基础-进阶-升级~图解SpringSecurity的RememberMe流程|源码

最新推荐文章于 2024-10-07 21:24:38 发布

原创

最新推荐文章于 2024-10-07 21:24:38 发布 · 533 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#数学建模 #java #开发语言

本文详细介绍了SpringSecurity的RememberMe功能，从基础搭建到进阶集成，再到源码分析，揭示了RememberMe如何实现用户关闭浏览器后仍能自动登录的原理。文章通过实例演示了配置、验证、源码跟踪，以及解决session失效问题的升级版实现，最后探讨了自定义参数名和有效期的扩展应用。

前言

今天我们来聊一下登陆页面中“记住我”这个看似简单实则复杂的小功能。

如图就是博客园登陆时的“记住我”选项，在实际开发登陆接口以前，我一直认为这个“记住我”就是把我的用户名和密码保存到浏览器的 cookie 中，当下次登陆时浏览器会自动显示我的用户名和密码，就不用我再次输入了。

直到我看了 Spring Security 中 Remember Me 相关的源码，我才意识到之前的理解全错了，它的作用其实是让用户在关闭浏览器之后再次访问时不需要重新登陆。

原理

如果用户勾选了 “记住我” 选项，Spring Security 将在用户登录时创建一个持久的安全令牌，并将令牌存储在 cookie 中或者数据库中。当用户关闭浏览器并再次打开时，Spring Security 可以根据该令牌自动验证用户身份。

先来张图感受下，然后跟着阿Q从简单的Spring Security 登陆样例开始慢慢搭建吧！

基础版

搭建

初始化sql

//用户表
CREATE TABLE `sys_user_info` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL,
  `password` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8
//插入用户数据
INSERT INTO sys_user_info
(id, username, password)
VALUES(1, 'cheetah', '$2a$10$N.zJIQtKLyFe62/.wL17Oue4YFXUYmbWICsMiB7c0Q.sF/yMn5i3q');

//产品表
CREATE TABLE `product_info` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) DEFAULT NULL,
  `price` decimal(10,4) DEFAULT NULL,
  `create_date` datetime DEFAULT NULL,
  `update_date` datetime DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8
//插入产品数据
INSERT INTO product_info
(id, name, price, create_date, update_date)
VALUES(1, '从你的全世界路过', 32.0000, '2020-11-21 21:26:12', '2021-03-27 22:17:39');
INSERT INTO product_info
(id, name, price, create_date, update_date)
VALUES(2, '乔布斯传', 25.0000, '2020-11-21 21:26:42', '2021-03-27 22:17:42');
INSERT INTO product_info
(id, name, price, create_date, update_date)
VALUES(3, 'java开发', 87.0000, '2021-03-27 22:43:31', '2021-03-27 22:43:34');

依赖引入

<dependency>
 <groupId>org.springframework.boot</groupId>
 <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置类

自定义 SecurityConfig 类继承 WebSecurityConfigurerAdapter 类，并实现里边的 configure(HttpSecurity httpSecurity)方法。

/**
  * 安全认证及授权规则配置
  **/
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
 httpSecurity
   .authorizeRequests()
   .anyRequest()
   //除上面外的所有请求全部需要鉴权认证
   .authenticated()
   .and()
   //登陆成功之后的跳转页面
   .formLogin().defaultSuccessUrl("/productInfo/index").permitAll()
   .and()
   //CSRF禁用
   .csrf().disable();
}

另外还需要指定认证对象的来源和密码加密方式

@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
 auth.userDetailsService(userInfoService).passwordEncoder(passwordEncoder());
}

@Bean
public BCryptPasswordEncoder&n

最低0.47元/天解锁文章