Spring Security 重置密码

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量2.1k 收藏 1
点赞数 1
分类专栏: Spring Security 文章标签: spring java html
原文链接:https://www.baeldung.com/registration-password-strength-and-rules
版权

1. 概述

在本教程中—看看基本的我忘记了我的密码功能—以便用户可以在需要时安全地重置自己的密码。

2. 请求重置密码

密码重置流程通常在用户单击登录页面上的某种“重置”按钮时启动。然后,我们可以要求用户提供他们的电子邮件地址或其他身份信息。确认后,我们可以生成令牌并向用户发送电子邮件。

下图可视化了我们将在本文中实现的流程:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QA17Nxri-1671538204430)(Spring Security 重置密码.assets/image-20221220155831484.png)]

3. 密码重置令牌

让我们从创建一个PasswordResetToken实体开始,用它来重置用户密码:

@Entity
public class PasswordResetToken {
 
    private static final int EXPIRATION = 60 * 24;
 
    @Id
    @GeneratedValue(strategy = GenerationType.AUTO)
    private Long id;
 
    private String token;
 
    @OneToOne(targetEntity = User.class, fetch = FetchType.EAGER)
    @JoinColumn(nullable = false, name = "user_id")
    private User user;
 
    private Date expiryDate;
}

当触发密码重置时——将创建一个令牌,并将包含该令牌的特殊链接通过电子邮件发送给用户

令牌和链接仅在设定的时间段内有效(在此示例中为 24 小时)。

4. forgotPassword.html

该过程的第一页是**“*我忘记了我的密码*”页面**——系统会提示用户输入他们的电子邮件地址,以便开始实际的重置过程。

所以 - 让我们制作一个简单的forgotPassword.html要求用户提供电子邮件地址:

<html>
<body>
    <h1 th:text="#{message.resetPassword}">reset</h1>

    <label th:text="#{label.user.email}">email</label>
    <input id="email" name="email" type="email" value="" />
    <button type="submit" onclick="resetPass()" 
      th:text="#{message.resetPassword}">reset</button>

<a th:href="@{/registration.html}" th:text="#{label.form.loginSignUp}">
    registration
</a>
<a th:href="@{/login}" th:text="#{label.form.loginLink}">login</a>

<script src="jquery.min.js"></script>
<script th:inline="javascript">
var serverContext = [[@{/}]];
function resetPass(){
    var email = $("#email").val();
    $.post(serverContext + "user/resetPassword",{email: email} ,
      function(data){
          window.location.href = 
           serverContext + "login?message=" + data.message;
    })
    .fail(function(data) {
    	if(data.responseJSON.error.indexOf("MailError") > -1)
        {
            window.location.href = serverContext + "emailError.html";
        }
        else{
            window.location.href = 
              serverContext + "login?message=" + data.responseJSON.message;
        }
    });
}

</script>
</body>

</html>

我们现在需要从登录页面链接到这个新的“重置密码”页面:

<a th:href="@{/forgetPassword.html}" 
  th:text="#{message.resetPassword}">reset</a>

5. 创建 PasswordResetToken

让我们从创建新的PasswordResetToken开始,并通过电子邮件将其发送给用户:

@PostMapping("/user/resetPassword")
public GenericResponse resetPassword(HttpServletRequest request, 
  @RequestParam("email") String userEmail) {
    User user = userService.findUserByEmail(userEmail);
    if (user == null) {
        throw new UserNotFoundException();
    }
    String token = UUID.randomUUID().toString();
    userService.createPasswordResetTokenForUser(user, token);
    mailSender.send(constructResetTokenEmail(getAppUrl(request), 
      request.getLocale(), token, user));
    return new GenericResponse(
      messages.getMessage("message.resetPasswordEmail", null, 
      request.getLocale()));
}

这是*createPasswordResetTokenForUser()*方法:

public void createPasswordResetTokenForUser(User user, String token) {
    PasswordResetToken myToken = new PasswordResetToken(token, user);
    passwordTokenRepository.save(myToken);
}

这是方法constructResetTokenEmail() – 用于发送带有重置令牌的电子邮件:

private SimpleMailMessage constructResetTokenEmail(
  String contextPath, Locale locale, String token, User user) {
    String url = contextPath + "/user/changePassword?token=" + token;
    String message = messages.getMessage("message.resetPassword", 
      null, locale);
    return constructEmail("Reset Password", message + " \r\n" + url, user);
}

private SimpleMailMessage constructEmail(String subject, String body, 
  User user) {
    SimpleMailMessage email = new SimpleMailMessage();
    email.setSubject(subject);
    email.setText(body);
    email.setTo(user.getEmail());
    email.setFrom(env.getProperty("support.email"));
    return email;
}

请注意我们如何使用一个简单的对象GenericResponse来表示我们对客户端的响应:

public class GenericResponse {
    private String message;
    private String error;
 
    public GenericResponse(String message) {
        super();
        this.message = message;
    }
 
    public GenericResponse(String message, String error) {
        super();
        this.message = message;
        this.error = error;
    }
}

6. 检查 PasswordResetToken

一旦用户点击他们电子邮件中的链接,user/changePassword端点:

  • 验证令牌是否有效并且
  • 向用户显示updatePassword页面,他可以在其中输入新密码

然后将新密码和令牌传递给user/savePassword端点:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0l9ocCmv-1671538204431)(Spring Security 重置密码.assets/image-20221220155900124.png)]

用户收到带有用于重置密码的唯一链接的电子邮件,然后单击该链接:

@GetMapping("/user/changePassword")
public String showChangePasswordPage(Locale locale, Model model, 
  @RequestParam("token") String token) {
    String result = securityService.validatePasswordResetToken(token);
    if(result != null) {
        String message = messages.getMessage("auth.message." + result, null, locale);
        return "redirect:/login.html?lang=" 
            + locale.getLanguage() + "&message=" + message;
    } else {
        model.addAttribute("token", token);
        return "redirect:/updatePassword.html?lang=" + locale.getLanguage();
    }
}

这是*validatePasswordResetToken()*方法:

public String validatePasswordResetToken(String token) {
    final PasswordResetToken passToken = passwordTokenRepository.findByToken(token);

    return !isTokenFound(passToken) ? "invalidToken"
            : isTokenExpired(passToken) ? "expired"
            : null;
}

private boolean isTokenFound(PasswordResetToken passToken) {
    return passToken != null;
}

private boolean isTokenExpired(PasswordResetToken passToken) {
    final Calendar cal = Calendar.getInstance();
    return passToken.getExpiryDate().before(cal.getTime());
}

7. 修改密码

此时,用户会看到简单的密码重置页面——唯一可能的选择是提供新密码

7.1. updatePassword.html

<html>
<body>
<div sec:authorize="hasAuthority('CHANGE_PASSWORD_PRIVILEGE')">
    <h1 th:text="#{message.resetYourPassword}">reset</h1>
    <form>
        <label th:text="#{label.user.password}">password</label>
        <input id="password" name="newPassword" type="password" value="" />

        <label th:text="#{label.user.confirmPass}">confirm</label>
        <input id="matchPassword" type="password" value="" />

        <label th:text="#{token.message}">token</label>
        <input id="token" name="token" value="" />

        <div id="globalError" style="display:none" 
          th:text="#{PasswordMatches.user}">error</div>
        <button type="submit" onclick="savePass()" 
          th:text="#{message.updatePassword}">submit</button>
    </form>
               
<script th:inline="javascript">
var serverContext = [[@{/}]];
$(document).ready(function () {
    $('form').submit(function(event) {
        savePass(event);
    });
    
    $(":password").keyup(function(){
        if($("#password").val() != $("#matchPassword").val()){
            $("#globalError").show().html(/*[[#{PasswordMatches.user}]]*/);
        }else{
            $("#globalError").html("").hide();
        }
    });
});

function savePass(event){
    event.preventDefault();
    if($("#password").val() != $("#matchPassword").val()){
        $("#globalError").show().html(/*[[#{PasswordMatches.user}]]*/);
        return;
    }
    var formData= $('form').serialize();
    $.post(serverContext + "user/savePassword",formData ,function(data){
        window.location.href = serverContext + "login?message="+data.message;
    })
    .fail(function(data) {
        if(data.responseJSON.error.indexOf("InternalError") > -1){
            window.location.href = serverContext + "login?message=" + data.responseJSON.message;
        }
        else{
            var errors = $.parseJSON(data.responseJSON.message);
            $.each( errors, function( index,item ){
                $("#globalError").show().html(item.defaultMessage);
            });
            errors = $.parseJSON(data.responseJSON.error);
            $.each( errors, function( index,item ){
                $("#globalError").show().append(item.defaultMessage+"<br/>");
            });
        }
    });
}
</script>    
</div>
</body>
</html>

请注意,我们在以下调用中显示重置令牌并将其作为 POST 参数传递以保存密码。

7.2. 保存密码

最后,在提交之前的post请求时——保存新的用户密码:

@PostMapping("/user/savePassword")
public GenericResponse savePassword(final Locale locale, @Valid PasswordDto passwordDto) {

    String result = securityUserService.validatePasswordResetToken(passwordDto.getToken());

    if(result != null) {
        return new GenericResponse(messages.getMessage(
            "auth.message." + result, null, locale));
    }

    Optional user = userService.getUserByPasswordResetToken(passwordDto.getToken());
    if(user.isPresent()) {
        userService.changeUserPassword(user.get(), passwordDto.getNewPassword());
        return new GenericResponse(messages.getMessage(
            "message.resetPasswordSuc", null, locale));
    } else {
        return new GenericResponse(messages.getMessage(
            "auth.message.invalid", null, locale));
    }
}

这是*changeUserPassword()*方法:

public void changeUserPassword(User user, String password) {
    user.setPassword(passwordEncoder.encode(password));
    repository.save(user);
}

PasswordDto

public class PasswordDto {

    private String oldPassword;

    private  String token;

    @ValidPassword
    private String newPassword;
}

8. 结论

在本文中,我们为成熟的身份验证过程实现了一个简单但非常有用的功能——作为系统用户重置您自己的密码的选项。

本教程的完整实现可以在GitHub 项目中找到——这是一个基于 Eclipse 的项目,因此应该很容易导入和运行。

爱游泳的老白
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security系列】Spring Security密码加密
qq_28248897的博客
07-02 2637
密码安全是互联网安全的一个缩影,我们在享受互联网服务的同时,也应当对它投入更多的关注。 1.密码安全的重要性 2011年12月,国内某开发者社区网站被黑客“拖库”,600多万个密码明文存储的用户账号被公开, 大量用户直接面临数据隐私泄露和数据安全的双重威胁。 这次事件为我们敲响了警钟,一旦发生“拖库”,如何尽可能地减少用户的损失,在每一个系统中 都不应被忽略。从开发者的角度而言,可以落实在如何安全存储用户密码上。 ...
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
springsecurity默认用户名密码_学习学习SpringSecurity
weixin_39689347的博客
11-26 987
Spring Security 思维导图添加描述简介SpringSecuritySpring下的一个安全框架,与shiro 类似,一般用于用户认证(Authentication)和用户授权(Authorization)两个部分,常与与SpringBoot相整合。初阶 Spring Security添加maven依赖<dependency> <groupI...
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security(五)密码加密与更新密码
weixin_43189971的博客
07-18 2086
密码加密 方法1.securityconfig中加入代理方法passwordEncoder 方法2.数据库中加入前缀 密码的自动更新: 步骤1.前置需要代理方法 步骤2.实现service继承类UserDetailsPasswordService 步骤3.覆写更新密码的方法updatePassword...
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
爆破专栏丨Spring Security系列教程SpringSecurity中的密码加密_spring
Python毕设源码程序王哥
04-20 1108
截止到现在,
7.springsecurity密码加密问题
Javaer
06-07 843
springsecurity密码加密问题 密码加密我们一般会用到散列函数,又称散列算法、哈希函数,这是一种从任何数据中创建数字“指纹”的方法。 散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲突。在散列表和数据处理中,不抑制冲突来区别数据,会使得数据库记录更难找到。 我们常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algor
SpringSecurity的用户账号密码认证流程
Hunter_Kevin的博客
06-27 434
Controller层 Service层 1、AuthenticationManager.authenticate(authenticationToken) 2、ProviderManager.authenticate(authentication)
Spring Security - 06 修改默认的用户名和密码
qq_29761395的博客
02-05 2922
文章目录环境项目结构测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) 项目结构 参考:Spring Security - 05 原生的退出登录 从 Web > 4. Spring Security 文中可知,默认的用户名是 user
spring security 5.x实现兼容多种密码的加密方式
08-28
Spring Security 5.x 版本中,它提供了对多种密码加密方式的兼容性,以适应不同场景下的安全性需求。本文将深入探讨如何在 Spring Security 中实现这种兼容性,并通过实例进行演示。 首先,Spring Security 提供...
Spring Security实现多次登录失败后账户锁定功能
08-25
要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现 UserDetails 和 UserDetailsService 接口的方式告知 Spring ...
spring-security 官方文档 中文
10-12
Spring Security 最初是由 Luke Taylor 和 Ray Ryan 开发的名为 Acegi Security 的项目,在 2005 年被并入 Spring 项目,并重新命名为 Spring Security。自那时起,Spring Security 经历了多个版本的迭代,不断地...
Spring Security 教程(Spring Security Tutorial)1
08-04
通过这个教程,你将了解 Spring Security 的核心概念,并能实际操作来设置和实现各种安全机制。无论是新手还是经验丰富的开发者,都能从这个教程中获得宝贵的知识。记得保持更新,因为安全领域总是在不断演进,确保...
spring —— 事务管理器
firstgrass的博客
07-25 694
事务管理主要针对数据源进行操作:在数据库方面,通过 TransactionManager 事务管理器进行管理,表明一旦出现错误,该数据源的所有数据全部复原。那么数据库如何判断是否发生了错误呢?这就需要在代码方面,通过 @Transactional 注解管理相应的方法,表示一旦该方法出现错误,那么由该方法调用的数据就要执行回滚。
springboot+webSocket对接chatgpt
jiandanyou的博客
07-24 949
/ 如果websocket连接还没断开就关闭了窗口,后台server端会抛异常。// 所以增加监听窗口关闭事件,当窗口关闭时,主动去关闭websocket连接。// 判断当前浏览器是否支持WebSocket,是则创建WebSocket。// 关闭WebSocket连接。// 连接发生错误的回调方法。// 连接成功建立的回调方法。// 接收到消息的回调方法。// 连接关闭的回调方法。// 将消息显示在网页上。// 建立连接的方法。
基于SpringBoot实现验证码功能
m0_63624484的博客
07-24 1494
现在的登录都需要输入验证码用来检测是否是真人登录,所以验证码功能在现在是非常普遍的,那么接下来我们就基于springboot来实现验证码功能。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 497
1.导入hutool的maven依赖。2.复制一下代码执行。
配置springsecurity 账号密码异常
04-02
2. 数据库中的密码格式不正确:如果您手动将密码存储在数据库中,那么请确保密码的格式与Spring Security要求的格式一致。通常来说,Spring Security要求密码格式为“{加密方式}加密后的密码”。 3. 用户名或密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值