Spring Security学习笔记之RememberMeAuthenticationFilter

最新推荐文章于 2024-05-09 16:02:48 发布
最新推荐文章于 2024-05-09 16:02:48 发布
阅读量7.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/py_xin/article/details/52682791
本文详细介绍了Spring Security中的Remember-Me功能,包括其工作原理、配置方法及实现流程。Remember-Me允许用户在登录后保持会话状态,即使关闭浏览器也能自动登录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

RememberMeAuthenticationFilter的作用是, 当用户没有登录而直接访问资源时, 从cookie里找出用户的信息, 如果Spring Security能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统. 它先分析SecurityContext里有没有Authentication对象. 如果有, 则不做任何操作, 直接跳到下一个过滤器. 如果没有, 则检查request里有没有包含remember-me的cookie信息. 如果有, 则解析出cookie里的验证信息, 判断是否有权限.

它的基本配置如下:

<sec:http entry-point-ref="myAuthenticationEntryPoint">
	...
	<sec:custom-filter ref="rememberMeFilter" position="REMEMBER_ME_FILTER"/>
</sec:http>

<sec:authentication-manager alias="authenticationManager">
	<sec:authentication-provider ref="authenticationProvider"/>
	<sec:authentication-provider ref="rememberMeAuthenticationProvider"/>
</sec:authentication-manager>

<bean id="loginAuthenticationFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
	...
	<property name="rememberMeServices" ref="tokenBasedRememberMeServices"></property>
</bean>

<bean id="rememberMeAuthenticationProvider" class="org.springframework.security.authentication.RememberMeAuthenticationProvider">
	<property name="key" value="000016aad72443b3b78af239a0b6bd7c"/>
</bean>

<bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
	<property name="authenticationManager" ref="authenticationManager"></property>
	<property name="rememberMeServices" ref="tokenBasedRememberMeServices"></property>
</bean>

<bean id="tokenBasedRememberMeServices" class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
	<property name="key" value="000016aad72443b3b78af239a0b6bd7c"></property>
	<property name="userDetailsService" ref="userService"></property>
</bean>

注意几点:

1) 在authenticationManager里要加多一个authentication provider -- RememberMeAuthenticationProvider;

2) 要为UsernamePasswordAuthenticationFilter的rememberMeServices属性指定一个实例;

3) RememberMeAuthenticationProvider和TokenBasedRememberMeServices都要为它们的key属性指定一个唯一的值. 这个值可以用应用名加一个不少于36位长度的随机字符串. 这个key是用来识别当前应用的唯一值.

4) 在提交登录表单的时候, 一定要加多一个名的_spring_security_remember_me的参数(这个名字可以改), 值可以是"true", "yes", "on"或"1". 如下:

<form id="loginForm" method="POST" action="my_login">
	姓名: <input type="text" id="my_username" name="my_username"/><br>
	密码: <input type="password" id="my_password" name="my_password"/>
	<input type="button" value="登录" onclick="login()"/><br>
	<input id="_spring_security_remember_me" name="_spring_security_remember_me" type="checkbox" value="true"/>
	<label for="_spring_security_remember_me">Remember Me?</label>
</form>

在Spring Security的过滤器链里, RememberMeAuthenticationFilter是排在UsernamePasswordAuthenticationFilter之后的. 在第一次登录时(如果勾选了remember me), 在验证信息正确后, AbstractAuthenticationProcessingFilter(UsernamePasswordAuthenticationFilter的父类)最后会调用一个叫successfulAuthentication()的方法:

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response,
		Authentication authResult) throws IOException, ServletException {

	if (logger.isDebugEnabled()) {
		logger.debug("Authentication success. Updating SecurityContextHolder to contain: " + authResult);
	}

	SecurityContextHolder.getContext().setAuthentication(authResult);

	// 调用rememberMeServices的loginSuccess()方法.
	rememberMeServices.loginSuccess(request, response, authResult);

	// Fire event
	if (this.eventPublisher != null) {
		eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
	}

	successHandler.onAuthenticationSuccess(request, response, authResult);
}
这个方法会调用rememberMeService的loginSuccess()方法(所以之前我们要在配置文件了为UsernamePasswordAuthenticationFilter配上它的rememberMeService实例). loginSuccess()方法最后会调用onLoginSuccess()方法. 上面我们配置的rememberMeService的实例是TokenBasedRememberMeServices. 现在我们看看它的onLoginSuccess()方法: 

public void onLoginSuccess(HttpServletRequest request, HttpServletResponse response,
		Authentication successfulAuthentication) {

	String username = retrieveUserName(successfulAuthentication);
	String password = retrievePassword(successfulAuthentication);

	// If unable to find a username and password, just abort as TokenBasedRememberMeServices is
	// unable to construct a valid token in this case.
	if (!StringUtils.hasLength(username)) {
		logger.debug("Unable to retrieve username");
		return;
	}

	if (!StringUtils.hasLength(password)) {
		UserDetails user = getUserDetailsService().loadUserByUsername(username);
		password = user.getPassword();

		if (!StringUtils.hasLength(password)) {
			logger.debug("Unable to obtain password for user: " + username);
			return;
		}
	}

	int tokenLifetime = calculateLoginLifetime(request, successfulAuthentication);
	long expiryTime = System.currentTimeMillis();
	// SEC-949
	expiryTime += 1000L* (tokenLifetime < 0 ? TWO_WEEKS_S : tokenLifetime);

	// 把用户名, cookie的过期时间, 登录密码和key组成一个字符串, 然后用MD5加密
	String signatureValue = makeTokenSignature(expiryTime, username, password);

	// 把加密字符串放进cookie里, 然后返回给浏览器
	setCookie(new String[] {username, Long.toString(expiryTime), signatureValue}, tokenLifetime, request, response);

	if (logger.isDebugEnabled()) {
		logger.debug("Added remember-me cookie for user '" + username + "', expiry: '"
				+ new Date(expiryTime) + "'");
	}
}
这个方法主设置了一个cookie在用户的浏览器上, 它包含一个Base64编码的字符串, 包含以下内容:
  • 用户的名字;
  • 过期的日期/时间;
  • 一个MD5的加密字符串, 包括过期日期/时间, 用户名和密码;
  • 应用的key值, 是在TokenBasedRememberMeServices实例的key属性中定义的.
这些内容将通过Base64加密然后组合成一个cookie的值存储在浏览器中以备后用.


此时, 在登录成功后, 我们可以从浏览器里看到返回的信息里多了一个名为SPRING_SECURITY_REMEMBER_ME_COOKIE的cookie信息.



在后面的每个请求里面, request对象里都会附上这个cookie信息,


即使我们登出了, 这个cookie信息还会继续存在,


接着, 如果我们不登录, 而是直接访问页面的话, 它会访问成功. 因为这个时候, RememberMeAuthenticationFilter过滤器将会检查cookie的内容并通过检查是否为一个认证过的remember-me cookie来认证用户.


RememberMeAuthenticationFilter的doFilter()方法如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
		throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;

	// 如果SecurityContext里没有包含Authentication对象
	if (SecurityContextHolder.getContext().getAuthentication() == null) {
	
		// 从request里解析出SPRING_SECURITY_REMEMBER_ME_COOKIE的信息, 然后转成一个RememberMeAuthenticationToken对象
		Authentication rememberMeAuth = rememberMeServices.autoLogin(request, response);

		if (rememberMeAuth != null) {
			// Attempt authenticaton via AuthenticationManager
			try {
				// 再判断rememberMeAuth对象里的key值是否与配置文件里的key值相同
				rememberMeAuth = authenticationManager.authenticate(rememberMeAuth);

				// Store to SecurityContextHolder
				SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);

				onSuccessfulAuthentication(request, response, rememberMeAuth);

				if (logger.isDebugEnabled()) {
					logger.debug("SecurityContextHolder populated with remember-me token: '"
						+ SecurityContextHolder.getContext().getAuthentication() + "'");
				}

				// Fire event
				if (this.eventPublisher != null) {
					eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
							SecurityContextHolder.getContext().getAuthentication(), this.getClass()));
				}

				if (successHandler != null) {
					successHandler.onAuthenticationSuccess(request, response, rememberMeAuth);

					return;
				}

			} catch (AuthenticationException authenticationException) {
				if (logger.isDebugEnabled()) {
					logger.debug("SecurityContextHolder not populated with remember-me token, as "
							+ "AuthenticationManager rejected Authentication returned by RememberMeServices: '"
							+ rememberMeAuth + "'; invalidating remember-me token", authenticationException);
				}

				rememberMeServices.loginFail(request, response);

				onUnsuccessfulAuthentication(request, response, authenticationException);
			}
		}

		chain.doFilter(request, response);
	} else {
		if (logger.isDebugEnabled()) {
			logger.debug("SecurityContextHolder not populated with remember-me token, as it already contained: '"
				+ SecurityContextHolder.getContext().getAuthentication() + "'");
		}

		chain.doFilter(request, response);
	}
}
它首先解析出cookie里的remember-me信息, 然后从数据库拿出用户的信息,  再比较两个信息是否一致, 来完成验证.

这里要注意 authenticationManager.authenticate(rememberMeAuth) 这个方法, 它会轮流调用authenticationManager里所有的AuthenticationProvider来进行验证. 而只有RememberMeAuthenticationProvider才能验证remember-me信息, 所有上面的配置文件里, 我们要为authenticationManager配多一个authentication-provider的实例 -- RememberMeAuthenticationProvider.

---------------------------------------

浏览器里的cookie信息什么时候会消失:

1) cookie自动过期

2) 手动清除浏览器的cookie信息(关闭浏览器不会自动清除cookie)

3) 登录一次失败后, 之前cookie里的remember-me信息会消失. (这个估计是RequestCacheAwareFilter的原因, 具体原因以后再补充)

py_xin
关注
SpringSecurity5.7从入门到精通全套教程-入门篇
weixin_46040278的博客
04-26 3569
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
SpringBoot + Spring Security 学习笔记记住我功能实现
Candour_0的博客
01-13 311
SpringBoot + Spring Security 学习笔记记住我功能实现
Spring Security3源码分析-RememberMeAuthenticationFilter分析
Dead_Knight的专栏
05-06 244
RememberMeAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter 看主要的doFilter方法 [code="java"] public void doFilter(ServletReq...
史上最简单的Spring Security教程(三十六):RememberMeAuthenticationFilter详解
银河架构师的博客
10-19 1442
前面我们讲了记住我登录方式,以及和其它登录方式相融合的多种登录形式,想必对记住我登录方式有了一个大致清晰的了解。本次我们就来说一下其中一个比较重要的Filter,即RememberMeAuthenticationFilterRememberMeAuthenticationFilter是记住我登录方式比较重要的类,其主要功能有自动登录、身份认证、登录成功、事件发布、异常处理/登录失败等。 另外,重要的一点是,该 Filter 执行有一个条件,就是当前用户尚未认证。 if...
Spring Security Web 5.1.2 源码解析 -- RememberMeAuthenticationFilter
Details Inside Spring
12-10 770
概述 检测SecurityContext是否已经有一个Authentication对象。如果没有,并且开启了remember-me认证机制的话,就会往SecurityContext里面填充一个RememberMeAuthenticationToken Authentication。 认证成功的话,会向应用上下文发布事件InteractiveAuthenticationSuccessEvent。 另...
springsecurity 源码解读 之 RememberMeAuthenticationFilter
weixin_33885253的博客
04-05 171
RememberMeAuthenticationFilter 的作用很简单,就是用于当session 过期后,系统自动通过读取cookie 让系统自动登录。 我们来看看Springsecurity的过滤器链条。 我们发现这个RememberMeAuthenticationFilter 在 匿名构造器之前,这个是为什么呢? 还是从源码来分析: if (SecurityContex...
SpringSecurity中文文档—Authentication—Remember Me
Logger
03-16 1644
Remember-me或persistent-login authentication 指的是网站能够在会话之间记住主体的身份。这通常是通过向浏览器发送cookie来实现的,在未来的会话中会检测到cookie,并导致自动登录。Spring Security为这些操作提供了必要的hooks ,并有两个具体的Memory me实现。一种使用哈希来保护基于cookie的令牌的安全性,另一种使用数据库或其他持久存储机制来存储生成的令牌。 请注意,这两种实现都需要UserDetailsService。如果您使用的身份
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity入门(二)
仰望星空
01-18 1039
前言:这是本人在学习  Spring Security技术栈开发企业级认证与授权 第四章 使用SpringSecurity开发基于表单的登陆 课程时做的笔记,供复习之用,不会很全. 目录 第一章: 图片验证码 1.1 生成图形验证码 1.1.1 根据随机数生成图片 1.1.2 将随机数写入session中 1.1.3 将生成的图片写入接口的响应中 1.1.4 定义自己的异常 1.1...
【编程不良人】SpringSecurity实战学习笔记01---权限管理、环境搭建
亚索@哈塞给
10-23 371
【编程不良人】SpringSecurity 最新实战教程,更新中…_哔哩哔哩_bilibiliSpring Security是一个功能强大、可高度定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。Spring Security是一个面向Java应用程序、提供身份验证和安全性的框架。与所有Spring项目一样,Spring Security的真正威力在于它可以轻松地扩展以满足定制需求。**总结:**Spring Security是一个功能强大、可高度定制的身份验证和访问控制。
spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法
小伍的程序之路
04-14 951
spring security 在使用自定义的AuthenticationFilter时,提示Invalid remember-me cookie,自动登录失败的解决方法 后台日志报错提示 Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’ 我自定义了一个Login
Shiro之UsernamePasswordToken&RememberMeAuthenticationToken&AuthenticationToken
优质后端技术知识记录
01-15 2726
继承关系 先看一下三者的继承关系,会有一个比较清楚的认识 AuthenticationToken AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码)。Shiro会调用CredentialsMatcher对象的doCredentialsMatch方法对AuthenticationInfo对象和AuthenticationToken进行匹配。匹配...
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2676
Spring Security 之 RememberMe
【深入浅出 Spring Security(七)】RememberMe的实现原理详讲
qq_63691275的博客
06-09 2205
RememberMe 实质呢就是将令牌以 Cookie 的形式响应给浏览器,然后浏览器进行了本地存储,等下次再次访问资源的时候,即会拿该令牌连请求一起到服务器端,令牌会使得后台进行自动登录(即用户认证)。
SpringSecurity源码分析(RemeberMe)
最新发布
moernagedian的博客
05-09 527
记住我的服务的接口可以重写实现自己的记住我记住我基类在请求中找到 Spring Security 记住我 cookie 并返回其值。当MaxAge为0时候表示删除cookie解码 cookie 并使用 “:” 分隔符将其拆分为一组令牌字符串。由子类实现,整个autoLogin是一个模板方法返回的最终 Authentication 对象校验过期时间->生成签名并与cookieTokens中进行比较默认实现InMemory,还提供了JDBC。
Spring Security 自定义记住我功能!
weixin_52834606的博客
09-03 1950
spring security 前后端分离 自定义 RememberMe
spring-security(二十三)Remember-Me认证
高枫的博客
03-09 692
前言: Remember-me认证方式指的是能在不同的会话间记录用户认证信息的功能。通常通过向客户端发送一个cookie,在以后用户访问网站时通过这个cookie中的信息来自动登录实现。spring security 已经为我们提供了必要的hooks实现这个功能,并提供了两种具体的实现。一种是cookie中token包含了所有认证所需信息,并通过hash算法来保护这个token,另一种通过数...
Spring Security RememberMe 记住密码自动登录过程源码分析
weixin_45114101的博客
03-04 5398
Spring Security RememberMe 记住密码自动登录过程源码分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值