《Spring Security3》第三章第三部分翻译上(Remember me安全吗?)

最新推荐文章于 2024-10-07 21:24:38 发布
最新推荐文章于 2024-10-07 21:24:38 发布
阅读量645 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/neveremind158/article/details/26608905
本文介绍了一种在SpringSecurity中使用自定义IP地址绑定的RememberMe服务实现方式,通过扩展TokenBasedRememberMeServices来增强安全性,确保记住登录状态的同时验证用户的IP地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

《Spring Security3》第三章第三 部分翻译下(Remember me 安全吗?)

 

 


 

 

<intercept-url pattern="/account/*.do"
   access="hasRole('ROLE_USER') and fullyAuthenticated"/>
<intercept-url pattern="/*" access="hasRole('ROLE_USER')"/>

 

 

public class IPTokenBasedRememberMeServices extends
    TokenBasedRememberMeServices {

 

 

 

private static final ThreadLocal<HttpServletRequest> requestHolder = 
new ThreadLocal<HttpServletRequest>();
public HttpServletRequest getContext() {
    return requestHolder.get();
}
public void setContext(HttpServletRequest context) {
    requestHolder.set(context);
}
 

 

protected String getUserIPAddress(HttpServletRequest request) {
  return request.getRemoteAddr();
}

 

 

@Override
public void onLoginSuccess(HttpServletRequest request,
    HttpServletResponse response,
    Authentication successfulAuthentication) {
  try
  {
    setContext(request);
    super.onLoginSuccess(request, response, successfulAuthentication
  }
  finally
  {    setContext(null);
  }
}

 

 

@Override
protected String makeTokenSignature(long tokenExpiryTime, 
    String username, String password) {
    return DigestUtils.md5DigestAsHex((username + ":" + 
tokenExpiryTime + ":" + password + ":" + getKey() + ":" + getUserIPAdd
ress(getContext())).getBytes()); 
}

 

 

@Override
protected void setCookie(String[] tokens, int maxAge,
  HttpServletRequest request, HttpServletResponse response) {
  // append the IP adddress to the cookie
  String[] tokensWithIPAddress = 
      Arrays.copyOf(tokens, tokens.length+1);
  tokensWithIPAddress[tokensWithIPAddress.length-1] = 
      getUserIPAddress(request);
  super.setCookie(tokensWithIPAddress, maxAge, 
      request, response);
}

 

 

 

@Override
protected UserDetails processAutoLoginCookie(
  String[] cookieTokens,
  HttpServletRequest request, HttpServletResponse response) 
{
  try
  {
    setContext(request);
  // take off the last token
    String ipAddressToken = cookieTokens[cookieTokens.length-1];
    if(!getUserIPAddress(request).equals(ipAddressToken))
    {
          throw new InvalidCookieException("Cookie IP Address did not 
contain a matching IP (contained '" + ipAddressToken + "')");
    }
      
    return super.processAutoLoginCookie(Arrays.copyOf(cookieTokens, 
cookieTokens.length-1), request, response);
  }
  finally
  {
    setContext(null);
  }
}

 

 

 

<bean class="com.packtpub.springsecurity.security.IPTokenBasedRememberMeServices" id="ipTokenBasedRememberMeServicesBean">
  <property name="key"><value>jbcpPetStore</value></property>
  <property name="userDetailsService" ref="userService"/>
</bean>

 

 

<remember-me key="jbcpPetStore" 
   services-ref="ipTokenBasedRememberMeServicesBean"/>

 

 

<user-service  id="userService">

 

 

 

 

 

<bean class="com.packtpub.springsecurity.web.custom.
IPTokenBasedRememberMeServices" id="ipTokenBasedRememberMeServicesBean">
<property name="key"><value>jbcpPetStore</value></property>
  <property name="userDetailsService" ref="userService"/>
  <property name="parameter" value="_remember_me"/>
  <property name="cookieName" value="REMEMBER_ME"/>
</bean>
 

 

 

1 楼 tywo45 2012-07-03  
这个适用于spring security3.1.0吗?好像不适用。
2 楼 tywo45 2012-07-03  
适用,刚才我有个setCookie方法没有copy进去。

详细请点击:http://www.verydemo.com/demo_c143_i13501.html

neveremind158
关注
Spring Security 6.x 系列(16)—— Remember Me 自定义配置及源码分析
gmHappy
01-05 2900
Remember Me(记住我)是一种常见功能,打开一个网站后,如果超过长时间未操作,会话过期后需要重新登录。Remember Me 功能可以“记住”当前登录用户,就算会话过期,或者浏览器关闭,下次进入网站时,不再需要重新认证,直接自动登录。
Spring Security3
xbcai1的博客
07-28 285
记住我 ,过滤器
SpringSecurity(八)【RememberMe记住我】
Vinjcent
11-17 1840
RememberMe 这个功能非常常见,无论是在 QQ、邮箱…都有这个选项。提到 RememberMe,往往会有一些误解,认为 RememberMe 功能就是把 用户名/密码 用 Cookie 保存在浏览器中,下次登陆时不用再次输入 用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户的会话超时过期,就要再次登录,这样太过于繁琐。如果有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多。Remembe
跟我学spring security系列文章第三章 Remember Me功能
lucasma的博客
07-14 1315
文章目录示例实现原理分析 源码地址: https://github.com/pony-maggie/spring-security-learn remember me(记住我)这个功能大家都很熟悉,现在各大网站用得很普遍。当我们勾选了这个功能并且登录成功后,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。 本文会实现一个基本的remember me功能,并且简单分析...
ThreadLocal详解(AtomicInteger相关)
俊墨客
07-08 1276
ThreadLocal详解: . 注意, 本文是以熟悉HashMap源码为前提下开讲, 如果不熟悉HashMap的数据结构, 可以先行了解HashMap再来理解本文. . 本文以JDK1.7进行讲解. 在学习Handler机制的过程中, 了解到Looper的成员属性消息队列MessageQueue是通过ThreadLocal实现了每个线程只有一个Looper对象, 每个Looper对象只有一个Me...
token值 记住密码_史上最简单的Spring Security教程(三十七):RememberMe记住我原理剖析...
weixin_39883260的博客
11-29 778
用户登录中常用的RememberMe-记住我功能,通俗来讲,即用户成功登录一次以后,系统自动记住该用户一段时间(可配置,Spring Security 框架默认为两周)。而在此时间段内,用户不必重新登录即可访问系统资源。本文即对 Spring Security 框架提供的 RememberMe-记住我 实现逻辑进行详细讲解,剖析其实现过程。用户登录首先,在用户登录时,如果用户勾选了 记住...
Spring Security3》第四章第四部分翻译Remember me后台存储和SSL)附前四章doc文件
03-26
Spring Security3》第四章第四部分主要探讨了Remember me服务的后台存储机制以及如何结合SSL(Secure Sockets Layer)来增强应用的安全性。这一部分的知识点涵盖了Spring SecurityRemember me的功能,用户身份...
Spring Security 构建rest服务实现rememberme 记住我功能
08-27
"Spring Security 构建 REST 服务实现 RememberMe 记住我功能" Spring Security 是一个功能强大且灵活的安全框架,广泛应用于 Java Web 应用程序中。在本文中,我们将介绍如何使用 Spring Security 构建 REST 服务...
Spring SecurityRememberMe
最新发布
Evan_L的博客
10-07 1240
其实就是“记住我”功能。在我们工作/生活中,总会存在被打断的情况,临时需要去做其他事情。而当我们想回来继续处理的时候,通常都会发现,网页已经退出登录态了。也就是开发同学常说的,session超时了。而“记住我”则可以完美解决该问题。除此之外,对于移动端的APP而言,也有同样的妙用。可以让用户长时间保持登录态。“记住我”意味着,只要用户不是主动退出的,都应该认为用户还处于登录态。RememberMe可以作为保持登录态的一种手段,减少用户频繁使用系统的操作。
Spring Security3
07-02
综上所述,Spring Security3不仅提供了一整套强大的安全解决方案,还允许开发者根据具体的应用需求进行高度的定制化。无论是基础的安全配置还是高级的扩展功能,Spring Security都能满足各种复杂的安全需求。
SpringBoot集成Spring Security3)—— 自动登录1
风清云淡
11-25 712
一、前言 本篇文章来看下利用Spring Security实现自动登录功能,并且简单了解其内部细节。 Spring Security自动登录实现本质其实也是利用cookie,那关于cookie的shijiuhua
SpringSecurity记住我功能如何实现?含源码分析
黑马程序员官方博客
03-18 1648
spring security提供了"记住我"的功能,来完成用户下次访问时自动登录功能,而无需再次输入用户名密码。下面,我们来通过代码演示该功能的实现——主要是通过配置remember-me标签。 我们通过如下的配置过程来实现“记住我”的功能: 1、搭建maven项目(web工程),引入功能的相关依赖 2、配置web.xml中的springspringsecurity的加载、s...
TokenBasedRememberMeServices 加密解密
fendou4533的专栏
05-25 1916
代码来自  http://java2s.com/Open-Source/Java/Security/acegi-security/org/acegisecurity/ui/rememberme/TokenBasedRememberMeServices.java.htm
Spring Security学习笔记之RememberMeAuthenticationFilter
py_xin的博客
09-28 7474
基本配置如下: ...
实施Remember-Me认证(3)
野皇
05-01 243
  实施Remember-Me认证 原文: http://tech.it168.com/j/2007-11-05/200711051740968_2.shtml   一、Remember-Me认证功能介绍 很多网站的用户登录页面都提供了一个类似于“两周内不用再登录”、“记住我的帐号”等功能,其原理是在用户登录成功后使用客户端浏览器的Cookie记录用户登录信息,当下次再访问相同站点时,直接...
spring security初探之Remember-me源码解析
cjのice_bear
03-30 1920
希望优快云能解决一个用户只能打开一个编辑器的问题,辛辛苦苦写的文字突然就没有了。 重新来过吧。说说Remember-me简单的说,Remember-me就是记住用户,下次登陆的时候不用密码也能登陆。实现这个功能主要是依靠cookie,因为Http是无状态协议,所以我们需要一个替服务端保存登陆状态的小饼干,这个小饼干就是cookie。源码分析初次登陆的Remember-me我们知道,用户初次登陆时候
Spring Security:自动登录
​​
05-27 671
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 中如何实现这个功能。 实战代码 首先,要实现记住我这个
Spring Security 自定义TokenBasedRememberMeServices,RememberMe功能失效
keyliwen的博客
02-23 4319
最近在做项目的时候用到了Spring Security,想用它的RememberMe功能,按照官方文档配置后 竟然不起作用,remeber-me的cookie在登录后会正常写到浏览器里,但是重启浏览器后就会丢失, 百思不得姐呀,先看了debug的日志,看到有remember-me的认证日志,发现执行了cancelCookie() 这个方法,也就是说因为某些原因,在重启浏览器后访问时,reme
Spring Security3官方翻译:深度探索安全实践
"Spring Security3 官方推荐书籍的中文翻译,由张卫滨翻译,深入讲解Spring Security3安全框架知识。" Spring Security是Java平台上广泛使用的安全框架,它提供了全面的认证、授权以及Web安全解决方案。Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值