            @Autowired
            UserDetailsService userService;//自定义的实现了接口的类(没粘出来)
            
            @Bean
            public PersistentTokenRepository persistentTokenRepository(){
                JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
                tokenRepository.setDataSource(dataSource);//设置数据源
                return tokenRepository;
            }

           @Override
            protected void configure(HttpSecurity http) throws Exception {

               http.
                    ...
                                            //记住密码
                        .and().rememberMe()
//                      .rememberMeParameter("remember-me")//设置前端 表单记住密码的name
                        .tokenRepository(persistentTokenRepository())//设置持久层
                        .tokenValiditySeconds(60*60*24*7)//设置token有效期
                        // 设置  userDetailsService , 和 认证过程的同样,RememberMe 有专门的 RememberMeAuthenticationProvider ,也就意味着须要 使用UserDetailsService 加载 UserDetails 信息
                        .userDetailsService(userService)
            }

 Mysql(因为JdbcTokenRepositoryImpl 底层是把token保存在数据库所以要先建表)

create table persistent_logins (username varchar(64) not null, series varchar(64) primary key,token varchar(64) not null, last_used timestamp not null)

1. 登录成功后判断是否开启记住密码

UsernamePasswordAuthenticationFilter->
doFilter()->
        attemptAuthentication(request, response);//登录验证
 
最低0.47元/天 解锁文章
秃头年轻人
关注
专栏目录
SpringSecurity实现”记住我“功能
这里是Mae。
01-31 2977
简化用户每次登录都要输入用户名和密码的麻烦,提高用户体验
Spring Security 6.x 系列(16)—— Remember Me 自定义配置及源码分析
最新发布
gmHappy
01-05 2580
Remember Me(记住我)是一种常见功能,打开一个网站后,如果超过长时间未操作,会话过期后需要重新登录。Remember Me 功能可以“记住”当前登录用户,就算会话过期,或者浏览器关闭,下次进入网站时,不再需要重新认证,直接自动登录
SpringSecurity 记住密码
抛弃幻想,准备斗争
04-25 1625
很多时候很少会出现让用户重复的输入用户名或密码的形式,往往都可以通过Cookie来记录下用户的操作密码。 所以在spring安全框架里面也提供有这样记住密码的功能。 对于记住密码的操作有两种支持:一种是使用浏览器保存、另一种是基于数据库保存。 一、使用浏览器保存 要想记住密码大多情况会使用复选框的方式来出现,用户只要选中了复选框,就表示密码要被记住。 1.修改login.jsp页面 定...
史上最简单的Spring Security教程(三十二):默认用户名密码记住登录与CA登录融合方案
银河架构师的博客
10-10 950
在上一篇文章史上最简单的史上最简单的Spring Security教程(三十一):默认用户名密码登录新增RememberMe(记住我)选项中,介绍了如何基于 Spring Security 框架默认的用户名密码登录,添加 记住我 选项。如前面文章所述,一个系统的登录方式不止一种,本文即介绍一下如何基于 Spring Security 框架默认的用户名密码登录,添加 记住我 选项后,与CA登录方式共存。 废话不多说,直接看配置。 首先,改造一下登录页,在此前的基础上,新增CA登录方式。 &l...
Spring Security 中实现 Remember Me 记住密码功能
热门推荐
啦啦啦啦 la
11-15 1万+
Spring Boot 集成 Spring Security的简单应用,从数据库读取数据校验用户,页面使用Thymeleaf模板 创建 Spring Boot 应用添加依赖 compile('org.springframework.boot:spring-boot-starter-security') compile('org.springframework.boot:spring-b
SpringSecurity学习(四)密码加密、RememberMe记住
Huathy的博客
03-11 2028
密码泄露,多个网站用同一密码。salt加盐。RememberMe记住我。是一种服务端的行为,而不是将用户密码保存在cookie中。传统登录方式是基于Session的,这样一旦用户关闭浏览器重开,就需要再次登录,太过麻烦。实现思路是通过cookie来记住当前用户身份。当用户登录成功后,通过算法,将用户信息、时间戳加密后通过响应头带回前端存到cookie。当重开浏览器后,会自动将cookie信息发送给服务器进行校验分析。从而确定用户身份。具有时效性,一般的为一周左右。
Springboot +spring security,实现RememberMe和实现原理分析
weixin_40991408的博客
05-24 880
Springboot +spring security,实现RememberMe和实现原理分析
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
m0_65320833的博客
12-23 527
http.authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .rememberMe() .and() .csrf().disable(); } 大家看到,这里只需要添加一个 .rememberMe() 即可,自动登录功能就成功添加进来了。 接下来我们随意添加一个测试接口: @RestController public class HelloController { @GetM
Spring Security 6.x 系列(10)—— SecurityConfigurer 配置器及其分支实现源码分析(二)
gmHappy
12-08 1万+
`SecurityConfigurerAdapter`它是`SecurityConfigurer`的基类,它允许子类仅实现它们感兴趣的方法。它还提供了使用 `SecurityConfigurer`以及完成后获取正在配置的`SecurityBuilder`(构造器)的访问权限的机制。 `SecurityConfigurerAdapter` 的实现主要有三大类: - `UserDetailsAwareConfigurer` - `AbstractHttpConfigurer`
Spring security实现记住我下次自动登录功能过程详解
08-24
主要介绍了Spring security实现记住我下次自动登录功能过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
security记住我功能
11-02
security记住我功能
token值 记住密码_史上最简单的Spring Security教程(三十七):RememberMe记住我原理剖析...
weixin_39883260的博客
11-29 735
用户登录中常用的RememberMe-记住我功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对 Spring Security 框架提供的 RememberMe-记住我 实现逻辑进行详细讲解,剖析其实现过程。用户登录首先,在用户登录时,如果用户勾选了 记住...
SpringSecurity(五):RememberMe以及源码分析
MJ丶的博客
10-30 1932
1.原理:参考博文:http://blog.csdn.net/fangchao2061/article/details/51179393 2.Security的实现 添加remember功能之前,先启动项目进行测试。 授权登录后,访问localhost:8080/user1可以得到用户信息,关闭浏览器,再次访问localhost:8080/user1会跳到鉴权页面。 修改项目,添加reme
Spring Security 3.0 记住密码功能
程序员最佳实践
01-13 374
1,在数据库中新增记录表 -- ---------------------------- -- Table structure for `persistent_logins` -- ---------------------------- DROP TABLE IF EXISTS `persistent_logins`; CREATE TABLE `persistent_logi...
SpringSecurity记住登录实现过程———【RememberMeServices】分析过程
SunRains
12-09 1522
在上一篇文章《SpringSecurity的认证流程分析(各个组件之间的关联)》介绍认证的基本流程时,其中的AbstractAuthenticationProcessingFilter有这样一个属性——RememberMeService引起我的注意,虽然从字面上很容易理解这个属性是和记住登录有关。但是其中的实现过程又是如何不深入还真不清楚,所以秉着学习的态度专门了解一下Security中对这个功能的实现。 在了解之前,先要清楚为什么会需要这个类来实现?当我们在很多网站上注册...
基础-进阶-升级~图解SpringSecurity的RememberMe流程|源码
技术专家
06-23 460
基础-进阶-升级~图解SpringSecurity的RememberMe流程|源码
Spring Security 中的 RememberMe 登录,so easy!
m0_71777195的博客
11-26 1112
RememberMe 这个功能非常常见,图 6-1 所示就是 QQ 邮箱登录时的“记住我”选项。提到 RememberMe,一些初学者往往会有一些误解,认为 RememberMe 功能就是把用户名/密码用 Cookie 保存在浏览器中,下次登录时不用再次输入用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户关闭浏览器重新打开,就要再次登录,这样太过于烦琐。
spring security 实现登录验证码及记住
吴振照
06-23 873
spring security 验证码登录:   在现在主流的网站登录页上,我们经常可以看到登陆的时候是通过账号密码登录,那么时常会看到需要我们输入一个图片验证码里面的值。或者通过手机验证码进行短信登陆,进行获取验证码进行登录。而这两种登陆方式都用到了验证码,前者是图片验证码,后者是短信验证码。在spring security 中使用验证码来验证登录,其核心还是拦截器链,当请求获取验证码...
Spring Security实现自动登录:rememberMe功能详解
"Spring Security的rememberMe功能用于实现在用户关闭浏览器后仍能自动登录的机制。它通过在用户的浏览器中存储cookie来实现这一目的。Spring Security提供了两种令牌处理方式:散列加密方案和持久化令牌方案。" 在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值