spring security 修改 RememberMeServices的key

调整RememberMe配置
最新推荐文章于 2025-06-23 22:29:04 发布
最新推荐文章于 2025-06-23 22:29:04 发布 · 346 阅读 · 0
文章标签:

#Security #Spring

本文探讨了在使用Spring Security的RememberMe功能时,修改RememberMeServices配置导致的问题。特别是当更改了RememberMeServices中的某些默认属性后,发现cookie失效的情况。通过调试发现,在RememberMeAuthenticationProvider中还存在一个key配置需要同步修改。

用RememberMe的时候想改一些RememberMeServices的默认属性

比如

private String cookieName = SPRING_SECURITY_REMEMBER_ME_COOKIE_KEY;
    private String parameter = DEFAULT_PARAMETER;
    private boolean alwaysRemember;
    private String key;
    private int tokenValiditySeconds = 1209600; // 14 days

 

 但修改了之后发现cookie失效了

 

后来debug了半天才发现在 RememberMeAuthenticationProvider 也有一个key

public class RememberMeAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {
    //~ Static fields/initializers =====================================================================================

    private static final Log logger = LogFactory.getLog(RememberMeAuthenticationProvider.class);

    //~ Instance fields ================================================================================================

    protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();
    private String key;

 

在验证过程中会判断他们是否相等 假如只改了一个地方。。。

Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8451
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Shiro高版本默认密钥的漏洞利用
12-10 6735
在Shiro反序列化漏洞修复的过程中,如果仅进行Shiro的版本升级,而没有重新生成密钥,那么AES加密的默认密钥扔硬编码在代码里,仍然会存在反序列化风险。01、漏洞案例本案例引用的shi...
spring-security实现Remember-Me
确实比较男
05-25 656
  RememberMeServices public interface RememberMeServices { //当用用户进行到系统未登录是自动登录 Authentication autoLogin(HttpServletRequest request, HttpServletResponse response); //在用户登录失败的时候调用 ...
Spring BlazeDS Integration之spring security(3)---自定义rememberMeServices,找到用户登陆成功切入点
miqi770的专栏
03-02 2248
仔细看过Spring BlazeDS Integration文档,我们知道,配置spring security其实很简单。 如下: 即可。但是这小小的 标记,其后台初始化了很多instance,其中最重要的就是 org.springframework.flex.security3.SpringSecurityLoginCommand    类,该类存在spring-flex-
Spring BlazeDS Integration之spring security(5)---自定义rememberMeServices的注意事项
miqi770的专栏
03-05 2476
重新贴出我的自定义rememberMeServices,注意事项,都在注释里面(没事研究一下spring security源码会有新发现的) package test; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.s
Spring Security】七、RememberMe配置
weixin_34281537的博客
07-05 288
一、概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自动登录。这个过程中通过服务端发送一个 cookie 给客户端浏览器保存,下次浏览器再访问服务端时服务端能够自动检测客户端的 cookie,根据 cookie 值触发自动登录操作。   Spring Sec...
【权限----SpringSecurity】七、RememberMe配置
Sunny
06-26 775
一、概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一定时间内可以不用再输入用户名和密码进行自动登录。这个过程中通过服务端发送一个 cookie 给客户端浏览器保存,下次浏览器再访问服务端时服务端能够自动检测客户端的 cookie,根据 cookie 值触发自动登录操作。 Spring Sec...
Spring Security之RememberMe
Evan_L的博客
10-07 1338
其实就是“记住我”功能。在我们工作/生活中,总会存在被打断的情况,临时需要去做其他事情。而当我们想回来继续处理的时候,通常都会发现,网页已经退出登录态了。也就是开发同学常说的,session超时了。而“记住我”则可以完美解决该问题。除此之外,对于移动端的APP而言,也有同样的妙用。可以让用户长时间保持登录态。“记住我”意味着,只要用户不是主动退出的,都应该认为用户还处于登录态。RememberMe可以作为保持登录态的一种手段,减少用户频繁使用系统的操作。
详解springsecurity组件
工匠精神coding,终生学习
05-26 762
详解springsecurity架构、认证流程、安全以及代码组件
SpringSecurity6(认证-前后端分离)
最新发布
Linging_24的博客
06-23 472
本文介绍了基于SpringBoot 3.2.8和Spring Security 6.1.11的认证系统设计方案。系统使用JDK17开发,包含验证码过滤、密码加密认证、记住我功能、并发会话控制、Redis会话存储、CSRF防护等安全特性。配置文件中详细设置了数据库连接池、Redis会话存储等参数。通过自定义PasswordEncoder支持多种加密算法(如MD5、BCrypt等),并使用@EnableRedisIndexedHttpSession实现Redis持久化会话管理。系统整合了MybatisPlus、
Spring Security2中设置Cookie的保存时间
05-24
Spring Security 2中,配置Cookie的保存时间是一项重要的任务,因为这关乎到用户的会话持久性和安全性。Cookie是Web应用程序中用于存储用户状态的一种机制,例如登录信息、个性化设置等。正确设置Cookie的生命周期...
apache shiro 反序列化漏洞解决方案
qq_36407469的博客
07-27 6144
一、反序列化漏洞介绍 序列化:把对象转换为字符串或者字节流的过程。 反序列化:把字符串或者字节流恢复为对象的过程。 反序列化漏洞的产生原理,即黑客通过构造恶意的序列化数据,从而控制应用在反序列化过程中需要调用的类方法,最终实现任意方法调用。如果在这些方法中有命令执行的方法,黑客就可以在服务器上执行任意的命令。 二、产生原因 shiro提供了记住我(RememberMe)的功能,即可以在关闭浏览器的情况下,下次打开时还能记住你是谁,无需登录即可访问。 shiro默认使用了CookieRememberMeMa
若依低版本漏洞:shiro反序列化解决方式
weixin_43267639的博客
12-14 3608
在若依低版本中shiro可能会有反序列化的问题,因为是固定密钥的方式导致的。 解决方式如下: 1、升级shiro至最新版本 2、保持shiro版本不变
Spring Security 自定义TokenBasedRememberMeServices,RememberMe功能失效
keyliwen的博客
02-23 4343
最近在做项目的时候用到了Spring Security,想用它的RememberMe功能,按照官方文档配置后 竟然不起作用,remeber-me的cookie在登录后会正常写到浏览器里,但是重启浏览器后就会丢失, 百思不得姐呀,先看了debug的日志,看到有remember-me的认证日志,发现执行了cancelCookie() 这个方法,也就是说因为某些原因,在重启浏览器后访问时,reme
springsecurity中的配置文件设置remember-me 的原因及其安全性
朱智文的专栏
11-12 2892
首先看remember-me的写法: security:remember-me key="elim" user-service-ref="userDetailsService"/> 在扩展一下:这行配置所在的位置: security:http auto-config="true">       security:form-login/>       定义记住我功能,通过us
Spring BlazeDS Integration之spring security(4)---自定义rememberMeServices,找到自动登陆成功切入点
miqi770的专栏
03-04 3964
我们先说一个现象,比如已经有一个使用Spring BlazeDS Integration配置了spring security的一个应用, 如下图是用户已经登录成功时,进入的界面,此时login按钮是个摆设,没有任何功能;logout按钮是通过flex提供的api是完成登出操作: 当,用户没有点击logout按钮,直接关闭了浏览器,浏览器比如是firefox。用户再次使用
Spring Security 中实现 Remember Me 记住密码功能
热门推荐
啦啦啦啦 la
11-15 1万+
Spring Boot 集成 Spring Security的简单应用,从数据库读取数据校验用户,页面使用Thymeleaf模板 创建 Spring Boot 应用添加依赖 compile('org.springframework.boot:spring-boot-starter-security') compile('org.springframework.boot:spring-b
spring security】【尚硅谷】
hupengfei_shenyang的博客
04-04 2294
前置知识 spring框架 springboot使用 javaWeb技术 Spring Security 框架简介 概述 Spring Security是基于Spring框架,是一套web安全性的完整的解决方案 关于安全的主要的两个区域“认证”和“授权” web安全性主要包括用户认证(Authentication)、**用户授权(Authorization)**两个部分,同时也是Spring Security重要的核心功能 用户认证(Authentication):系统认为用户是否可以登录 用户授权(A
适用于java me的加密解密
java
07-02 622
import java.io.UnsupportedEncodingException; import java.security.InvalidKeyException; import java.security.Key; import java.security.NoSuchAlgorithmException; import javax.crypto.BadPaddingException; import javax.crypto.Cipher; import javax.crypto
spring security key
03-27
Spring Security中,密钥(Key)是用于加密和解密数据的关键元素之一。 在Spring Security中,密钥通常用于对敏感信息进行加密和解密,以确保数据的机密性和完整性。密钥可以是对称密钥或非对称密钥。 对称密钥...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值