SpringSecurity学习笔记三

最新推荐文章于 2024-05-04 00:59:47 发布
最新推荐文章于 2024-05-04 00:59:47 发布
阅读量577 收藏 3
点赞数
分类专栏: SpringSecurity 文章标签: SpringSecurity Remember-Me 记住我 Remember
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyxwvuuvwxyz/article/details/102751404
版权

基于用户名、密码的"记住我"功能

SpringBoot 2.2.0.RELEASE

   <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.2</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
    </dependencies>

记住我功能流程图
"记住我"功能的流程是:

  • 输入验证信息,如用户名、密码、验证码等
  • 选中 “记住我”,系统后台根据登陆成功的用户信息 生成token信息 放到cookie和数据库表中
  • 【系统重新启动或退出系统重新访问】,在cookie的过期时间内 重新登录时 都不需要输入用户名、密码,可以直接访问请求资源。

首先,需要明确的是"记住我"是SpringSecurity默认带的,过滤器和认证类分别是RememberMeAuthenticationFilterRememberMeAuthenticationProvider我们只需要配置即可

需要注意的是,使用记住我功能,前端页面必须要有一个name=remember-me的checkbox,
因为SpringSecurity中与"记住我"有关的功能,将remember-me作为参数名来进行业务处理,如AbstractRememberMeServices#rememberMeRequested()

<input name="remember-me" type="checkbox" value="true"/>记住我</td>

讲到"记住我"功能,还要从之前的`UserNamePasswordAuthenticationFilter`说起,当执行了`attemptAuthentication`之后,会执行``successfulAuthentication(request, response, chain, authResult);``

有代码为证 AbstractAuthenticationProcessFilter 
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		if (!requiresAuthentication(request, response)) {
			chain.doFilter(request, response);

			return;
		}

		if (logger.isDebugEnabled()) {
			logger.debug("Request is to process authentication");
		}

		Authentication authResult;

		//调用UserNamePasswordAuthenticationFilter方法
			authResult = attemptAuthentication(request, response);
		
		//此处省略一些代码
		
		successfulAuthentication(request, response, chain, authResult);
	}

着重看一下successfulAuthentication方法

protected void successfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, Authentication authResult)
			throws IOException, ServletException {

		if (logger.isDebugEnabled()) {
			logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
					+ authResult);
		}
		//将验证过后的信息 存到SecurityContextHolder中
	SecurityContextHolder.getContext().setAuthentication(authResult);

		rememberMeServices.loginSuccess(request, response, authResult);

		// Fire event
		if (this.eventPublisher != null) {
			eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
					authResult, this.getClass()));
		}
		//调用成功处理器
		successHandler.onAuthenticationSuccess(request, response, authResult);
	}

会发现,该方法除了将认证信息放到SecurityContext以外,还调用了rememberMeServices.loginSuccess方法

其中rememberMeServices.loginSuccess的调用过程如下:
AbstractRememberMeServices#loginSuccess==>PersistentTokenBasedRememberMeServices#onLoginSuccess

AbstractRememberMeServices

public final void loginSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication successfulAuthentication) {
		//这里就是上面说的检验request中是否含有remember-me参数,
		//如果有 才往下执行
		if (!rememberMeRequested(request, parameter)) {
			logger.debug("Remember-me login not requested.");
			return;
		}

		onLoginSuccess(request, response, successfulAuthentication);
	}

可以从上面看到 parameter的默认是指remember-me。如果没有选中‘记住我’复选框 则终止执行。

PersistentTokenBasedRememberMeServices

protected void onLoginSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication successfulAuthentication) {
		String username = successfulAuthentication.getName();

		logger.debug("Creating new persistent login for user " + username);

		PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
				username, generateSeriesData(), generateTokenData(), new Date());
		try {
			tokenRepository.createNewToken(persistentToken);
			addCookie(persistentToken, request, response);
		}
		catch (Exception e) {
			logger.error("Failed to save persistent token ", e);
		}
	}

这个方法的主要含义:
从登陆成功的信息中拿到用户名,随后生成一条插入语句 将token等信息插入到persistent_logins这个表中。并将token信息添加到cookie中。

persistent_logins这个是SpringSecurity默认提供出来针对“记住我”功能来记录token和cookie的数据表

tokenRepository这个在该类中的默认实现是new InMemoryTokenRepositoryImpl(),我们可以在Security配置中指定我们的tokenRepository。


PersistentTokenRepository有两种实现,分别是InMemoryTokenRepositoryImpl和JdbcTokenRepositoryImpl。两者的区别不言而喻,一个是将token信息放到内存中,一个是将其持久化到数据库



说了这么多,我们来配置下

protected void configure(HttpSecurity http) throws Exception {

//        ValidateCodeFilter validateCodeFilter=new ValidateCodeFilter(failureHandler);

        //表单登录 任何请求均进行认证
       http.formLogin()
       //默认登录请求是/login,这里重置为/authentication/form 并不影响流程
                .loginProcessingUrl("/authentication/form")
                .successHandler(successHandler)
                .failureHandler(failureHandler)
                .and()
                .rememberMe()
                .userDetailsService(userDetailsService)
                .tokenRepository(persistentTokenRepository()).
                and()
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .csrf()
                .disable();
    }
		
@Autowired
    private DataSource dataSource;

    //这个Bean 就是上文我们说的替代默认tokenRepository的配置
	@Bean
    @ConditionalOnMissingBean(PersistentTokenRepository.class)
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
      //这句话 只有在第一次启动时 才放开注释 因为会创建表,再次运行时 注释,因为存在的表不能被再次创建
       // jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }

关于数据源的配置

spring.datasource.url=jdbc:mysql://localhost:3306/study
spring.datasource.username=root
spring.datasource.password=root
spring.datasource.driver-class-name=com.mysql.jdbc.Driver

系统运行起来后:

在这里插入图片描述
点击登录,认证成功处理器关于自定义认证处理器,请参考这篇文章会将用户信息打印到页面
在这里插入图片描述

前面我们分析过,由于选中了"remember-me",用户名、密码登录成功后,会把用户的token存到表里 并且写入到cookie里一份。
我们去persistent_logins表中看下,发现token计入了表中
在这里插入图片描述
重启系统,发现不需要登录,直接可以请求接口,这说明了我们成功了。



源码分析
退出系统,重新再次访问系统资源时,会先进入到RememberMeAutnenticationFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
	
  //系统重新启动或用户退出过,所以SecurityContextHolder中没有用户的认证信息
		if (SecurityContextHolder.getContext().getAuthentication() == null) {
			Authentication rememberMeAuth = rememberMeServices.autoLogin(request,
					response);

			if (rememberMeAuth != null) {
			
				try {
          //根据自动登录获取到的用户信息 进行认证 这里认证就很简单了 判断hashcode是否一致
					rememberMeAuth = authenticationManager.authenticate(rememberMeAuth);

					
//将用户认证信息重新放到SecurityContextHolder中			
//SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);
					onSuccessfulAuthentication(request, response, rememberMeAuth);
     ...

			chain.doFilter(request, response);
		}
	}

rememberServices#autoLogin方法如下

public final Authentication autoLogin(HttpServletRequest request,
			HttpServletResponse response) {
  //从request中获取cookie
		String rememberMeCookie = extractRememberMeCookie(request);
 ...
			user = processAutoLoginCookie(cookieTokens, request, response);
...
  //封装用户认证信息 这里省略了
	}

processAutoLoginCookie方法
PersistentTokenBasedRememberMeServices

 UserDetails processAutoLoginCookie(String[] cookieTokens,
			HttpServletRequest request, HttpServletResponse response) {
	//存到数据库中的信息如下
//	前文中提到的`persistent_logins`表中series、token 分别代表下面的两个参数
		final String presentedSeries = cookieTokens[0];
		final String presentedToken = cookieTokens[1];
		
  //从表中取出token数据
		PersistentRememberMeToken token = tokenRepository
				.getTokenForSeries(presentedSeries);
...
		PersistentRememberMeToken newToken = new PersistentRememberMeToken(
				token.getUsername(), token.getSeries(), generateTokenData(), new Date());

		try {
      //更新表中的token
			tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),
					newToken.getDate());
      //重新将新token 添加到cookie中
			addCookie(newToken, request, response);
		}
	...
    //获取user信息,从这里可以看出UserDetailsService或自定义UserDetailsService必须在RememberMe配置中配置
		return getUserDetailsService().loadUserByUsername(token.getUsername());
	}

RememberMeAuthenticationProvider的认证过程相较于其他provider,比较简单 这里一笔带过了


以上,是个人对”记住我“功能的个人实践与源码理解。如有问题,请指出,谢谢。
码农的进阶之路
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity学习笔记
12-13
在"springsecurity学习笔记",你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security系列教程16--基于持久化令牌方案实现自动登录
一一哥
10-09 3257
前言 在上一章节,一一哥 带各位基于散列加密方案实现了自动登录,并且给各位介绍了散列加密算法,其实还有另一种自动登录的实现方案,也就是基于持久化令牌方案来进行实现。接下来请跟 一一哥 学习这种方案该怎么实现吧。 一. 持久化令牌方案简介 1. 持久化令牌方案 有的小伙伴会问,既然我们要基于持久化令牌来实现自动登录,那啥是持久化令牌啊?所以 一一哥 先给大家做个概念解释。 所谓的持久化令牌的实现方案,其实在交互上与我们前面章节讲的散列加密方案一致,只不过是在用户勾选Remember-me之后,将生
Spring Security(四)自动登录-持久化令牌方案
core815的专栏
10-09 1835
一.简介 持久化令牌方案在交互上与散列加密方案一致,都是在用户勾选Remember-me之后,将生成的令牌发送到用户浏览器上,并在用户下次访问系统时读取该令牌进行认证。不同的是,它采用了更加严谨的安全设计。 在持久化令牌方案,最核心的是series和token两个值,它们都是用MD5散列过的随机字符串。不同的是series仅在用户使用密码重新登录时更新,而token会在每一个...
爆破专栏丨Spring Security系列教程之基于持久化令牌方案实现自动登录_spring security账户登录暴破
最新发布
2301_82241647的博客
05-04 930
这时候,我们只需要在登录页面输入 用户名和密码,勾选“记住我”功能之后,Spring Security就会生成一个持久化令牌,在这个令牌就保存了当前登陆的用户信息,该令牌信息会被自动持久化存储到persistent_logins表。已经带各位实现了基于持久化令牌方案的自动登录,你可能很好奇,Spring Security内部到底是怎么进行实现的呢?当我们经过自动登录之后,就可以在persistent_logins表的series和token字段看到,分别保存了对应的信息。我们看到解码出来的结果。
SpringSecurity-8-自动登录和注销功能实现
zhoubangbang1的博客
03-27 1326
SpringSecurity-8-自动登录和注销功能实现自动登录的实现 当我们在登录某一个网站的时候,我们会使用账号密码进行登录,但是我们不想每一次关闭浏览器,我们不想每一次重新输入账号和密码,贴合用户的登录体验,给用户带来方便,我们使用自动登录功能,将登录信息保存在浏览器的cookie,这样用户在下次访问的时候,自动实现校验并新建登录状态。但是这样也会给用户带来信息泄露的危险。自动登录流程 用户选择记住我登录成功后,会在服务端生成一个Cookie返回到浏览器,Cookie名字默认是remember-me
Spring Security的自动登录
...
04-12 146
实现原理 认证成功后通过cookie向浏览器存入加密字符串,并且向数据库存入加密字符串和用户信息字符串。 再次访问获取cookie信息,使用加密字符串到数据库进行比对,如果查询到对应的信息,认证成功,可以登录。 spring security底层实现 具体实现 在Spring Security的用户注销的基础上进行修改。 创建数据表 CREATE TABLE `persistent_logins` ( `username` VARCHAR(64) NOT NULL, `series` VA
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目添加依赖。在Maven工程,可以通过在`pom.xml`引入Spring Boot的`spring-boot-...
SpringSecurity笔记,编程不良人笔记
10-28
3. **SpringBoot整合SpringSecurity** - `spring-boot-starter-security`依赖:SpringBoot项目添加此依赖即可自动配置SpringSecurity。 - 自定义登录页面:通过设置`loginPage`和`loginProcessingUrl`属性,可以...
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security笔记.rar
05-07
Spring Security 是一个强大的且高度可定制的框架,用于为Java应用程序提供身份验证和授权服务。它主要用于保护基于Spring的...通过学习笔记,你可以逐步掌握Spring Security的基础知识,并将其运用到实际项目
SpringSecurity记住我”功能使用及介绍
Littewood的博客
07-22 2374
Spring Security 之 RememberMe
Spring Security实战()—— 自动登录与注销登录
weixin_49561506的博客
04-16 1020
Spring Security 的自动登录和注销登录示例
Spring Security OAuth2笔记系列】- Spring Social第方登录 - 退出登录
代码有毒的博客
08-23 2886
退出登录 如何退出登录 Spring security 默认的退出处理逻辑 与退出登录相关的配置 默认退出处理逻辑 使当前session失效 清除与当前用户相关的remember-me记录 清空当前的SecurityContext 重定向到登录页 还记得以前登录的时候有一个默认的登录地址:/login,同样默认了一个退出/logout; 直接访问该地址:如果看到下面的报错,请...
SpringBoot整合SpringSecurity系列(5)-登录状态控制
TianXinCoord的博客
04-18 1340
文章目录一、Remember Me1.1 PersistentTokenRepository1.2 "记住我"功能配置二、系统退出控制、403处理方案 一、Remember Me Spring Security Remember Me 为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true Spring Security在用户登录后会自动把登录信息存储到数据库,后续就可以不登录进行访问 Spring Security实现Remember Me功能底层实现依赖spring-
Spring Security---自动登录二次校验和持久化令牌
MAKEJAVAMAN的博客
11-03 981
Spring Security为用户提供了方便的记住密码功能,将生成的rememberMeToken放入了cookie,这也意味着只要token没有过期,一旦泄漏后就会产生安全风险。所以应该提供其它的校验进一步来加强系统的安全性。 二次校验 在用户自动登录后,可以通过对密码进行二次校验进而确保用户的真实性。尽管Spring Security提供了记住密码功能,但是也为我们提供了二次校验的功能。 思路是对一些查询等不进行修改操作的接口,此时我们允许通过二次登录的用户直接进行查看,但是对于一些修改数据的接口,
重写securitypersistent_logins表的默认SQL(重新记住我默认的数据库的表)
夜空繁星VV
04-01 1335
springSecurity的-记住我-这个功能的sql语句(如果不重写,就是官方自己定义的sql语句的表persistent_logins,只有重新实现PersistentTokenRepository,重新编写里面定义的sql语句即可) 写完自己配置到Bean里面去并注入 package com.example.demo.config; import java.sql.ResultSet; import java.sql.SQLException; import java.util.Date; i
springboot记住账号密码登录_259.Spring Boot+Spring Security记住我(RememberMe): 基于持久化token的方案...
weixin_32127359的博客
01-20 1557
说明(1)JDK版本:1.8(2)Spring Boot 2.0.6(3)Spring Security 5.0.9(4)Spring Data JPA 2.0.11.RELEASE(5)hibernate5.2.17.Final(6)MySQLDriver 5.1.47(7)MySQL 8.0.12前言 在前一节,我们使用了简单加密token的方式实现了“记住我“,这一节我...
spring-Security():记住我,实现下次免登录
liyu121的博客
05-12 7555
记住我基本原理用户认证成功之后调用RemeberMeService根据用户名名生成Token由TokenRepository写入到数据库,同时也将Token写入到浏览器的Cookie重启服务之后,用户再次登入系统会由RememberMeAuthenticationFilter拦截,从Cookie读取Token信息,与persistent_logins表匹配判断是否使用记住我功能。最由User...
springsecurity笔记
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值