Spring Security 记住我功能源码解析

最新推荐文章于 2024-05-04 00:59:47 发布
最新推荐文章于 2024-05-04 00:59:47 发布
阅读量242 收藏
点赞数
分类专栏: Spring Security 文章标签: 过滤器 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jgzquanquan/article/details/105207839
版权

Spring Security 记住我功能源码解析

简介

在这里插入图片描述

登录流程

如上图所示首先浏览器请求过来先经过UsernamePasswordAuthenticationFilter,认证成功之后AbstractAuthenticationProcessingFilter 的doFilter方法会调用successfulAuthentication(request, response, chain, authResult);该方法会首先会将认证成功的Authentication对象存入securityContext里,创建出token写入数据库

AbstractAuthenticationProcessingFilter

前面过滤器认证成功后会到这个这个过滤器的successfulAuthentication方法中将认证成功的authResult存入securityContex中

protected void successfulAuthentication(HttpServletRequest request,
      HttpServletResponse response, FilterChain chain, Authentication authResult)
      throws IOException, ServletException {

   if (logger.isDebugEnabled()) {
      logger.debug("Authentication success. Updating SecurityContextHolder to contain: "
            + authResult);
   }

   SecurityContextHolder.getContext().setAuthentication(authResult);

   rememberMeServices.loginSuccess(request, response, authResult);

   // Fire event
   if (this.eventPublisher != null) {
      eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
            authResult, this.getClass()));
   }

   successHandler.onAuthenticationSuccess(request, response, authResult);
}

PersistentTokenBasedRememberMeServices

在这里的rememberMeServices实现类为PersistentTokenBasedRememberMeServices,其onLoginSuccess方法如下,该方法会创建出persistentToken,然后调用tokenRepository的createNewToken方法将该对象存入数据库中。然后再将该token写到cookies中

protected void onLoginSuccess(HttpServletRequest request,
      HttpServletResponse response, Authentication successfulAuthentication) {
   String username = successfulAuthentication.getName();

   logger.debug("Creating new persistent login for user " + username);

   PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
         username, generateSeriesData(), generateTokenData(), new Date());
   try {
      tokenRepository.createNewToken(persistentToken);
      addCookie(persistentToken, request, response);
   }
   catch (Exception e) {
      logger.error("Failed to save persistent token ", e);
   }
}

再次访问

服务请求会到RememberMeAuthenticationFilter中,其会读取Cookie中的Token,然后根据相关token从此数据库获取用户名等,然后通过UserDetailService 的loadByUsername方法获取Authentication对象,然后去认证,具体认证过程可以看Spring Security 用户名密码登录源码解析

RememberMeAuthenticationFilter

首先会进入到RememberMeAuthenticationFilter中,首先判断securityContex中是否存在已经经过前面过滤器认证通过的Authentication对象。如果存在则调用其他过滤器。

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
      throws IOException, ServletException {
   HttpServletRequest request = (HttpServletRequest) req;
   HttpServletResponse response = (HttpServletResponse) res;

   if (SecurityContextHolder.getContext().getAuthentication() == null) {
      Authentication rememberMeAuth = rememberMeServices.autoLogin(request,
            response);

      if (rememberMeAuth != null) {
         // Attempt authenticaton via AuthenticationManager
         try {
            rememberMeAuth = authenticationManager.authenticate(rememberMeAuth);

            // Store to SecurityContextHolder
            SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);

            onSuccessfulAuthentication(request, response, rememberMeAuth);

            if (logger.isDebugEnabled()) {
               logger.debug("SecurityContextHolder populated with remember-me token: '"
                     + SecurityContextHolder.getContext().getAuthentication()
                     + "'");
            }

            // Fire event
            if (this.eventPublisher != null) {
               eventPublisher
                     .publishEvent(new InteractiveAuthenticationSuccessEvent(
                           SecurityContextHolder.getContext()
                                 .getAuthentication(), this.getClass()));
            }

            if (successHandler != null) {
               successHandler.onAuthenticationSuccess(request, response,
                     rememberMeAuth);

               return;
            }

         }
         catch (AuthenticationException authenticationException) {
            if (logger.isDebugEnabled()) {
               logger.debug(
                     "SecurityContextHolder not populated with remember-me token, as "
                           + "AuthenticationManager rejected Authentication returned by RememberMeServices: '"
                           + rememberMeAuth
                           + "'; invalidating remember-me token",
                     authenticationException);
            }

            rememberMeServices.loginFail(request, response);

            onUnsuccessfulAuthentication(request, response,
                  authenticationException);
         }
      }

      chain.doFilter(request, response);
   }
   else {
      if (logger.isDebugEnabled()) {
         logger.debug("SecurityContextHolder not populated with remember-me token, as it already contained: '"
               + SecurityContextHolder.getContext().getAuthentication() + "'");
      }

      chain.doFilter(request, response);
   }
}

AbstractRememberMeServices

不存在则调用rememberMeServices的autoLogin方法,具体为AbstractRememberMeServices
的autoLogin的方法

public final Authentication autoLogin(HttpServletRequest request,
      HttpServletResponse response) {
   String rememberMeCookie = extractRememberMeCookie(request);

   if (rememberMeCookie == null) {
      return null;
   }

   logger.debug("Remember-me cookie detected");

   if (rememberMeCookie.length() == 0) {
      logger.debug("Cookie was empty");
      cancelCookie(request, response);
      return null;
   }

   UserDetails user = null;

   try {
      String[] cookieTokens = decodeCookie(rememberMeCookie);
      user = processAutoLoginCookie(cookieTokens, request, response);
      userDetailsChecker.check(user);

      logger.debug("Remember-me cookie accepted");

      return createSuccessfulAuthentication(request, user);
   }
   catch (CookieTheftException cte) {
      cancelCookie(request, response);
      throw cte;
   }
   catch (UsernameNotFoundException noUser) {
      logger.debug("Remember-me login was valid but corresponding user not found.",
            noUser);
   }
   catch (InvalidCookieException invalidCookie) {
      logger.debug("Invalid remember-me cookie: " + invalidCookie.getMessage());
   }
   catch (AccountStatusException statusInvalid) {
      logger.debug("Invalid UserDetails: " + statusInvalid.getMessage());
   }
   catch (RememberMeAuthenticationException e) {
      logger.debug(e.getMessage());
   }

   cancelCookie(request, response);
   return null;
}

PersistentTokenBasedRememberMeServices

其又将调用其子类PersistentTokenBasedRememberMeServices
的processAutoLoginCookie方法。根据cookies的presentedSeries值去数据库查询获取token对象,然后进行相关校验,具体见代码
最后调用调用UserDetails的loadUserByUsername方法获取Authentication对象,然后回到RememberMeAuthenticationFilter调用authenticationManager的authenticate进行认证,最后将认证通过的对象放入SecurityContex中并调用认证成功处理器。

	protected UserDetails processAutoLoginCookie(String[] cookieTokens,
			HttpServletRequest request, HttpServletResponse response) {

		if (cookieTokens.length != 2) {
			throw new InvalidCookieException("Cookie token did not contain " + 2
					+ " tokens, but contained '" + Arrays.asList(cookieTokens) + "'");
		}

		final String presentedSeries = cookieTokens[0];
		final String presentedToken = cookieTokens[1];

		PersistentRememberMeToken token = tokenRepository
				.getTokenForSeries(presentedSeries);

		if (token == null) {
			// No series match, so we can't authenticate using this cookie
			throw new RememberMeAuthenticationException(
					"No persistent token found for series id: " + presentedSeries);
		}

		// We have a match for this user/series combination
		if (!presentedToken.equals(token.getTokenValue())) {
			// Token doesn't match series value. Delete all logins for this user and throw
			// an exception to warn them.
			tokenRepository.removeUserTokens(token.getUsername());

			throw new CookieTheftException(
					messages.getMessage(
							"PersistentTokenBasedRememberMeServices.cookieStolen",
							"Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));
		}

		if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System
				.currentTimeMillis()) {
			throw new RememberMeAuthenticationException("Remember-me login has expired");
		}

		// Token also matches, so login is valid. Update the token value, keeping the
		// *same* series number.
		if (logger.isDebugEnabled()) {
			logger.debug("Refreshing persistent login token for user '"
					+ token.getUsername() + "', series '" + token.getSeries() + "'");
		}

		PersistentRememberMeToken newToken = new PersistentRememberMeToken(
				token.getUsername(), token.getSeries(), generateTokenData(), new Date());

		try {
			tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),
					newToken.getDate());
			addCookie(newToken, request, response);
		}
		catch (Exception e) {
			logger.error("Failed to update token: ", e);
			throw new RememberMeAuthenticationException(
					"Autologin failed due to data access problem");
		}

		return getUserDetailsService().loadUserByUsername(token.getUsername());
	}
Spring Security 6.x 系列【11】认证篇之记住功能深入解析
记录知识、锤炼自我
04-04 1209
记住我)是比较常见的一种功能,打开一个网站后,如果超过一定的时间未操作,会话过期后需要重新登录。功能可以“记住”当前登录用户,就算会话过期,或者浏览器关闭,下次进入时,不再需要认证,直接自动登录。例如:微信开放平台提供的支持,当开启该功能后,认证通过时,会向浏览器发送一个Cookie保存记住我信息,会话失效后发起请求,服务端发现cookie中存在登录时不会去校验// 开启记住我 http . rememberMe() . alwaysRemember(true);可以使用。
Spring Security 6.x 系列(1)—— 初识Spring Security
热门推荐
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring Security学习之rememberMe自动登录的实现
08-18
主要给大家介绍了关于Spring Security学习之rememberMe自动登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringSecurity记住登录实现过程———【RememberMeServices】分析过程
SunRains
12-09 1650
在上一篇文章《SpringSecurity的认证流程分析(各个组件之间的关联)》介绍认证的基本流程时,其中的AbstractAuthenticationProcessingFilter有这样一个属性——RememberMeService引起我的注意,虽然从字面上很容易理解这个属性是和记住登录有关。但是其中的实现过程又是如何不深入还真不清楚,所以秉着学习的态度专门了解一下Security中对这个功能的实现。 在了解之前,先要清楚为什么会需要这个类来实现?当我们在很多网站上注册...
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1536
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
AbstractRemembermeService logger为null导致登录失败
shandeai520的专栏
10-31 802
故事: 最近架构师带领大家升级一波,突然发现本地没法login了。出大问题。 赶紧回滚到上个版本,我靠也不行,但是线上变没有任何问题啊。 原来,这个登录是这个app专用的,很少有人用,大家都是从别的app跳转过来的。 看来是历史遗留的坑了,但是出了问题就得解决啊。 问题: 首先定位问题,如题AbstractRemembermeService logger为null,导致login...
史上最简单的Spring Security教程(三十七):RememberMe记住我原理剖析
银河架构师的博客
10-20 1781
​用户登录中常用的RememberMe-记住功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对Spring Security框架提供的RememberMe-记住我实现逻辑进行详细讲解,剖析其实现过程。 用户登录 首先,在用户登录时,如果用户勾选了 记住我 选项,则系统会将该用户的一些信息进行处理,以便下次不必登录即可访问系统。在第一次登录时,请求会由 Us...
spring security 源码
05-28
- `RememberMeServices`:处理“记住我”功能,使得在用户关闭浏览器后仍能保持登录状态。查看源码可以理解它是如何持久化用户信息并在后续请求中自动重新认证的。 4. **Spring Security配置** - 配置类:在...
Spring Security实战系列源码解析与运行指南
ssecurity-customFilter项目探讨的是自定义过滤器Spring Security中的运用,而ssecurity-rememberMe项目则是实现记住功能的相关代码。 每个项目源码均可以在开发工具IDEA中运行测试,这强调了代码的可操作性和...
Spring Security登录验证源码深度解析
3. **RememberMeAuthenticationFilter**:支持“记住我”功能,使得用户在一段时间内无需重新登录。 4. **SmsCodeAuthenticationFilter**:用于短信验证码登录,增强了安全性。 5. **SocialAuthenticationFilter**:...
基础4-Spring MVC下整合-remember-me
狼行千里吃肉
09-08 361
关键源码 下面是AbstractRememberMeServices.loginSuccess、rememberMeRequested、onLoginSuccess方法的源码: private String parameter = "remember-me"; public final void loginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulA
爆破专栏丨Spring Security系列教程之基于持久化令牌方案实现自动登录_spring security账户登录暴破
最新发布
2301_82241647的博客
05-04 1008
这时候,我们只需要在登录页面中输入 用户名和密码,勾选“记住我”功能之后,Spring Security就会生成一个持久化令牌,在这个令牌中就保存了当前登陆的用户信息,该令牌信息会被自动持久化存储到persistent_logins表中。已经带各位实现了基于持久化令牌方案的自动登录,你可能很好奇,Spring Security内部到底是怎么进行实现的呢?当我们经过自动登录之后,就可以在persistent_logins表的series和token字段中看到,分别保存了对应的信息。我们看到解码出来的结果。
在使用 Spring Security 的 Remember Me 记住密码功能时遇到的问题和解决方法
啦啦啦啦 la
11-15 5816
在使用 Spring Security 的 Remember Me 记住密码功能时遇到的问题和解决方法 java.lang.IllegalStateException: UserDetailsService is required. 配置信息(Security.java) @Autowired public void configureGlobal(AuthenticationMana
【编程不良人】SpringSecurity实战学习笔记04---RememberMe
Mr.Cui的Java学习之路
08-27 1674
【编程不良人】SpringSecurity实战学习笔记04---RememberMe
SpringSecurity(2)用户状态设置、记住我、用户授权、权限异常处理
zengdongwen的博客
09-11 2094
1、设置用户状态 在我们的数据库表sys_user中,有一个status字段,用来表示用户的状态,表示:有效或无效等。比如有些用户恶意操作,我们需要对它封号,就需要设置一个状态,这样的话,该用户就无法登录了。根据业务需要,可以设置多个状态字段,Spring Security的User对象也为我们封装一个有关用户状态的构造方法,接下来就来了解下该怎么使用吧 1.1 源码分析 用户认证业务里,我们封装Spring Security的org.springframework.security.core.userde
史上最简单的Spring Security教程(三十五):RememberMe记住我之更安全的实现方式-持久化token存储方式PersistentTokenBasedRememberMeServic
银河架构师的博客
10-15 1533
前面介绍的几种RememberMe实现方式,全部都是基于RememberMeServices接口的实现TokenBasedRememberMeServices。此实现是将username、过期时间、password、key等按照一定的规则组合之后取MD5值,之后将此值存在浏览器的Cookie中。 大部分网站的RememberMe 实现方式都是基于此。但是,将用户的 password 存储在浏览器的 Cookie 中, 始终存在隐患,即使难以实现。因此,Spring Security 框架...
Spring Security 自定义TokenBasedRememberMeServices,RememberMe功能失效
keyliwen的博客
02-23 4300
最近在做项目的时候用到了Spring Security,想用它的RememberMe功能,按照官方文档配置后 竟然不起作用,remeber-me的cookie在登录后会正常写到浏览器里,但是重启浏览器后就会丢失, 百思不得姐呀,先看了debug的日志,看到有remember-me的认证日志,发现执行了cancelCookie() 这个方法,也就是说因为某些原因,在重启浏览器后访问时,reme
SpringSecurity记住功能如何实现?含源码分析
黑马程序员官方博客
03-18 1637
spring security提供了"记住我"的功能,来完成用户下次访问时自动登录功能,而无需再次输入用户名密码。下面,我们来通过代码演示该功能的实现——主要是通过配置remember-me标签。 我们通过如下的配置过程来实现“记住我”的功能: 1、搭建maven项目(web工程),引入功能的相关依赖 2、配置web.xml中的springspringsecurity的加载、s...
SpringSecurity 常用配置
JinLiang16353
04-24 336
SpringSecurity 配置详解 登录配置 protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() //1 .and() ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值