spring security 3.0x remember-me 免登陆

最新推荐文章于 2022-03-23 13:22:26 发布
原创 最新推荐文章于 2022-03-23 13:22:26 发布 · 276 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring security #remember-me #免登陆

本文详细介绍了如何使用Spring Security通过两种方式实现用户登陆后的免密码功能:一种是基于Cookie,另一种是基于数据库。通过配置文件和相关代码示例,展示了如何在网站登陆页面提供‘记住我’选项,并在用户下次访问时自动登陆。


 

    很多网站登陆的时候都会提供“记住我”或者“记住我&&周”的选项,spring security 3也提供了此功能,本人写了两个demo,一个是基于cookie来实现免登陆,一个是基于数据库的:

   1 基于cookie的remember-me

    spring security的配置如下:

 

<b:beans xmlns="http://www.springframework.org/schema/security"
 xmlns:b="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation="http://www.springframework.org/schema/beans 
 http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/security 
    http://www.springframework.org/schema/security/spring-security-3.0.xsd">


	<http auto-config="false" access-denied-page="/accessDenied.jsp">
	  <!-- 不要过滤图片等静态资源,其中**代表可以跨越目录,*不可以跨越目录。
	  <intercept-url pattern="/**/*.jpg" filters="none" />
	  <intercept-url pattern="/**/*.png" filters="none" />
	  <intercept-url pattern="/**/*.gif" filters="none" />
	  <intercept-url pattern="/**/*.css" filters="none" />
	  <intercept-url pattern="/**/*.js" filters="none" /> -->
	  <!-- 登录页面和忘记密码页面不过滤 -->
	  <intercept-url pattern="/login.jsp" filters="none" />
	  <intercept-url pattern="/jsp/forgotpassword.jsp"   filters="none" />
	  <!-- ROLE_ENTER_ORDINARY_PAGE, -->
	  <intercept-url pattern="/index.jsp"   access="ROLE_ENTER_ORDINARY_PAGE, ROLE_ENTER_HIGH_LEVEL_PAGE" /> 
	
	  
	  <!-- 检测失效的sessionId,超时时定位到另外一个URL, 防止固化session攻击 -->
	  <session-management invalid-session-url="/timeout.jsp" session-fixation-protection="migrateSession">
	  	<concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/>
	  </session-management>
	  
	  <form-login login-page="/login.jsp" authentication-failure-url="/loginError.jsp"   default-target-url="/index.jsp"/>
	  <logout invalidate-session="true" logout-success-url="/login.jsp"/>
	  <http-basic/>
	  <!-- 使用cookie来记录登陆 -->
	  <remember-me user-service-ref="userService" use-secure-cookie="true"/>
	  <anonymous/>
	 </http>

	 <!-- 注意能够为authentication-manager 设置alias别名  -->
	 <authentication-manager alias="authenticationManager">
	      <!-- <authentication-provider user-service-ref="userDetailsManager"> -->
	      <authentication-provider user-service-ref="userService">
      		<password-encoder hash="md5">
      			<salt-source user-property="username"/>
      		</password-encoder>
	           <!-- <password-encoder ref="passwordEncoder"> -->
	                <!-- 用户名做为盐值 -->
	                <!--<salt-source user-property="username" />
	           </password-encoder>-->
	      </authentication-provider>
	 </authentication-manager>
	 
</b:beans>

   2 基于数据库的rember-me

   首先要建一张表记录登陆:

   

create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)

   然后spring security的配置与第一种配置不一样的地方在<rember-me>

   

<remember-me user-service-ref="userService" data-source-ref="myDataSource"/>

    此处的myDataSource要在spring的配置文件中配置:

   

  <!-- 数据源 -->
  <bean id="myDataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close">
    <property name="driverClassName" value="${JDBC.DRIVERNAME}"/>
    <property name="url" value="${JDBC.URL}"/>
    <property name="username" value="${JDBC.USERNAME}"/>
    <property name="password" value="${JDBC.PASSWORD}"/>
  </bean>

 

    测试,jsp登陆代码如下:

   <form action="/spring_security/j_spring_security_check" method="post">  
    Account:<Input name="j_username"/><br/>  
    Password:<input name="j_password" type="password"/><br/>  
    <input type='checkbox' name='_spring_security_remember_me'/>记住我<br/>
    <input value="submit" type="submit"/>  <br/>
    
   </form>

 

    验证是否记住用户的页面为index.jsp,页面代码为:

 

  <body>
  	<form action="">
  		<sec:authorize ifAllGranted="ROLE_ENTER_ORDINARY_PAGE" >
			<input type="button" value="普通用户点击 "/><br/>
	    </sec:authorize>
	    <sec:authorize ifAllGranted="ROLE_ENTER_HIGH_LEVEL_PAGE">
			<input type="button" value="高级用户点击 "/><br/>
	    </sec:authorize>
	    用户名称:<sec:authentication property="principal.username"></sec:authentication><br/>
	    <a href="<%= request.getContextPath() %>/j_spring_security_logout">
	    	<input type="button" value="退出"/>
    	</a>
  	</form>
	    
  </body>

    如果用户登陆就会显示登陆用户的名称,

 

 

 

   使用第一种配置登陆后,可以在浏览器中查看cookie,

  

 此时关掉浏览器,重新打开浏览器访问http://localhost:8080/spring_security/index.jsp,页面显示为:

 

 

 

 

 

  使用第二种配置登陆后,数据库中的数据,



 


此时关掉浏览器,重新打开浏览器访问http://localhost:8080/spring_security/index.jsp

页面显示为:

 


 
 

 

 

 

 

 

spring security 实现免登陆功能
json20080301
03-19 8593
spring security 实现免登陆功能大体也是基于COOKIE来实现的。 主要配置信息: 1.首先登陆表单要Post URL: /j_spring_security_check 同时_spring_security_remember_me要等于yes,这时登陆后会记录cookie到数据库中; /j_spring_security_check?_spri...
spring security免登录动态配置方案2
weixin_34037173的博客
11-26 1027
序 之前有篇文章讲了怎么进行免登录动态配置的方案,动用了反射去实现,有点黑魔法的味道,这里再介绍另外一种方案 permitAll spring-security-config-4.2.3.RELEASE-sources.jar!/org/springframework/security/config/annotation/web/conf...
爬虫java_Java 爬虫遇到需要登录的网站,该怎么办?
weixin_39652136的博客
12-06 316
这是 Java 网络爬虫系列博文的第二篇,在上一篇Java 网络爬虫,就是这么的简单中,我们简单的学习了一下如何利用 Java 进行网络爬虫。在这一篇中我们将简单的聊一聊在网络爬虫时,遇到需要登录的网站,我们该怎么办?在做爬虫时,遇到需要登陆的问题也比较常见,比如写脚本抢票之类的,但凡需要个人信息的都需要登陆,对于这类问题主要有两种解决方式:一种方式是手动设置 cookie ,就是先在网站上面登录...
【权限----SpringSecurity】七、RememberMe配置
Sunny
06-26 776
一、概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自动登录。这个过程中通过服务端发送一个 cookie 给客户端浏览器保存,下次浏览器再访问服务端时服务端能够自动检测客户端的 cookie,根据 cookie 值触发自动登录操作。 Spring Sec...
Spring Security 3.0x实现Remember-Me自动登录功能
Spring Security 3.0x版本是早期的版本之一,在这个版本中,Remember-me功能允许用户在关闭浏览器后仍能够记住其登录状态。这在用户体验方面尤其重要,因为它减少了用户需要重复登录的次数。 ### 知识点一:Spring ...
Spring Security 3.0.x入门与配置指南
Spring Security 3.0.x Reference Documentation 是一本深入介绍Spring Security框架的英文文档,由Ben Alex和Luke Taylor编写。该文档针对Spring Security 3.0.0.RC1版本,提供了全面的参考指南,帮助开发者理解和...
深入浅出SpringSecurity3.0完整教程
SpringSecurity3.0还引入了一些高级特性,如CSRF保护、XSS保护、Remember-Me功能等,这些功能可以帮助开发者增强应用的安全性。 8. 迁移与兼容性 SpringSecurity3.0在设计时充分考虑了与前一版本(如Acegi)的兼容...
Spring Security 3.0 中文参考手册
"Spring Security3.0中文参考文档" Spring Security是一个功能强大的且高度可定制的权限访问框架,用于解决Java应用程序的安全需求。该框架旨在提供全面的认证、授权和访问控制,确保应用的安全性。Spring Security...
spring security运行时配置ignore url
weixin_33895695的博客
08-14 4511
序 以前用shiro的比较多,不过spring boot倒是挺推崇自家的spring security的,有默认的starter,于是也就拿来用了。 问题 对于免登陆的url,采用java config,可以这样配置: @EnableWebSecurity public class SecurityConfig extends WebSe...
oauth2实现免登录springSecurity
qq_38526245的博客
07-21 1万+
代码怎么写,原理等请参考阮一峰博客 四种模式都讲的非常清楚,这里我就我遇到的问题做个记录 什么用户存入数据库,客户端信息持久化,access_token存入redis等问题网上都可以搜到 我所遇到的问题 在获取code的时候,也就是 /oauth/authorize 接口(在AuthorizationEndpoint类中) User must be authenticated with Spring Security before authorization can be completed. 这是没有登
springboot使springsecurity不用登录
m0_67403076的博客
03-23 2895
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity也会跟着启动,默认使用HttpBasic的方式启
spring-Security(三):记住我,实现下次免登录
liyu121的博客
05-12 7708
记住我基本原理用户认证成功之后调用RemeberMeService根据用户名名生成Token由TokenRepository写入到数据库,同时也将Token写入到浏览器的Cookie中重启服务之后,用户再次登入系统会由RememberMeAuthenticationFilter拦截,从Cookie中读取Token信息,与persistent_logins表匹配判断是否使用记住我功能。最中由User...
spring security 实现remeber me免登陆功能)的原理
json20080301
03-19 1019
spring security 实现免登陆功能大体也是基于COOKIE来实现的。 主要配置信息:  &lt;remember-me  data-source-ref="dataSource" key="rememberMeCookie"   authentication-success-handler-ref="authenticationSuccessHandler"    service...
SpringBoot集成Spring Security(2)——自动登录
Jitwxs
05-09 2万+
在上一章:SpringBoot集成Spring Security(1)——入门程序中,我们实现了入门程序,本篇为该程序加上自动登录的功能。 Step1 修改login.html Step2 两种实现方式 2.1 Cookie存储 2.2 数据库存储 Step3 运行程序 Step1 修改login.html 在登陆页添加自动登录的选项,注意自动登录的na...
SpringSecurity Oauth 进行登录时跳过授权
maoyanji1674的博客
04-18 9993
登录后就不需要跳转到验证页进行授权了.autoApprove(true);                  //登录后绕过批准询问(/oauth/confirm_access)/** * 配置客户端详情 * @param clients * @throws Exception */ @Override public void configu...
spring security起步三:自定义登录配置与form-login属性详解
热门推荐
小鱼儿的专栏
07-12 9万+
spring security 自定义登录页 spring security custom login 404 Not Found spring security 自定义登录 405 method not supported
java学习笔记(二):Spring-securityRemember-me配置,以及配置Session管理器防止Session fixation
fuermoda的博客
12-18 743
java学习笔记(二):Spring-securityRemember-me配置,以及配置Session管理器防止Session fixation Remember-me配置 今天在完善自己毕设的登录操作时,想为我的登录弄一个记住我的选项,能够使我短时间内可以免登录。好在Spring-security封装好了这个功能,我们只要调用就好。而这个功能在Spring-security有两种实现方式:1)将登录信息发送给浏览器以Cookie的方式存储,登录的时候进行验证拿出Cookie来进行比较。2)将登录信息
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值