spring-security实现Remember-Me

最新推荐文章于 2024-04-26 09:48:52 发布
原创 最新推荐文章于 2024-04-26 09:48:52 发布 · 656 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring-security #Remember-Me #保存到cookie #保存到数据库

本文详细介绍了Spring-Security的Remember-Me功能,包括RememberMeServices接口及其子类AbstractRememberMeServices、TokenBasedRememberMeServices和PersistentTokenBasedRememberMeServices的工作流程。TokenBasedRememberMeServices通过加密MD5实现自动登录,而PersistentTokenBasedRememberMeServices则将信息存储到数据库以提高安全性。在配置中,可以通过security.xml文件设置RememberMe服务,并配合数据库操作完成用户的持久化记住我功能。


 

RememberMeServices

public interface RememberMeServices { 
    //当用用户进行到系统未登录是自动登录
    Authentication autoLogin(HttpServletRequest request, HttpServletResponse response);
    //在用户登录失败的时候调用
    void loginFail(HttpServletRequest request, HttpServletResponse response);
    //在用户登录成功后调用
    void loginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication);
}

AbstractRememberMeServices

1. loginSuccess : 在玩家登录成功后调用这个方法,首先通过rememberMeRequested这个方法判断是否需要rememberMe,若需要,那么调用抽象方法onLoginSuccess 

2.  loginFail : 在玩家登录失败后调用方法,首先执行cancelCookie删除cookie;然后执行方法onLoginFail

3. autoLogin : 首先从cookie中获取到加密后的字符串,然后解析这个加密字符串,调用抽象方法processAutoLoginCookie执行自动登录,最后返回一个完整的Authentication

 

TokenBasedRememberMeServices

1. onLoginSuccess : 完成加密 MD5 ("username:tokenExpiryTime:password:key"),设置加密字符串到cookie(详细加密查询makeTokenSignature方法)

2. processAutoLoginCookie:通过解析出来的用户名调用getUserDetailsService().loadUserByUsername(cookieTokens[0])查询出UserDetails,然后在加密查询出来的UserDetails,比较cookie中加密的字符串和查询出来的UserDetails加密字符串,若相同,完成自动登录

 

PersistentTokenBasedRememberMeServices

1. onLoginSuccess : 保存用户登录信息PersistentRememberMeToken到数据库和cookie(不会保存用户名到cookie,相对更安全)

2. processAutoLoginCookie : 通过解析出cookie中的数据,查询数据库中的PersistentRememberMeToken,检验查询出来的PersistentRememberMeToken是否过期,正确等等,最后查询出UserDetails,完成登录

3.对PersistentRememberMeToken做的数据库操作都是通过PersistentTokenRepository来完成的

 

TokenBasedRememberMeServices来实现的RememberMe

   在项目的security.xml文件中添加如下代码:

<security:http>
    <security:intercept-url pattern="/**" access="ROLE_USER"/>
    <security:form-login/>
    <security:logout logout-url="/logout"/>
    <security:remember-me key="chapter4"/>
</security:http>

 

PersistentTokenBasedRememberMeServices来实现RememberMe

1.   在数据库执行sql:

 

CREATE TABLE persistent_logins (
    username VARCHAR(64) NOT NULL,
    series VARCHAR(64) PRIMARY KEY,
    token VARCHAR(64) NOT NULL,
    last_used TIMESTAMP NOT NULL
);

 2.  修改security.xml文件:

<security:http>
    <security:intercept-url pattern="/**" access="ROLE_USER"/>
    <security:form-login/>
    <security:logout logout-url="/logout"/>
    <security:remember-me data-source-ref="securityDataSource"/>
</security:http>

 

  这里可以配置token-repository-ref或者data-source-ref  效果都是一样

<security:http>
    <security:intercept-url pattern="/**" access="ROLE_USER"/>
    <security:form-login/>
    <security:logout logout-url="/logout"/>
    <security:remember-me token-repository-ref="jdbcTokenRepositoryImpl"/>
</security:http>
<bean id="jdbcTokenRepositoryImpl" class="org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl">
    <property name="dataSource" ref="securityDataSource"/>
</bean>

 

 

 

 

Spring SecurityRememberMe
Evan_L的博客
10-07 1332
其实就是“记住我”功能。在我们工作/生活中,总会存在被打断的情况,临时需要去做其他事情。而当我们想回来继续处理的时候,通常都会发现,网页已经退出登录态了。也就是开发同学常说的,session超时了。而“记住我”则可以完美解决该问题。除此之外,对于移动端的APP而言,也有同样的妙用。可以让用户长时间保持登录态。“记住我”意味着,只要用户不是主动退出的,都应该认为用户还处于登录态。RememberMe可以作为保持登录态的一种手段,减少用户频繁使用系统的操作。
spring-security【2022-3-18更新】
m0_53964515的博客
03-14 5003
话不多说导包本质上主要是使用了AOP 和 拦截器! 导包 <!-- spring security 包含下面两个注释掉的包 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- &l
Spring Seucrity 之 Remember Me
热门推荐
small_love的专栏
07-28 1万+
Spring Security 提供了Remember-me机制用来实现记录用户的登录状态。方便用户下次自动登录。Spring Security 对此操作提供了必要的钩子,remember-me有两个固定的实现一个是使用把用户登录信息加密以cookie的方式保存到客户端。一是用户
Spring SecurityRememberMe 详解 !!!!!
weixin_52834606的博客
09-03 4041
spring security 记住我 rememberMe
SpringSecurityrememberme
qq_29860591的博客
02-28 363
记住我功能原理分析还记得前面咱们分析认证流程时,提到的记住我功能吗? 现在继续跟踪找到AbstractRememberMeServices对象的loginSuccess方法: 再点进去上面if判断中的rememberMeRequested方法,还在当前类中: 如果上面方法返回true,就表示页面勾选了记住我选项了。继续顺着调用的方法找到PersistentTokenBase...
springSecurity-记住我(Remember me)
weixin_54097396的博客
04-18 1340
Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
spring-security 官方文档 中文版
10-12
- **Remember-Me 认证**:允许用户在关闭浏览器后仍然保持登录状态。 - **添加 HTTP/HTTPS 信道安全**:通过配置 HTTPS 来保障数据传输的安全。 - **会话管理**: - **检测超时**:设置会话超时时间。 - **同步...
Springboot +spring security实现RememberMe实现原理分析
weixin_40991408的博客
05-24 975
Springboot +spring security实现RememberMe实现原理分析
Spring Security(12)——Remember-Me功能
Elim的博客
06-08 9841
本文主要介绍Spring SecurityRemember-Me机制,以及如何通过配置实现“记住我”功能。
SpringS 的rememberme
qq_29860591的博客
02-28 222
记住我功能原理分析还记得前面咱们分析认证流程时,提到的记住我功能吗? 现在继续跟踪找到AbstractRememberMeServices对象的loginSuccess方法: 再点进去上面if判断中的rememberMeRequested方法,还在当前类中: 如果上面方法返回true,就表示页面勾选了记住我选项了。继续顺着调用的方法找到PersistentTokenBase...
SpringSecurity remember功能基本实现
Leon_Jinhai_Sun的博客
11-17 218
记住我功能页面代码 注意name和value属性的值不要写错哦! 先测试一下,认证通过后,关掉浏览器,再次打开页面,发现还要认证!为什么没有起作用呢?这是因为remember me功能使用的过滤器RememberMeAuthenticationFilter默认是不开启的! 开启remember me过滤器 <!--设置可以用spring的el表达式配置Spring Security并自动生成对应配置组件(过滤器)--> <security:http auto-confi.
spring REMEMBER ME配置过程
pengfeifei26的专栏
07-31 194
为了避免用户重复登录,系统在使用过程中用户可能需要保持登录。Spring提供了remember me的配置,在项目中我使用了基于cookie的保持登录功能。根据spring的安全文档,要实现remember me配置只要做以下几件事情: 1、登录页 [code="html"] 保持登录 [/html...
Spring Security(学习笔记) --RememberMe加密原理以及令牌丢失验证!
最新发布
TONGZHOUGONGDU的博客
04-26 883
postman测的时候,要清掉JESSIONID,要清掉,采用rememberMe的认证信息后,他会把JSONID也认证了,所以有时候,我们重新登陆后,工具还能访问。如果查出来为null ,那就是没有,自动登陆失败。可以看到,series值变了,token值也变了,这是因为我刚刚用浏览器过期的访问去请求他的地址,数据库直接把那条数据删掉了,后面分析源码,可以看一下。关于这个问题,Security也给出了解决方案,那就是持久化令牌,一旦令牌被盗用,用户就可以及时感知,然后重新登陆,覆盖掉之前的令牌。
SpringSecurityRememberMe实现
qq_16159433的博客
10-17 404
RememberMe实现一定离不开Token的持久化存储。来看看使用Security应该怎么用RememberMe功能 RememberMe实现的两个模式 Security中有着两个实现RememberMe功能的实现类,但是都离不开持久化Token。 AbstractRememberMeServices的实现类 PersistentTokenBasedRememberMeServices服务端或数据库保存Cookie 其中tokenRepository属性时存储的方案: InMemoryToken
Spring Security Web 5.1.2 源码解析 -- RememberMeAuthenticationFilter
Details Inside Spring
12-10 836
概述 检测SecurityContext是否已经有一个Authentication对象。如果没有,并且开启了remember-me认证机制的话,就会往SecurityContext里面填充一个RememberMeAuthenticationToken Authentication。 认证成功的话,会向应用上下文发布事件InteractiveAuthenticationSuccessEvent。 另...
SpringSecurity详细介绍RememberMe功能
erghtt的博客
04-04 1140
什么是ActiveMQ?ActiveMQ服务器宕机怎么办?丢消息怎么办?持久化消息非常慢怎么办?消息的不均匀消费怎么办?死信队列怎么办?ActiveMQ中的消息重发时间间隔和重发次数吗?
spring security 安全框架remember me,demo学习
freewebsys的专栏
11-25 3315
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 在安全框架这边使用最多的就是spring security。 论坛资料比较充实。
spring rememberme 功能的简介及学习
chen_jl168的博客
06-09 730
– 没空写
spring security初探之Remember-me源码解析
cjのice_bear
03-30 1933
希望优快云能解决一个用户只能打开一个编辑器的问题,辛辛苦苦写的文字突然就没有了。 重新来过吧。说说Remember-me简单的说,Remember-me就是记住用户,下次登陆的时候不用密码也能登陆。实现这个功能主要是依靠cookie,因为Http是无状态协议,所以我们需要一个替服务端保存登陆状态的小饼干,这个小饼干就是cookie。源码分析初次登陆的Remember-me我们知道,用户初次登陆时候
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值