第7章 Spring Security RememberMe

最新推荐文章于 2025-04-08 11:13:41 发布
原创 最新推荐文章于 2025-04-08 11:13:41 发布 · 182 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #数据库

本文详细解读了如何在Spring Security中实现RememberMe功能,通过数据库存储token,配置过程和涉及的关键类,包括`JdbcTokenRepository`、`RememberMeAuthenticationFilter`和`RememberMeServices`。阅读者将了解登录流程和如何配置`HttpSecurity`以支持无痕登录。

在许多应用软件我们都可以看到 RememberMe 选项。如果我们勾选的话,下次访问就无须再登录。那么Spring Security是怎么实现 RememberMe 功能呢?我们基于数据库存储token的方式来实现 RememberMe

RememberMe配置

这里配置是针对第4章改造的。这里主要替换 UserWebSecurityConfigconfigure 方法

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
        .antMatchers("/admin/**").hasAnyRole("ADMIN")
        .antMatchers("/hello2/").fullyAuthenticated()
        .antMatchers("/rememberMe/").rememberMe()
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .permitAll()
        .and()
        .rememberMe()
        .tokenRepository(jdbcTokenRepository()).and()
        .csrf().disable();
}

// 新增
@Autowired
private DataSource dataSource;

// 新增
public JdbcTokenRepositoryImpl jdbcTokenRepository() {
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    return jdbcTokenRepository;
}
数据库表

我们需要新增 persistent_logins 表。表的创建语句在 JdbcTokenRepositoryImpl 已经内置。

create table persistent_logins (
    username varchar(64) not null, 
    series varchar(64) primary key, 
    token varchar(64) not null, 
    last_used timestamp not null
);

至此,RememberMe 功能就开发完成了。那么它是如何实现呢?

原理解析
涉及到的类

这里主要涉及到了 RememberMeAuthenticationFilter 过滤器 、 RememberMeServices 接口和他的实现类。

在这里插入图片描述

从登录地方开始

为什么我们勾选了就可以了,所以我们从登录地方开始追踪。我们可以发现 AbstractAuthenticationProcessingFilter 类完成登录时,我们会调用该类的 successfulAuthentication() 方法,然后这个方法又会调用 rememberMeServices#loginSuccess 方法进行处理。

rememberMeServices#loginSuccess 是实现 RememberMe 功能的入口。主要逻辑是,首先判断请求是否有 remember-me 参数并且该参数的值必须是 (true、on、yes、1)的其中一项。然后进入 AbstractRememberMeServices#onLoginSuccess 的方法,生成Token,存储Token到数据库,最后把Token写入 response.addCookie(cookie)

在这里插入图片描述

RememberMeAuthenticationFilter 过滤器

上面登录成功后,就算我们重新打开浏览器,再次访问也无须进行登录。这是怎么做到呢?大致实现时序图如下所示。

在这里插入图片描述
备注
本系列都是学习《深入浅出Spring Security》的笔记

Spring Security 6.x 系列(16)—— Remember Me 自定义配置及源码分析
gmHappy
01-05 3141
Remember Me(记住我)是一种常见功能,打开一个网站后,如果超过长时间未操作,会话过期后需要重新登录。Remember Me 功能可以“记住”当前登录用户,就算会话过期,或者浏览器关闭,下次进入网站时,不再需要重新认证,直接自动登录。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1619
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
Spring SecurityRememberMe
Evan_L的博客
10-07 1365
其实就是“记住我”功能。在我们工作/生活中,总会在被打断的情况,临时需要去做其他事情。而当我们想回来继续处理的时候,通常都会发现,网页已经退出登录态了。也就是开发同学常说的,session超时了。而“记住我”则可以完美解决该问题。除此之外,对于移动端的APP而言,也有同样的妙用。可以让用户长时间保持登录态。“记住我”意味着,只要用户不是主动退出的,都应该认为用户还处于登录态。RememberMe可以作为保持登录态的一种手段,减少用户频繁使用系统的操作。
SpringSecurity详细介绍RememberMe功能
m0_66789766的博客
04-20 266
Title 登录管理 security:csrfInput/ 账号: 密码: 记住我 先测试一下,认证通过后,关掉浏览器,再次打开页面,发现还要认证!为什么没有起作用呢? 这是因为remember me功能使用的过滤器RememberMeAuthenticationFilter默认是不开启的! [](()2.开启rememberMe 说明:RememberMeAuthenticationFilter中功能非常简单,会在打开浏览器时,自动判断是否认证,如果没有则 调用autoLogin..
Spring Security教程(七):RememberMe功能
dichengyan0013的博客
11-20 576
在之前的教程中一笔带过式的讲了下RememberMe记住密码的功能,那篇的Remember功能是最简易的配置,其功能和安全性都不强。这里就配置下securityRememberMe的各种方式。 一、概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自...
Spring SecurityRememberMe 详解 !!!!!
weixin_52834606的博客
09-03 4077
spring security 记住我 rememberMe
Spring Security3》第四第四部分翻译(Remember me后台储和SSL)附前四doc文件
03-26
Spring Security3》第四第四部分主要探讨了Remember me服务的后台储机制以及如何结合SSL(Secure Sockets Layer)来增强应用的安全性。这一部分的知识点涵盖了Spring Security中Remember me的功能,用户身份...
精选资源
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity RememberMe实现
qq_34480037的博客
10-19 531
目录Remember Me记住我基本原理记住我具体实现记住我功能SpringSecurity功能源码 Remember Me 记住我基本原理 基本原理实现 Remember me Filter在所有Filter的倒数第二个,如果其他过滤器链都无法通过的话才能抵达RememberMeFilter 1 前端配置 , 其name是固定的,必须为remember-me. 配置Tok...
SpringSecurity---Remember Me
gaoqiandr的博客
09-19 618
本文主要介绍的是Security中的Remember Me
springSecurity-记住我(Remember me)
weixin_54097396的博客
04-18 1362
Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
SpringSecurityrememberme
qq_29860591的博客
02-28 396
记住我功能原理分析还记得前面咱们分析认证流程时,提到的记住我功能吗? 现在继续跟踪找到AbstractRememberMeServices对象的loginSuccess方法: 再点进去上面if判断中的rememberMeRequested方法,还在当前类中: 如果上面方法返回true,就表示页面勾选了记住我选项了。继续顺着调用的方法找到PersistentTokenBase...
七.Spring Security-记住我(Remember me)
qq_32115993的博客
10-22 833
七.记住我 - Remember me 一.记住我概述 1.1.什么是记住我 Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。 1.2.流程分析 在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下: 1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices
SpringSecurity(八)【RememberMe记住我】
Vinjcent
11-17 1942
RememberMe 这个功能非常常见,无论是在 QQ、邮箱…都有这个选项。提到 RememberMe,往往会有一些误解,认为 RememberMe 功能就是把 用户名/密码 用 Cookie 保在浏览器中,下次登陆时不用再次输入 用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户的会话超时过期,就要再次登录,这样太过于繁琐。如果有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多。Remembe
6.Spring security中的rememberMe
EdSheeran的博客
03-07 4791
目录*RememberMe**6.2RememberMe基本用法**6.3持久化令牌**6.4二次校验**6.5原理分析**`AbstractRememberMeServices`**`TokenBasedRememberMeServices`**`PersistentTokenBasedRememberMeServices`* RememberMe 6.2RememberMe基本用法 /** * 浏览器关闭或者服务器重启不需要重新登录。第一次登录时,多了一个请求参数remember-me: on,用
Spring Security--Remember Me功能实现
我和井盖都笑了博客
04-05 525
    Remember Me 功能实现       Spring Security 中 Remember Me 为“记住我”功能,用户只需要在登录时添加 remember-me 复选框,取值为 true。Spring Security 会自动把用户信息储到数据源中,以后就可以不登录进行访问。 &...
spring security 学习三-rememberMe
巡山小妖008
05-04 468
spring security 学习三-rememberMe 功能:登录时的“记住我”功能 原理: rememberMeAuthenticationFilter在security过滤器链中的位置,在请求走认证流程是,当前边的filter都不通过时,会走rememberMeAuthenticationFilter 代码: html: <!...
spring security 的remember Me功能说明
LCY133的博客
04-08 1252
功能允许用户在关闭浏览器后,下次访问时无需重新登录即可恢复会话。:第三方登录通常不兼容 Remember Me,需结合 Refresh Token 实现类似功能。通过合理配置 Remember Me 功能,可以在用户体验和安全性之间取得平衡。:在令牌中储设备 ID 或 IP,控制最大绑定设备数。:提供用户界面,允许查看和终止活跃会话。Spring Security 提供。Spring Security 的。:Remember Me 令牌不受。:将密钥储在环境变量或配置中心。:防止令牌在传输中被截获。
spring boot 4.0.0配置SecurityConfig 设置rememberMe 使用jpa
最新发布
11-27
Spring Boot 4.0.0(基于 Spring Framework 6 和 Jakarta EE)中配置 `SecurityConfig` 并启用 `remember-me` 功能,使用 JPA 管理用户和持久化 remember-me 的令牌(即“记住我”功能的数据库储),需要以下几个步骤: 1. 添加依赖 2. 创建实体类(User) 3. 创建 UserRepository 4. 配置 SecurityConfig 5. 配置数据源和 JPA 6. 启用 Remember-Me 使用 JdbcTokenRepository --- ### ✅ 1. Maven 依赖(pom.xml) 确保你已添加以下依赖: ```xml <dependencies> <!-- Spring Boot Starter Web --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- Spring Boot Starter Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Spring Boot Starter Data JPA --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <!-- Database Driver (e.g., H2 or MySQL) --> <dependency> <groupId>com.h2database</groupId> <artifactId>h2</artifactId> <scope>runtime</scope> </dependency> <!-- 或者使用 MySQL --> <!-- <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-j</artifactId> <scope>runtime</scope> </dependency> --> </dependencies> ``` --- ### ✅ 2. 用户实体类(User) ```java package com.example.demo.entity; import jakarta.persistence.*; @Entity @Table(name = "users") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(unique = true, nullable = false) private String username; @Column(nullable = false) private String password; @Column(nullable = false) private String role; // Getters and Setters public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public String getPassword() { return password; } public void setPassword(String password) { this.password = password; } public String getRole() { return role; } public void setRole(String role) { this.role = role; } } ``` --- ### ✅ 3. UserRepository ```java package com.example.demo.repository; import com.example.demo.entity.User; import org.springframework.data.jpa.repository.JpaRepository; public interface UserRepository extends JpaRepository<User, Long> { User findByUsername(String username); } ``` --- ### ✅ 4. 自定义 UserDetailsService ```java package com.example.demo.service; import com.example.demo.entity.User; import com.example.demo.repository.UserRepository; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.stereotype.Service; import java.util.Collection; import java.util.Collections; @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found: " + username); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), getAuthorities(user) ); } private Collection<? extends GrantedAuthority> getAuthorities(User user) { return Collections.singletonList(new SimpleGrantedAuthority("ROLE_" + user.getRole())); } } ``` --- ### ✅ 5. SecurityConfig 配置(启用 rememberMe) ```java package com.example.demo.config; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.web.SecurityFilterChain; import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl; import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository; import javax.sql.DataSource; @Configuration @EnableWebSecurity public class SecurityConfig { @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource; // Required for JdbcTokenRepository @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authz -> authz .requestMatchers("/login", "/register", "/h2-console/**").permitAll() .anyRequest().authenticated() ) .formLogin(form -> form .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() ) .rememberMe(remember -> remember .userDetailsService(userDetailsService) .tokenRepository(persistentTokenRepository()) .tokenValiditySeconds(86400) // 24 hours .rememberMeParameter("remember-me") // name of checkbox in login form ) .logout(logout -> logout .logoutSuccessUrl("/login?logout") .permitAll() ) .csrf(csrf -> csrf .ignoringRequestMatchers("/h2-console/**") ) .headers(headers -> headers .frameOptions().sameOrigin() // For H2 Console ); return http.build(); } @Bean public PersistentTokenRepository persistentTokenRepository() { JdbcTokenRepositoryImpl repo = new JdbcTokenRepositoryImpl(); repo.setDataSource(dataSource); // 可选:第一次运行时自动创建表(只需执行一次) // repo.setCreateTableOnStartup(true); return repo; } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` --- ### ✅ 6. application.yml 配置示例(使用 H2 数据库) ```yaml spring: datasource: url: jdbc:h2:mem:securitydb driver-class-name: org.h2.Driver username: sa password: jpa: hibernate: use-new-id-generator-mappings: false ddl-auto: create-drop show-sql: true properties: hibernate: format_sql: true h2: console: enabled: true ``` --- ### ✅ 7. 创建 Remember-Me 表(Spring Security 默认表名) 如果你**没有**设置 `repo.setCreateTableOnStartup(true)`,请手动创建表: ```sql CREATE TABLE persistent_logins ( username VARCHAR(64) NOT NULL, series VARCHAR(64) PRIMARY KEY, token VARCHAR(64) NOT NULL, last_used TIMESTAMP NOT NULL ); ``` > 表名必须是 `persistent_logins`,字段也需一致,否则会出错。 --- ### ✅ 8. 登录页面示例(Thymeleaf) ```html <!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org"> <head> <title>Login</title> </head> <body> <h2>Login</h2> <form th:action="@{/login}" method="post"> <div> <label>Username: <input type="text" name="username"/></label> </div> <div> <label>Password: <input type="password" name="password"/></label> </div> <div> <label> <input type="checkbox" name="remember-me"/> Remember me </label> </div> <button type="submit">Login</button> </form> </body> </html> ``` --- ### 🔍 解释说明 - `PersistentTokenRepository` 使用 `JdbcTokenRepositoryImpl` 将 remember-me 令牌保数据库。 - `remember-me` 参数对应登录表单中的 checkbox 名称。 - `tokenValiditySeconds(86400)` 设置记住我有效期为 24 小时。 - `userDetailsService` 必须提供给 remember-me,用于重建认证信息。 - 使用 `BCryptPasswordEncoder` 安全加密密码。 - H2 数据库仅用于演示,生产环境可替换为 MySQL/PostgreSQL。 --- ### ✅ 测试流程 1. 启动应用 2. 访问 `/login` 3. 勾选 “Remember me” 4. 登录后关闭浏览器,重新打开仍保持登录状态(24 小时内) ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值