Spring Security(12)——Remember-Me功能

最新推荐文章于 2024-04-18 09:31:15 发布
原创 最新推荐文章于 2024-04-18 09:31:15 发布 · 9.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Security #记住我 #Remember-Me #原理 #PersistentTokenBasedRememberMeServices

这篇博客详细介绍了Spring Security的Remember-Me功能,包括基于简单加密token和基于持久化token的两种实现方式。简单加密token方法存在安全隐患,而持久化token方法更安全,能检测到cookie被盗用。Remember-Me服务接口、TokenBasedRememberMeServices和PersistentTokenBasedRememberMeServices的实现以及相关配置也进行了讲解。


1.1          概述

       Remember-Me是指网站能够在Session之间记住登录用户的身份,具体来说就是我成功认证一次之后在一定的时间内我可以不用再输入用户名和密码进行登录了,系统会自动给我登录。这通常是通过服务端发送一个cookie给客户端浏览器,下次浏览器再访问服务端时服务端能够自动检测客户端的cookie,根据cookie值触发自动登录操作。Spring Security为这些操作的发生提供必要的钩子,并且针对于Remember-Me功能有两种实现。一种是简单的使用加密来保证基于cookie的token的安全,另一种是通过数据库或其它持久化存储机制来保存生成的token。

       需要注意的是两种实现都需要一个UserDetailsService。如果你使用的AuthenticationProvider不使用UserDetailsService,那么记住我将会不起作用,除非在你的ApplicationContext中拥有一个UserDetailsService类型的bean。

 

1.2          基于简单加密token的方法

       当用户选择了记住我成功登录后,Spring Security将会生成一个cookie发送给客户端浏览器。cookie值由如下方式组成:

base64(username+":"+expirationTime+":"+md5Hex(username+":"+expirationTime+":"+password+":"+key))

Ø  username:登录的用户名。

Ø  password:登录的密码。

Ø  expirationTime:token失效的日期和时间,以毫秒表示。

Ø  key:用来防止修改token的一个key。

       这样用来实现Remember-Me功能的token只能在指定的时间内有效,且必须保证token中所包含的username、password和key没有被改变才行。需要注意的是,这样做其实是存在安全隐患的,那就是在用户获取到实现记住我功能的token后,任何用户都可以在该token过期之前通过该token进行自动登录。如果用户发现自己的token被盗用了,那么他可以通过改变自己的登录密码来立即使其所有的记住我token失效。如果希望我们的应用能够更安全一点,可以使用接下来要介绍的持久化token方式,或者不使用Remember-Me功能,因为Remember-Me功能总是有点不安全的。

       使用这种方式时,我们只需要在http元素下定义一个remember-me元素,同时指定其key属性即可。key属性是用来标记存放token的cookie的,对应上文提到的生成token时的那个key。

   <security:http auto-config="true">

      <security:form-login/>

      <!-- 定义记住我功能 -->

      <security:remember-me key="elim"/>

      <security:intercept-url pattern="/**" access="ROLE_USER" />

   </security:http>

 

       这里有两个需要注意的地方。第一,如果你的登录页面是自定义的,那么需要在登录页面上新增一个名为“_spring_security_remember_me”的checkbox,这是基于NameSpace定义提供的默认名称,如果要自定义可以自己定义TokenBasedRememberMeServices或PersistentTokenBasedRememberMeServices对应的bean,然后通过其parameter属性进行指定,具体操作请参考后文关于《Remember-Me相关接口和实现类》部分内容。第二,上述功能需要一个UserDetailsService,如果在你的ApplicationContext中已经拥有一个了,那么Spring Security将自动获取;如果没有,那么当然你需要定义一个;如果拥有在ApplicationContext中拥有多个UserDetailsService定义,那么你需要通过remember-me元素的user-service-ref属性指定将要使用的那个。如:

   <security:http auto-config="true">

      <security:form-login/>

      <!-- 定义记住我功能,通过user-service-ref指定将要使用的UserDetailsService-->

      <security:remember-me key="elim" user-service-ref="userDetailsService"/>

      <security:intercept-url pattern="/**" access="ROLE_USER" />

   </security:http>

  

   <bean id="userDetailsService"class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">

      <property name="dataSource" ref="dataSource"/>

   </bean>

 

1.3          基于持久化token的方法

       持久化token的方法跟简单加密token的方法在实现Remember-Me功能上大体相同,都是在用户选择了“记住我”成功登录后,将生成的token存入cookie中并发送到客户端浏览器,待到下次用户访问系统时,系统将直接从客户端cookie中读取token进行认证。所不同的是基于简单加密token的方法,一旦用户登录成功后,生成的token将在客户端保存一段时间,如果用户不点击退出登录,或

最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Security 6.x 系列(16)—— Remember Me 自定义配置及源码分析
gmHappy
01-05 2923
Remember Me记住我)是一种常见功能,打开一个网站后,如果超过长时间未操作,会话过期后需要重新登录。Remember Me 功能可以“记住”当前登录用户,就算会话过期,或者浏览器关闭,下次进入网站时,不再需要重新认证,直接自动登录。
Spring Security 6.x 系列(1)—— 初识Spring Security
热门推荐
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring Security 构建rest服务实现rememberme 记住功能
08-27
主要介绍了Spring Security 构建rest服务实现rememberme 记住功能,需要的朋友可以参考下
Spring Security 入门 Remember-Me 记住功能
SheTing'Blog
04-16 907
用户选择了“记住我”成功登录后,将会把username、随机生成的序列号、生成的token存入一个数据库表中,同时将它们的组合生成一个cookie发送给客户端浏览器。 当没有登录的用户访问系统时,首先检查 remember-me 的 cookie 值 ,有则检查其值包含的 username、序列号和 token 与数据库中是否一致,一致则通过验证。并且系统还会重新生成一个新的 token 替换数据库中对应旧的 token,序列号 series 保持不变 ,同时删除旧的 cookie,重新生成 cookie.
SpringSecurity---Remember Me
gaoqiandr的博客
09-19 578
本文主要介绍的是Security中的Remember Me
Spring Security】的RememberMe功能流程与源码详解
阿Q的小窝
06-09 4209
如果用户勾选了 “记住我” 选项,Spring Security 将在用户登录时创建一个持久的安全令牌,并将令牌存储在 cookie 中或者数据库中。当用户关闭浏览器并再次打开时,Spring Security 可以根据该令牌自动验证用户身份。
SpringSecurity系列——记住我(remember me)day3-3(源于官网5.7.2版本)
qq_51553982的博客
07-20 359
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档。...
SpringSecurity(04)——记住
peng_gx的博客
01-14 1448
SpringSecurity记住
SpringSecurity学习笔记(八)RememberMe功能
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-07 699
RememberMe 是一种服务器端的行为。传统的登录方式基于 Session会话,一旦用户的会话超时过期,就要再次登录,这样太过于烦琐。如果能有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多,RememberMe 就是为了解决这一需求而生的。原本的交互流程是,用户登录了之后会将用户的信息保存在服务端的session中,并且返回客户端一个jsessionid作为一个标识,默认过期时间是30分钟,30min没有进行任何操作,时间到了之后就会过期。
SpringSecurity记住功能的实现
xiaokanfuchen86的博客
01-15 981
Spring security记住我基本原理: 登录的时候,请求发送给过滤器UsernamePasswordAuthenticationFilter,当该过滤器认证成功后,会调用RememberMeService,会生成一个token,将token写入到浏览器cookie,同时RememberMeService里边还有个TokenRepository,将token和用户信息写入到数据库中。这样当用户再次访问系统,访问某一个接口时,会经过一个RememberMeAuthenticationFilter的过滤
SpringSecurity(八)【RememberMe记住我】
Vinjcent
11-17 1863
RememberMe 这个功能非常常见,无论是在 QQ、邮箱…都有这个选项。提到 RememberMe,往往会有一些误解,认为 RememberMe 功能就是把 用户名/密码 用 Cookie 保存在浏览器中,下次登陆时不用再次输入 用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户的会话超时过期,就要再次登录,这样太过于繁琐。如果有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多。Remembe
今天主要做的是Remember Me记住我)功能的实现
diaobi4376的博客
08-19 391
功能就是让网站登录过的人只要不注销,下次打开网站之后直接进入,不用重复登录,此功能主要是session与cookie的配合运用,具体实现是这样的,在登录页面判断并完成登录,然后将所需数据写入session及cookie中,代码如下$_SESSION['name']=$user->name; 此处用的是ezSQL组件,因此写入session是这种代码,也可以吧需要用的...
SpringSecurity详细介绍RememberMe功能
波波烤鸭的博客
12-05 5475
  本文我们来实现下SpringSecurityRememberMe功能 一、rememberMe功能实现 接下来我们看看具体怎么实现rememberMe功能 1.表单记住我选项 <%-- Created by IntelliJ IDEA. User: dengp Date: 2019/12/1 Time: 20:40 To change this template u...
SpringSecurity(十四)---RememberMe功能实现
Apple_Andy的博客
10-10 415
一.使用理由 Spring SecurityRemember Me为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true。Spring Security会自动把用户信息存储到数据源中,以后就可以不登录进行访问。 二.实现步骤 1.添加依赖(jdbc和mysql) Spring Security实现Remember Me 功能时底层实现依赖Spring-JDBC,所以需要添加jdbc的依赖,如果使用的是mybatis框架,只要导入mybatis的启动器即可,同时还需添加mys
springSecurity-记住(Remember me)
最新发布
weixin_54097396的博客
04-18 1274
Remember me(记住)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
RememberMe简介
Leon_Jinhai_Sun的博客
05-11 725
RememberMe 这个功能非常常见,下图就是QQ 邮箱登录时的“记住我” 选项。提到 RememberMe,一些初学者往往会有一些误解,认为 RememberMe 功能就是把用户名/密码用 Cookie 保存在浏览器中,下次登录时不用再次输入用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session会话,一旦用户的会话超时过期,就要再次登录,这样太过于烦琐。如果能有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多,R
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值