spring security rememberMe 提升安全性 讲解 !

已于 2022-09-03 17:23:30 修改
阅读量1.2k 收藏
点赞数
文章标签: spring java
于 2022-09-03 17:23:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52834606/article/details/126679818
版权

目录

一、介绍

二、原理分析

三、源码详情

3.1.processAutoLoginCookie 解码认证方法

3.2 onLoginSuccess 生成cookie 方法

四、基于内存的令牌实现

五、持久化令牌

5.1.结构分析

5.2 PersistentTokenRepository

5.3 JdbcTokenRepositoryImpl 源码

5.4 使用步骤

1.引入依赖

2.配置数据源

3.配置持久化令牌

一、介绍

        默认使用的remebermeService 的实现类 TokenBasedRememberMeServices 的 他做的比较简单,对用户名 、过期时间+生成令牌 进行Base64的加密,在放入cookie,还又就是解码比较认证,没有什么安全措施,如果cookie被外部拦截到,那么就会肆无忌惮的进行攻击服务器,是比较不安全的。spring Security 也给我们提供了比较安全的实现方式,使用 PersistentTokenBasedRememberMeServices 进行remeberme的功能实现。

PersistentTokenBasedRememberMeServices 提升安全性的点:

  1. cookie 里只存放了两个数据 一个 series和 token ,没有存放用户名等信息,将主要信息存放到了服务器中。
  2. 认证成功后返回cookie 值 是 series 和 token ,两个值是通过Base64 编码后的。
  3. 在jsession过期后,认证成功后,每次都会生成新的 token 和 date ,并且更新到前端,从而提升安全性。

二、原理分析

  1. 不同 TokenBasedRemornberMeServices 中的 processAutologinCookie 方法,这里cookieTokens 数组的长度为2,第一项是servies,第二项是token 。
  2. 从cookieTokens 数组中分别提取出series 和 token ,然后根据 series 去内存中查询出一个 PersistentRememberMeToken 对象。如果查询出来的对象为null,表示内存中并没有series 对应的值,本次自动登录失败。如果查询出来的token和从 cookieTokens 中解析出来的 token不相同,说明自动登录令牌已经泄露(恶意用户利用令牌登录后,内存中的token变了),此时移除当前用户的所有自动登录记录并抛出异常。
  3. 根据数据库中查询出来的结果判断令牌是否过期,如果过期就抛出异常。
  4. 生成一个新的PersistentRememberMeToken 对象,用户名和 series 不变,token 重新生成,date 也是使用当前时间。newToken生成后,根据series 去修改内存中的token 和 date (即每次自动登录后都会产生新的 token 和 date)
  5. 调用 addCookie 方法添加 Cookie,在addCookie 方法中,会调用到我们前面所说的setCookie方法,但是要注意第一个数组参数中只有两项:series和 token (即返回到前端的令牌是通过对series 和 token 进行 Base64 编码得到的)
  6. 最后将根据用户名查询用户对象并返回。

三、源码详情

3.1.processAutoLoginCookie 解码认证方法

protected UserDetails processAutoLoginCookie(String[] cookieTokens,
			HttpServletRequest request, HttpServletResponse response) {

		// 判断当前的cookie的 长度 里面应该是series 和 token 
		if (cookieTokens.length != 2) {
			throw new InvalidCookieException("Cookie token did not contain " + 2
					+ " tokens, but contained '" + Arrays.asList(cookieTokens) + "'");
		}

		// 获取 series 和 token 

		final String presentedSeries = cookieTokens[0];
		final String presentedToken = cookieTokens[1];

		//根据series 获取认证对象
	/**

		这种方式是将生成敏感信息都写入到内存当中。
		如果只是到这里的话那么只需要不破坏cookie,最终还是会认证成功。
		在这方式他会在认证成功后重新生成一个令牌并去更新之前的令牌
	*/
		PersistentRememberMeToken token = tokenRepository
				.getTokenForSeries(presentedSeries);
		// 如果认证对象为空 则表示没有没有查询到认证信息
		if (token == null) {
			// No series match, so we can't authenticate using this cookie
			throw new RememberMeAuthenticationException(
					"No persistent token found for series id: " + presentedSeries);
		}

		// 拿着传过来的 series 和 解码后的series去比较
		// We have a match for this user/series combination
		if (!presentedToken.equals(token.getTokenValue())) {
			// Token doesn't match series value. Delete all logins for this user and throw			
			// 表示不正确,进行移除和抛出异常
			// an exception to warn them.
			tokenRepository.removeUserTokens(token.getUsername());

			throw new CookieTheftException(
					messages.getMessage(
							"PersistentTokenBasedRememberMeServices.cookieStolen",
							"Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));
		}

		// 判断是否过期
		if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System
				.currentTimeMillis()) {
			throw new RememberMeAuthenticationException("Remember-me login has expired");
		}

		// Token also matches, so login is valid. Update the token value, keeping the
		// *same* series number.
		if (logger.isDebugEnabled()) {
			logger.debug("Refreshing persistent login token for user '"
					+ token.getUsername() + "', series '" + token.getSeries() + "'");
		}

		// 生成新的 token 
		PersistentRememberMeToken newToken = new PersistentRememberMeToken(
				token.getUsername(), token.getSeries(), generateTokenData(), new Date());

		try {
			// 进行series 的更新 
			tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),
					newToken.getDate());
			addCookie(newToken, request, response);
		}
		catch (Exception e) {
			logger.error("Failed to update token: ", e);
			throw new RememberMeAuthenticationException(
					"Autologin failed due to data access problem");
		}

		return getUserDetailsService().loadUserByUsername(token.getUsername());
	}

对以上代码的剖析

  1. PersistentRememberMeToken 对象
    1. 他就是一个实体对象,存放这认证的信息 和时间信息
    2. public class PersistentRememberMeToken {
	private final String username;
	private final String series;
	private final String tokenValue;
	private final Date date;

	public PersistentRememberMeToken(String username, String series, String tokenValue,
			Date date) {
		this.username = username;
		this.series = series;
		this.tokenValue = tokenValue;
		this.date = date;
	}

	public String getUsername() {
		return username;
	}

	public String getSeries() {
		return series;
	}

	public String getTokenValue() {
		return tokenValue;
	}

	public Date getDate() {
		return date;
	}
}

  2. getTokenForSeries 根据series获取认证对象
    1. 默认调用的 InMemoryTokenRepositoryImpl 基于内存
    2. 其实基于内存的就是将数据放到一个Map中,根据 series 从map中取PersistentRememberMeToken 对象
    3. 	private final Map<String, PersistentRememberMeToken> seriesTokens = new HashMap<>();

	public synchronized PersistentRememberMeToken getTokenForSeries(String seriesId) {
		return seriesTokens.get(seriesId);
	}

    4. removeUserTokens 比较不通过是移除token
      1. 就是从map中移除
      2. public synchronized void removeUserTokens(String username) {
		Iterator<String> series = seriesTokens.keySet().iterator();

		while (series.hasNext()) {
			String seriesId = series.next();

			PersistentRememberMeToken token = seriesTokens.get(seriesId);

			if (username.equals(token.getUsername())) {
				series.remove();
			}
		}
	}

  3. 生成 token 和 series 的方法

    1. 通过 random 对 byte 数组处理,在通过Base64 编码。
    2. 	protected String generateSeriesData() {
		// 16位
		byte[] newSeries = new byte[seriesLength];
		random.nextBytes(newSeries);
		return new String(Base64.getEncoder().encode(newSeries));
	}

	protected String generateTokenData() {
		// 16 位
		byte[] newToken = new byte[tokenLength];
		random.nextBytes(newToken);
		return new String(Base64.getEncoder().encode(newToken));
	}

  4. 生成 token 和 series 的方法
    1. 通过 random 对 byte 数组处理,在通过Base64 编码。
    2. 	protected String generateSeriesData() {
		// 16位
		byte[] newSeries = new byte[seriesLength];
		random.nextBytes(newSeries);
		return new String(Base64.getEncoder().encode(newSeries));
	}

	protected String generateTokenData() {
		// 16 位
		byte[] newToken = new byte[tokenLength];
		random.nextBytes(newToken);
		return new String(Base64.getEncoder().encode(newToken));
	}

  5. updateToken 更新内存中的 认证信息
    1. 根据series进行map中替换
    2. 	public synchronized void updateToken(String series, String tokenValue, Date lastUsed) {
		PersistentRememberMeToken token = getTokenForSeries(series);

		PersistentRememberMeToken newToken = new PersistentRememberMeToken(
				token.getUsername(), series, tokenValue, new Date());

		// Store it, overwriting the existing one.
		seriesTokens.put(series, newToken);
	}

  6. addCookie 添加到cookie里 
    1. // 添加cookie 
private void addCookie(PersistentRememberMeToken token, HttpServletRequest request,
			HttpServletResponse response) {
	// 调用方法进行设置	
	setCookie(new String[] { token.getSeries(), token.getTokenValue() },
				getTokenValiditySeconds(), request, response);
}

/**
	 * Sets the cookie on the response.
	 *
	 * By default a secure cookie will be used if the connection is secure. You can set
	 * the {@code useSecureCookie} property to {@code false} to override this. If you set
	 * it to {@code true}, the cookie will always be flagged as secure. By default the cookie
	 * will be marked as HttpOnly.
	 *
	 * @param tokens the tokens which will be encoded to make the cookie value.
	 * @param maxAge the value passed to {@link Cookie#setMaxAge(int)}
	 * @param request the request
	 * @param response the response to add the cookie to.
	 */
	protected void setCookie(String[] tokens, int maxAge, HttpServletRequest request,
			HttpServletResponse response) {
		// 将值进行编码
		String cookieValue = encodeCookie(tokens);
		
		Cookie cookie = new Cookie(cookieName, cookieValue);
		// 设置存活时间 默认是 2周
		cookie.setMaxAge(maxAge);
		// 设置cookie路径
		cookie.setPath(getCookiePath(request));
		// 区域
		if (cookieDomain != null) {
			cookie.setDomain(cookieDomain);
		}
		// 判断存活时间
		if (maxAge < 1) {
			cookie.setVersion(1);
		}

		if (useSecureCookie == null) {
			cookie.setSecure(request.isSecure());
		}
		else {
			cookie.setSecure(useSecureCookie);
		}

		cookie.setHttpOnly(true);

		response.addCookie(cookie);
	}

3.2 onLoginSuccess 生成cookie 方法

	protected void onLoginSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication successfulAuthentication) {
		String username = successfulAuthentication.getName();

		logger.debug("Creating new persistent login for user " + username);
		// 调用本类的 生成 series 和 token 的方法 直接创建对象 
		PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
				username, generateSeriesData(), generateTokenData(), new Date());
		try {
			// 调用创建方法根据 series 放入map 中 
			tokenRepository.createNewToken(persistentToken); 
			// 添加cookie 写回操作 
			addCookie(persistentToken, request, response);
		}
		catch (Exception e) {
			logger.error("Failed to save persistent token ", e);
		}
	}

底层代码解析

  1. createNewToken 放入到map中
  2. 	private final Map<String, PersistentRememberMeToken> seriesTokens = new HashMap<>();

	public synchronized void createNewToken(PersistentRememberMeToken token) {
		PersistentRememberMeToken current = seriesTokens.get(token.getSeries());

		if (current != null) {
			throw new DataIntegrityViolationException("Series Id '" + token.getSeries()
					+ "' already exists!");
		}

		seriesTokens.put(token.getSeries(), token);
	}

    以上就是PersistentTokenBasedRememberMeServices 的核心源码的分析和讲解 。

四、基于内存的令牌实现

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
  /**
     * 配置安全策略
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/index").permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .rememberMe() // 开启rememberMe 功能
                .rememberMeServices(rememberMeServices()) // 更换记住我的方式的Service 层
//                .alwaysRemember(true) // 总是记住我
                .key(UUID.randomUUID().toString()) // 自定义 key 值
                .and()
                .formLogin()
                .and()
                .csrf()
                .disable();

    }
    /**
     * 创建基于安全性高的
     */
    @Bean
    public RememberMeServices rememberMeServices (){
        // 三个参数:1.key  2. 数据库方式 3.认证信息的存储方式
        return new PersistentTokenBasedRememberMeServices(UUID.randomUUID().toString(),userDetailsService(),new InMemoryTokenRepositoryImpl());
    }

五、持久化令牌

        默认的 PersistentTokenBasedRememberMeServices 是基于内存的,服务器已宕机数据就会丢失,安全性和容错率不太好,需要将他更换为基于数据库的实现。

5.1.结构分析

        af7a9f343c6e5fa583db1cb93bd3d733.png

        默认是基于内存,但是我们可以通过自定义 PersistentTokenBasedRememberMeServices 通过他的构造方法来替换成基于数据库的

5.2 PersistentTokenRepository

        PersistentTokenRepository 是一个接口,它的作用就是存取 生成的 认证信息的。

public interface PersistentTokenRepository {
	// 添加 认证信息
	void createNewToken(PersistentRememberMeToken token);
	// 修改认证信息
	void updateToken(String series, String tokenValue, Date lastUsed);
	// 获取认证信息
	PersistentRememberMeToken getTokenForSeries(String seriesId);
	// 移除认证信息
	void removeUserTokens(String username);

}

他的实现有基于内存和 数据库的两个实现类

5.3 JdbcTokenRepositoryImpl 源码

        这个类已经将类的结构的sql写好,直接拿来用就可以 。默认是通过 JDBCTemplate进行实现的,所以需要引入对应的 jdbc 相关依赖。

/**
 * JDBC based persistent login token repository implementation.
 *
 * @author Luke Taylor
 * @since 2.0
 */
public class JdbcTokenRepositoryImpl extends JdbcDaoSupport implements
		PersistentTokenRepository {
	// ~ Static fields/initializers
	// =====================================================================================

	/** Default SQL for creating the database table to store the tokens */
	public static final String CREATE_TABLE_SQL = "create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, "
			+ "token varchar(64) not null, last_used timestamp not null)";
	/** The default SQL used by the <tt>getTokenBySeries</tt> query */
	public static final String DEF_TOKEN_BY_SERIES_SQL = "select username,series,token,last_used from persistent_logins where series = ?";
	/** The default SQL used by <tt>createNewToken</tt> */
	public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";
	/** The default SQL used by <tt>updateToken</tt> */
	public static final String DEF_UPDATE_TOKEN_SQL = "update persistent_logins set token = ?, last_used = ? where series = ?";
	/** The default SQL used by <tt>removeUserTokens</tt> */
	public static final String DEF_REMOVE_USER_TOKENS_SQL = "delete from persistent_logins where username = ?";

	// ~ Instance fields
	// ================================================================================================

	private String tokensBySeriesSql = DEF_TOKEN_BY_SERIES_SQL;
	private String insertTokenSql = DEF_INSERT_TOKEN_SQL;
	private String updateTokenSql = DEF_UPDATE_TOKEN_SQL;
	private String removeUserTokensSql = DEF_REMOVE_USER_TOKENS_SQL;
	private boolean createTableOnStartup;

	protected void initDao() {
		if (createTableOnStartup) {
			getJdbcTemplate().execute(CREATE_TABLE_SQL);
		}
	}

	public void createNewToken(PersistentRememberMeToken token) {
		getJdbcTemplate().update(insertTokenSql, token.getUsername(), token.getSeries(),
				token.getTokenValue(), token.getDate());
	}

	public void updateToken(String series, String tokenValue, Date lastUsed) {
		getJdbcTemplate().update(updateTokenSql, tokenValue, lastUsed, series);
	}

	/**
	 * Loads the token data for the supplied series identifier.
	 *
	 * If an error occurs, it will be reported and null will be returned (since the result
	 * should just be a failed persistent login).
	 *
	 * @param seriesId
	 * @return the token matching the series, or null if no match found or an exception
	 * occurred.
	 */
	public PersistentRememberMeToken getTokenForSeries(String seriesId) {
		try {
			return getJdbcTemplate().queryForObject(tokensBySeriesSql,
					(rs, rowNum) -> new PersistentRememberMeToken(rs.getString(1), rs
							.getString(2), rs.getString(3), rs.getTimestamp(4)), seriesId);
		}
		catch (EmptyResultDataAccessException zeroResults) {
			if (logger.isDebugEnabled()) {
				logger.debug("Querying token for series '" + seriesId
						+ "' returned no results.", zeroResults);
			}
		}
		catch (IncorrectResultSizeDataAccessException moreThanOne) {
			logger.error("Querying token for series '" + seriesId
					+ "' returned more than one value. Series" + " should be unique");
		}
		catch (DataAccessException e) {
			logger.error("Failed to load token for series " + seriesId, e);
		}

		return null;
	}

	public void removeUserTokens(String username) {
		getJdbcTemplate().update(removeUserTokensSql, username);
	}

	/**
	 * Intended for convenience in debugging. Will create the persistent_tokens database
	 * table when the class is initialized during the initDao method.
	 *
	 * @param createTableOnStartup set to true to execute the
	 */
	public void setCreateTableOnStartup(boolean createTableOnStartup) {
		this.createTableOnStartup = createTableOnStartup;
	}
}

5.4 使用步骤

1.引入依赖

<dependency> 
	<groupId>com.alibaba</groupId> 
	<artifactId>druid</artifactId> 
	<version>1.2.8</version>
</dependency> 

<dependency> 
	<groupId>mysql</groupId> 
	<artifactId>mysql-connector-java</artifactId> 
	<version>5.1.38</version>
</dependency> 

<dependency>
	<groupId>org.mybatis.spring.boot</groupId>
	<artifactId>mybatis-spring-boot-starter</artifactId>
	<version>2.2.0</version>
</dependency>

2.配置数据源

spring.thymeleaf.cache=false
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/security?
characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=root
mybatis.mapper-locations=classpath:mapper/*.xml
mybatis.type-aliases-package=com.entity

3.配置持久化令牌

@Configuration(proxyBeanMethods = false)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 数据源
     */
    private final DataSource dataSource;

    public WebSecurityConfig(DataSource dataSource) {
        this.dataSource = dataSource;
    }

    /**
     * 定义数据库访问层
     * @return
     */
    @Override
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("zs").password("{noop}123").roles("admin").build());
        return inMemoryUserDetailsManager ;
    }


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService());
    }

    /**
     * 配置安全策略
     * 启动项⽬并查看数据库
     * 注意::启动项⽬会⾃动创建⼀个表,,⽤来保存记住我的 token token 信息
     * 再次测试记住我
     * 在测试发现即使服务器重新启动,依然可以⾃动登录。
     * ⾃定义记住我
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/index").permitAll()
                .mvcMatchers("/test").rememberMe() // 设置指定路径支持记住我
                .anyRequest()
                .authenticated()
                .and()
                .rememberMe() // 开启rememberMe 功能
//                .rememberMeServices(rememberMeServices()) // 更换记住我的方式的Service 层
                .tokenRepository(persistentTokenRepository()) // 修改底层数据源默认就会修改 remeberMeService
//                .alwaysRemember(true) // 总是记住我
                .key(UUID.randomUUID().toString()) // 自定义 key 值
                .and()
                .formLogin()
                .and()
                .csrf()
                .disable();

    }
    /**
     * 创建基于安全性高的 基于内存
     */
    @Bean
    public RememberMeServices rememberMeServices (){
        // 三个参数:1.key  2. 数据库方式 3.认证信息的存储方式
        return new PersistentTokenBasedRememberMeServices(UUID.randomUUID().toString(),userDetailsService(),new InMemoryTokenRepositoryImpl());
    }

    /**
     * 基于持久化方式
     */

    @Bean
    public PersistentTokenRepository persistentTokenRepository (){
         JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
         jdbcTokenRepository.setDataSource(dataSource);
         jdbcTokenRepository.setCreateTableOnStartup(true); // 是否启动时创建表结构,建议关闭,因为每次都会重新创建
        return jdbcTokenRepository;
    }

以上就是 全部内容!!

千城丶Y
关注
SpringSecurity详细介绍RememberMe功能
m0_66789766的博客
04-20 185
Title 登录管理 security:csrfInput/ 账号: 密码: 记住我 先测试一下,认证通过后,关掉浏览器,再次打开页面,发现还要认证!为什么没有起作用呢? 这是因为remember me功能使用的过滤器RememberMeAuthenticationFilter默认是不开启的! [](()2.开启rememberMe 说明:RememberMeAuthenticationFilter中功能非常简单,会在打开浏览器时,自动判断是否认证,如果没有则 调用autoLogin..
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3635
spring security 记住我 rememberMe
spring security中Remembers me 记住我基本原理
最新发布
冬阳
08-30 1114
spring security 开启记住我,记住我的原理实现,源码分析,实战部分,以及如何开始持久化cookie功能,即使服务器重启后,还是可以免登陆
Spring Security 之 Remember-Me (记住我)
dieqiuxie4160的博客
07-08 588
效果:在用户的session(会话)过期或者浏览器关闭后,应用程序仍能记住它。用户可选择是否被记住。(在登录界面选择) “记住”是什么意思? 就是下次你再访问的时候,直接进入系统,而不需要输入用户名密码。 实现原理:使用一个remember-me cookie存储在浏览器内,用户通过该浏览器再次访问网站的时候,网站识别出remember-me cookie,...
SpringSecurity - RememberMe
TrustNature
11-09 240
SpringSecurity 记住我原理: 一、创建token 进入UsernamePasswordAuthticationFilter进行用户信息验证,验证成功之后它会调用一个AbstractAuthenticationProcessingFilter的过滤器进入一个successfulAuthentication方法中将用户的信息存入session中,然后调用RememberServic...
springSecurity-记住我(Remember me)
weixin_54097396的博客
04-18 1029
Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
SpringSecurity安全性框架详解
weixin_48530729的博客
04-30 3947
SpringSecurity简介 Spring Security是一个高度自定义的安全框架。利用 Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。使用 Spring Se
SpringSecurity深度解析与实践(3)
12-23
5. **状态管理**:Spring Security提供了Remember Me服务,允许用户在一段时间内保持登录状态。我们将讨论如何启用这个功能,以及安全考虑。 6. **CSRF保护**:为了防止CSRF攻击,Spring Security提供了内置的防护...
SpringSecurity之基本原理图示讲解
qq_45596525的博客
11-14 1299
文章目录前言一、SpringSecurity的功能二、基础构建模块与运行流程1. 图示与简介2.SpringSecurity框架下,HTTP如何访问web页面?总结 前言 不同于spring的其它框架 , SpringSecurity是一款重量级的 , 功能强大web安全框架,需要依赖的内容很多 ,极大地提高了Web开发中安全模块的开发效率 提示:以下是本篇文章正文内容,下面案例可供参考 一、SpringSecurity的功能 举几个例子吧,这在下面大部分都会用到 提供了除表单登录验证的身份验证以
Spring Security 核心配置详解
AI天才研究院
08-06 990
Spring Security是一个用于认证、授权、加密和保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限。
Spring Security Remember me使用及原理详解
08-25
主要介绍了Spring Security Remember me使用及原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity---Remember Me
gaoqiandr的博客
09-19 434
本文主要介绍的是Security中的Remember Me
Spring Security中remember me
北辰
11-22 207
持久化remember me,需要在数据库中创建一张表,注意这张表的名称和字段都是固定的,不用修改 create table 'persistent_logins'( 'username' varchar(64) NOT NULL, 'series' varchar(64) NOT NULL, 'token' varchar(64) NOT NULL, 'last_used' timestamp NOT NULL, PRIMARY KEY('series') )E
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1415
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
SpringSecurity(八)【RememberMe记住我】
Vinjcent
11-17 1568
RememberMe 这个功能非常常见,无论是在 QQ、邮箱…都有这个选项。提到 RememberMe,往往会有一些误解,认为 RememberMe 功能就是把 用户名/密码 用 Cookie 保存在浏览器中,下次登陆时不用再次输入 用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户的会话超时过期,就要再次登录,这样太过于繁琐。如果有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多。Remembe
6.Spring security中的rememberMe
EdSheeran的博客
03-07 4617
文章目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`* RememberMe 6.2RememberMe基本用法 /** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时,多了一个请求参数remember-me: on,用
[转]《Spring Security3》第三章第三部分翻译下(Remember me安全吗?)
04-03 184
Remember me是否安全? 对我们精心保护的站点来说,为了用户体验而添加的任何与安全相关的功能,都有增加安全风险的潜在可能。按照其默认方式,Remember me功能存在用户的cookie被拦截并被恶意用户重用的风险。下图展现了这种情况是如何发生的: [img]http://dl.iteye.com/upload/attachment/511906/79c0864a-92c6-37...
Spring Security 3:Java安全入门与实战
Spring Security 3》...这本书不仅提供了理论知识,还提供了实用的实践指南,让读者能够将Spring Security有效地应用于自己的项目中,提升Web应用的安全性。无论是初学者还是经验丰富的开发人员,都能从中受益匪浅。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值