Spring Security之RememberMe

最新推荐文章于 2025-04-08 11:13:41 发布
最新推荐文章于 2025-04-08 11:13:41 发布
阅读量1.2k 收藏 28
点赞数 10
CC 4.0 BY-SA版权
分类专栏: 探索Spring Security 文章标签: spring java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Evan_L/article/details/142693207

前言

今天我们来聊聊RemenberMe功能,他的实现或许跟你的最初的想法不一样哦。

什么是RememberMe

其实就是“记住我”功能。在我们工作/生活中,总会存在被打断的情况,临时需要去做其他事情。而当我们想回来继续处理的时候,通常都会发现,网页已经退出登录态了。也就是开发同学常说的,session超时了。而“记住我”则可以完美解决该问题。

除此之外,对于移动端的APP而言,也有同样的妙用。可以让用户长时间保持登录态。

“记住我”意味着,只要用户不是主动退出的,都应该认为用户还处于登录态。

如何实现RememberMe

我们来看看实现RememberMe需要做什么?一个完整流程是怎么样的?

  1. 登录认证成功后,我们需要生成一个RememberMe的凭证,然后返回给浏览器。这里通常是一个长期有效的Cookie,有效期与你预期的RememberMe的时间一样。
  2. 检测用户是否处于登录态。当用户没有处于登录态,且cookie中存在RememberMe凭证,在确认凭证有效之后,自动恢复登录态。
  3. 用户主动注销登录态,我们就要清理cookie,销毁凭证。

  • 对于步骤一,SpringSecurity提供了一个新的组件:RememberMeServices。在我们专栏的Spring Security之认证过滤器UsernamePasswordAuthenticationFilter中我们也看到了源码在认证完成后调用该组件完成RememberMe的凭证处理。

    PS: 可能有同学会问为什么不用AuthenticationSuccessHandler。如果你看过他的类注释,你就能找到答案了。这个组件的设计本意是完成登录后给用户呈现的内容。而我们这里要做的与之无关。

  • 对于步骤二,我们则需要一个新的过滤器,用来检查每个请求的登录态,以及处理登录态恢复。这便是RememberMeAuthenticationFilter。

  • 而步骤三,通过LogoutHandler就行。实际上,RememberMeServices也是他的子类。这一点体现了功能的高内聚,将与RememberMe相关的内容都放在一起了。

PS:题外话,对于软件而言,当功能足够小的时候,可以放在同一个类中。可当功能随着发展,细节就会增加,类就会显得臃肿。我们应当在嗅到代码的坏味道时,重新对功能进行审视,进行必要的新的抽象,大胆定义新的组件,以满足新的业务诉求。

Spring Security的设计

按照“高内聚低耦合”原则,我们应当把RememberMe相关的功能都放在同一个组件里。SpringSecurity则设计了两层结构。首先是RememberMeServices接口:

public interface RememberMeServices {
   
   
	// 自动登录。这自然是与session超时之后,从cookie中读取凭证自动恢复登录态有关
	Authentication autoLogin(HttpServletRequest request, HttpServletResponse response);
	
	// 登录失败的处理。要是自动登录失败了,那必须把cookie清理了哇
	void loginFail(HttpServletRequest request, HttpServletResponse response);
	
	// 登录成功。那就是要生成RememberMe凭证并丢到cookie了。
	void loginSuccess(HttpServletRequest request, HttpServletResponse response,
				Authentication successfulAuthentication);
}

除了自动登录(基于RememberMe的凭证),还有与认证过滤器配合的登录成功与登录失败的处理(涉及凭证的生成与清理)。

这第二层便是AbstractRememberMeServices

public abstract class AbstractRememberMeServices
		implements RememberMeServices, InitializingBean, LogoutHandler, MessageSourceAware {
   
   
	@Override
	public Authentication autoLogin(HttpServletRequest request, HttpServletResponse response) {
   
   
		// 寻找目标cookie
		String rememberMeCookie = extractRememberMeCookie(request);
		if (rememberMeCookie == null) {
   
   
			return null;
		}
		if (rememberMeCookie.length() == 0) {
   
   
			// 清理重置cookie
			cancelCookie(request, response);
			return null;
		}
		try {
   
   
			// 解析凭证
			String[] cookieTokens = decodeCookie(rememberMeCookie);
			// 通过凭证处理自动登录-这是抽象方法,由子类实现
			UserDetails user = processAutoLoginCookie(cookieTokens, request, response);
			// 检查用户状态
			this.userDetailsChecker.check(user);
			// 创建登录成功的认证信息
			return createSuccessfulAuthentication(request, user);
		}
		catch (CookieTheftException ex) {
   
   
			// 被攻击了,清理cookie
			cancelCookie(request, response);
			throw ex;
		}
		catch (UsernameNotFoundException ex) {
   
   
			// 没解析到用户
		}
		catch (InvalidCookieException ex) {
   
   
			// cookie已失效
		}
		catch (AccountStatusException ex) {
   
   
			// 用户状态异常
		}
		catch (RememberMeAuthenticationException ex) {
   
   
			// 登录异常
		}
		// 清理cookie
		cancelCookie(request, response);
		// 返回空,意味着通过rememberMe登录失败了。交由原来的登录过滤器处理。
		return null;
	}
	@Override
	public void loginSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication successfulAuthentication) {
   
   
		// 检查是否勾选了rememberMe
		if (!rememberMeRequested(request, this.parameter)) {
   
   
			this.logger.debug("Remember-me login not requested.");
			return;
		}
		// 完成登录后的处理。这是原来的登录认证后的操作。需要为止生成凭证。这是个抽象方法,由子类实现
		onLoginSuccess(request, response, successfulAuthentication);
	}
	@Override
	public void loginFail(HttpServletRequest request, HttpServletResponse response) {
   
   
		// 重置cookie
		cancelCookie(request, response);
		// 登录失败后处理。这是个空方法,也是个钩子方法。不过目前子类都没有使用到。
		onLoginFail(request, response);
	}
	@Override
	public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
   
   
		// 清理保存凭证的cookie
		cancelCookie(request, response);
	}
	protected void setCookie(String[] tokens, int maxAge, HttpServletRequest request, HttpServletResponse response) {
   
   
		String cookieValue = encodeCookie(tokens);
		Cookie cookie = new Cookie(this.cookieName, cookieValue);
		cookie.setMaxAge(maxAge);
		cookie.setPath(getCookiePath(request));
		if (this.cookieDomain != null) {
   
   
			cookie.setDomain(this.cookieDomain);
		}
		if (maxAge < 1) {
   
   
			cookie.setVersion(1);
		}
		cookie.setSecure((this.useSecureCookie != null) ? this.useSecureCookie : request.isSecure());
		// 设置了httpOnly后,js脚本将无法读取到cookie信息
		// {@link https://cloud.tencent.com/developer/article/2097036}
		cookie.setHttpOnly(true)
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringSecurity详细介绍RememberMe功能
m0_66789766的博客
04-20 242
Title 登录管理 security:csrfInput/ 账号: 密码: 记住我 先测试一下,认证通过后,关掉浏览器,再次打开页面,发现还要认证!为什么没有起作用呢? 这是因为remember me功能使用的过滤器RememberMeAuthenticationFilter默认是不开启的! [](()2.开启rememberMe 说明:RememberMeAuthenticationFilter中功能非常简单,会在打开浏览器时,自动判断是否认证,如果没有则 调用autoLogin..
Spring Security Remember me使用及原理详解
08-25
.rememberMe() .userDetailsService(myUserDetailServiceImpl) .tokenRepository(persistentTokenRepository()) .tokenValiditySeconds(60 * 60) .and() .authorizeRequests() .antMatchers(SecurityConst....
springSecurity-记住我(Remember me)
weixin_54097396的博客
04-18 1244
Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
Spring SecurityRememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3947
spring security 记住我 rememberMe
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1560
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
SpringSecurity(八)【RememberMe记住我】
Vinjcent
11-17 1831
RememberMe 这个功能非常常见,无论是在 QQ、邮箱…都有这个选项。提到 RememberMe,往往会有一些误解,认为 RememberMe 功能就是把 用户名/密码 用 Cookie 保存在浏览器中,下次登陆时不用再次输入 用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户的会话超时过期,就要再次登录,这样太过于繁琐。如果有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多。Remembe
Spring Security学习之rememberMe自动登录的实现
08-18
本文将深入探讨如何在Spring Security中配置和使用`rememberMe`自动登录,以及其背后的持久化令牌方案。 ### 一、`rememberMe`基础配置 在Spring Security中,启用`rememberMe`功能非常直观。首先,你需要在`...
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住我功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
SpringSecurity rememberme功能实现过程解析
08-24
主要介绍了SpringSecurity rememberme功能实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity---Remember Me
gaoqiandr的博客
09-19 567
本文主要介绍的是Security中的Remember Me
Spring Security中remember me
北辰
11-22 241
持久化remember me,需要在数据库中创建一张表,注意这张表的名称和字段都是固定的,不用修改 create table 'persistent_logins'( 'username' varchar(64) NOT NULL, 'series' varchar(64) NOT NULL, 'token' varchar(64) NOT NULL, 'last_used' timestamp NOT NULL, PRIMARY KEY('series') )E
6.Spring security中的rememberMe
EdSheeran的博客
03-07 4719
文章目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`* RememberMe 6.2RememberMe基本用法 /** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时,多了一个请求参数remember-me: on,用
Spring Security教程(七):RememberMe功能
dichengyan0013的博客
11-20 545
在之前的教程中一笔带过式的讲了下RememberMe记住密码的功能,那篇的Remember功能是最简易的配置,其功能和安全性都不强。这里就配置下securityRememberMe的各种方式。 一、概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自...
Spring Security 之 Remember-Me (记住我)
dieqiuxie4160的博客
07-08 652
效果:在用户的session(会话)过期或者浏览器关闭后,应用程序仍能记住它。用户可选择是否被记住。(在登录界面选择) “记住”是什么意思? 就是下次你再访问的时候,直接进入系统,而不需要输入用户名密码。 实现原理:使用一个remember-me cookie存储在浏览器内,用户通过该浏览器再次访问网站的时候,网站识别出remember-me cookie,...
SpringSecurity - RememberMe
TrustNature
11-09 280
SpringSecurity 记住我原理: 一、创建token 进入UsernamePasswordAuthticationFilter进行用户信息验证,验证成功之后它会调用一个AbstractAuthenticationProcessingFilter的过滤器进入一个successfulAuthentication方法中将用户的信息存入session中,然后调用RememberServic...
spring security中Remembers me 记住我基本原理
冬阳
08-30 1628
spring security 开启记住我,记住我的原理实现,源码分析,实战部分,以及如何开始持久化cookie功能,即使服务器重启后,还是可以免登陆
七.Spring Security-记住我(Remember me)
qq_32115993的博客
10-22 785
七.记住我 - Remember me 一.记住我概述 1.1.什么是记住我 Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。 1.2.流程分析 在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下: 1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创
spring security 的remember Me功能说明
最新发布
LCY133的博客
04-08 1130
功能允许用户在关闭浏览器后,下次访问时无需重新登录即可恢复会话。:第三方登录通常不兼容 Remember Me,需结合 Refresh Token 实现类似功能。通过合理配置 Remember Me 功能,可以在用户体验和安全性之间取得平衡。:在令牌中存储设备 ID 或 IP,控制最大绑定设备数。:提供用户界面,允许查看和终止活跃会话。Spring Security 提供。Spring Security 的。:Remember Me 令牌不受。:将密钥存储在环境变量或配置中心。:防止令牌在传输中被截获。
SpringSecurity RememberMe实现
qq_34480037的博客
10-19 516
文章目录Remember Me记住我基本原理记住我具体实现记住我功能SpringSecurity功能源码 Remember Me 记住我基本原理 基本原理实现 Remember me Filter在所有Filter的倒数第二个,如果其他过滤器链都无法通过的话才能抵达RememberMeFilter 1 前端配置 , 其name是固定的,必须为remember-me. 配置Tok...
Spring Security 3.0.5 rememberMe机制与Cookie分析
### SpringSecurity 3.0.5 中 RememberMe 配置示例 ```java // 示例配置 @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**")....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值