spring security中Remembers me 记住我基本原理

原创 已于 2024-08-30 14:47:48 修改 · 1.6k 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

于 2024-08-30 14:25:12 首次发布

    实现思路:通过 Cookie 来记录当前用户身份。当用户登录成功之后,会通过一定算法,将用户信息、时间戳等进行加密,加密完成后,通过响应头带回前端存储在cookie中,当浏览器会话过期之后,如果再次访问该网站,会自动将 Cookie 中的信息发送给服务器,服务器对 Cookie中的信息进行校验分析,进而确定出用户的身份,Cookie中所保存的用户信息也是有时效的,例如三天、一周等

一、基本使用

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()// 表单登录
                .and()
                .rememberMe() // 记住我功能
                .and()
                .csrf().disable();
    }

1.1 开启后的效果

如果打开配置后,那么默认的登录页面就会出现记住我的checkbox选择框,我们在配置文件设置session 1分钟过期,先不勾选记住我

server:

  port: 8081

  servlet:

    session:

      timeout: 1m

1.2 未勾选记住我,我们查看cookie 里面的信息

这个时候cookie 里面只有一个jsessionId 

1.3 勾选记住我后,登录后我们等待一分钟

      我们等待一分钟后,重新登录,勾选记住我后,登录后查询cookie 里面是否有变化,里面多了一项remember-me,后续登录一分钟后,刷新接口 /hello 也没有掉线

二、实现原理

通过开启rememberme功能后,会往filter中注入RememberMeAuthenticationFilter 过滤器

1、请求到达过滤器之后,首先判断 SecurityContextHolder 中是否有值,没值的话表示用户尚未登录,此时调用 autoLogin 方法进行自动登录。

2、当自动登录成功后返回的rememberMeAuth 不为null 时,表示自动登录成功,此时调用 authenticate 方法对 key 进行校验,并且将登录成功的用户信息保存到SecurityContextHolder 对象中,然后调用登录成功回调,并发布登录成功事件。需要注意的是,登录成功的回调井不包含 RememberMeServices 中的 loginSuccess 方法

3、如果自动登录失败,则调用 remenberMeServices.loginFail方法处理登录失败回调。onUnsuccessfulAuthentication 和onSuccessfulAuthentication 都是该过滤器中定义的空方法,并没有任何实现这就是 RememberMeAuthenticalionFilter 过滤器所做的事情,成功将 RememberMeServices的服务集成进来。

2.1 RememberMeServices

这里一共定义了三个方法:

1. autoLogin 方法可以从请求中提取出需要的参数,完成自动登录功能

2  loginFail 方法是自动登录失败的回调。

3、lginSuccess 方法是自动登录成功的回调。

2.2  TokenBasedRememberMeServices

在开启记住我后如果没有加入额外配置默认实现就是由TokenBasedRememberMeServices进行的实现。查看这个类源码中 processAutoLoeinCookie 方法实现

总结:processAutoLoginCookie 方法主要用来验证 Cookie 中的令牌信息是否合法:
1. 首先判断 cookieTokens 长度是否为3,不为3说明格式不对,则直接抛出异常。
2. 从cookieTokens 数组中提取出第1个值,也就是过期时间,判断令牌是否过期,如果己经过期,则抛出异常。
3. 根据用户名cookieTokens 数组的第0项)查询出当前用户对象。
4. 调用makeTokenSignature 方法生成一个签名,签名的生成过程如下:首先将用户名、令牌过期时间、用户密码以及 key 组成一个宇符串,中间用“:”隔开,然后通过MD5消息摘要算法对该宇符串进行加密,并将加密结果转为一个字符串返回
5. 判断第4步生成的签名和通过 Cookie 传来的签名是否相等(即 cookieTokens 数组的第2项),如果相等,表示令牌合法,则直接返回用户对象,否则抛出异常

2.3 记住我原理图

登录:

 1org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication

org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#doFilter(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse, javax.servlet.FilterChain)

 org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#successfulAuthentication

org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices#loginSuccess

org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices#rememberMeRequested 是否开启了记住我功能

org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices#onLoginSuccess  默认实现

org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices#onLoginSuccess

org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices#setCookie 基于用户名密码生成cookie,默认两周

会话过期,如何自动生成一个cookie

org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter#doFilter(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse, javax.servlet.FilterChain)

org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices#processAutoLoginCookie  基于解析用户名后,重新从UserDetails userDetails = this.getUserDetailsService().loadUserByUsername(cookieTokens[0]); 获取一次userDetail对象

三、内存令牌 PersistentTokenBasedRememberMeServices

1、不同于TokonBasedRemornberMeServices 中的 proce5sAutologinCookie 方法,这里1cookieTokens数组的长度为2,第一项是series,第二项是token。
2、从cookieTokens数组中分到提取出 series 和 token. 然后根据 series 去内存中查询出-个PersistentRememberMeToken对象。如果查询出来的对象为null,表示内存中并没有series对应的值,本次自动登录失败。如果查询出来的 token 和从cookieTokens 中解析出来的token不相同,说明自动登录会牌已经泄澜 恶意用户利用令牌登录后,内存中的token变了),此时移除当前用户的所有自动登录记录并抛出异常。
3、根据数据库中查询出来的结果判断令牌是否过期,如果过期就抛出异常。
4、生成一个新的 PersistentRememberMeToken 对象,用户名和series 不变,token 重新生成,date 也使用当前时间。newToken 生成后,根据 series 去修改内存中的 token和date(即每次自动登录后都会产生新的 token 和 date)
5、调用 addCookie 方法添加 Cookie, 在addCookie 方法中,会用到我们前面所说的setCookie 方法,但是要注意第一个数组参数中只有两项: series和 token (即返回到前端的令牌是通过对 series 和 token 进行 Base64 编码得到的)
最后将根据用户名查询用户对象井返回

3.1 内存中实现

@Bean
    public RememberMeServices rememberMeServices() {
        return new PersistentTokenBasedRememberMeServices("key"// 定义一个生成令牌的key
                ,userDetailsService()    //认证数据源
                ,new InMemoryTokenRepositoryImpl()  // 令牌存储方式
        );
}

   @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .rememberMe()//开启记住我的功能
                .rememberMeServices(rememberMeServices())
                .and()
                .csrf().disable();
    }

四、持久化令牌

   为什么会有这个呢,如果令牌在内存中,当系统重启之后,用户又需要重新登录,那么如果我将令牌信息保存到数据库中,下次直接从数据库获取,这样就可以实现系统重启后,不影响免登陆;

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.3</version>
</parent>
<dependencies>
        <!-- web 支持 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- SpringSecurity依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!-- thymeleaf 模板 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

        <!-- thymeleaf 模板 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>

        <!-- 简化get set 方法-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.30</version>
        </dependency>

        <!-- 各种工具类包 -->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.8.11</version>
        </dependency>


        <!-- mybatis 支持 -->
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>

        <!-- mysql 驱动 -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.30</version>
        </dependency>

    </dependencies>


    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

4.1 添加数据源

@Configuration
@Slf4j
@MapperScan(basePackages = MySqlDataSourceConfig.PACKAGE, sqlSessionFactoryRef = "mysqlSqlSessionFactory" )
public class MySqlDataSourceConfig {


    static final String PACKAGE = "com.fashion.mapper.mysql";
    static final String MAPPER_LOCATION = "classpath:mybatis/mapper/mysql/*.xml";


    /**
     *  配置数据源
     * @return
     */
    @Primary
    @Bean
    public DataSource mysqlDataSource(){
        HikariDataSource dataSource = new HikariDataSource();
        dataSource.setJdbcUrl("jdbc:mysql://127.0.0.1:3306/test_rbac");
        dataSource.setDriverClassName("com.mysql.cj.jdbc.Driver");
        dataSource.setUsername("root");
        dataSource.setPassword("12345");
        return dataSource;
    }

    @Primary
    @Bean
    public SqlSessionFactory mysqlSqlSessionFactory(@Autowired DataSource mysqlDataSource){
        SqlSessionFactoryBean sessionFactory = new SqlSessionFactoryBean();
        try {
            sessionFactory.setDataSource(mysqlDataSource);
            //sessionFactory.setConfigLocation(new ClassPathResource("/mybatis/mybatis-config.xml"));
            sessionFactory.setMapperLocations(
                    new PathMatchingResourcePatternResolver().getResources(MySqlDataSourceConfig.MAPPER_LOCATION));
            return sessionFactory.getObject();
        } catch (Exception e) {
            log.error("mysql数据源初始化失败",e);
        }
        return null;
    }

4.2 设置PersistentTokenRepository存储方式

 repository.setCreateTableOnStartup(true); 为启动时候自动创建表结构,不需要手动创建表

@Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl repository = new JdbcTokenRepositoryImpl();
        repository.setDataSource(mysqlDataSource);
        repository.setCreateTableOnStartup(true);//自动创建表结构
        return repository;
}


  @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .rememberMe()//开启记住我的功能
                //.rememberMeServices(rememberMeServices())  // 指定rememberMeServices 实现
                .tokenRepository(persistentTokenRepository()) //持久化令牌
                .and()
                .csrf().disable();
    }

4.3  查看数据库表是否自动创建成功

4.4 登录后时候勾选记住我

test_remember  密码12345

4.5 一分钟后,刷新查看结果

    当设置session 过期时间为1分钟的时候,再刷新,看库里面的值是不是有变化,然后重启,再访问 /hello接口,看是否可以直接登录上

通过结果,我们看到token 已经变了,更新时间也变了

4.6  重启报错问题处理

   当重启时候报这个错误的时候,是因为我们设置了自动创建表结构,当我们在第一次创建成功后,就把该设置关闭 //repository.setCreateTableOnStartup(true);//自动创建表结构

过了一分钟后再看数据库和前端是否有更新

下一篇将介绍如何实战使用自定义页面记住我的功能,已经在前后端分离如何实现

AI原生应用领域短期记忆的关键作用与实现原理
AI天才研究院
07-09 633
我们常说“AI越来越聪明”,但“聪明”的前提是“能记住”——记住当前任务的上下文。聊天机器人要记住“你刚才说‘我感冒了’”,才能接着问“有没有发烧?自动驾驶要记住“1秒前前方车辆踩了刹车”,才能及时减速;代码助手要记住“你正在写Python的循环”,才能推荐正确的语法。这些“临时记住的信息”,就是AI的短期记忆用“生活比喻”讲清短期记忆的核心价值;用“代码+数学”拆解短期记忆的实现逻辑;用“实战案例”展示短期记忆在AI原生应用中的具体用法。
Spring Security之RememberMe
Evan_L的博客
10-07 1239
其实就是“记住我”功能。在我们工作/生活中,总会存在被打断的情况,临时需要去做其他事情。而当我们想回来继续处理的时候,通常都会发现,网页已经退出登录态了。也就是开发同学常说的,session超时了。而“记住我”则可以完美解决该问题。除此之外,对于移动端的APP而言,也有同样的妙用。可以让用户长时间保持登录态。“记住我”意味着,只要用户不是主动退出的,都应该认为用户还处于登录态。RememberMe可以作为保持登录态的一种手段,减少用户频繁使用系统的操作。
springSecurity-记住我(Remember me)
weixin_54097396的博客
04-18 1244
Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。二.流程分析在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下:1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创建Token。
Spring Security 6 【6-记住我功能】
最新发布
csdn_tom_168的博客
06-29 549
Spring Security 6 的"记住我"功能实现指南摘要(146字): Spring Security 6提供了两种"记住我"功能实现方式:推荐使用基于持久化令牌的方案(需配置数据库表)和简单的基于签名Cookie方案。配置通过HttpSecurity的rememberMe()方法实现,可设置有效期、Cookie名称等参数。持久化方案需要创建persistent_logins表存储令牌信息。前端需在登录表单添加remember-me复选框。文章还展示了如何自定
Spring Security 的 RememberMe 详解 !!!!!
weixin_52834606的博客
09-03 3948
spring security 记住我 rememberMe
Spring Security记住我’ 功能
小汤圆
08-10 419
Spring Security记住我功能
七.Spring Security-记住我(Remember me)
qq_32115993的博客
10-22 786
七.记住我 - Remember me 一.记住我概述 1.1.什么是记住我 Remember me(记住我)记住我,当用户发起登录勾选了记住我,在一定的时间内再次登录就不用输入用户名和密码了,即使浏览器退出重新打开也是如此。 1.2.流程分析 在SpringSecurity中提供RememberMeAuthenticationFilter过滤器来实现记住我功能,其核心流程如下: 1.认证成功UsernamePasswordAuthenticationFilter会调用RememberMeServices创
Pepperidge农场记得「Pepperidge Farm Remembers」-crx插件
03-15
因为我认为维基百科可以用其他方式赚钱,这个扩展允许用户摆脱维基百科乞讨的大旗。 支持语言:English
Pepperidge Farm Remembers-crx插件
04-04
这个过程体现了前端开发中的动态DOM操作和响应式设计原理。 在安全性和隐私保护方面,用户在安装任何扩展时都需要谨慎。"Pepperidge Farm Remembers-crx"插件由于其特定的功能,理论上并不需要访问用户的个人信息,...
2020年高中英语语法填空专题分类训练:定语从句(含详解).docx
11-26
2. 关系代词在从句中可以作主语、宾语或定语,例如:"Felicity Killer, a 32-year-old British woman, who has a Chinese husband, still remembers the excitement…" 这里"who"作主语。 3. "whom"通常用作宾格,...
Pepperidge Farm Remembers: 自定义CRX插件功能介绍
从给定的文件信息中,我们可以了解到一个特定的Chrome扩展程序——"Pepperidge Farm Remembers-crx插件"的相关知识点。以下是关于该插件的具体介绍。 ### 标题知识点: **Pepperidge Farm Remembers-crx插件** - ...
SpringSecurity(八)【RememberMe记住我】
Vinjcent
11-17 1832
RememberMe 这个功能非常常见,无论是在 QQ、邮箱…都有这个选项。提到 RememberMe,往往会有一些误解,认为 RememberMe 功能就是把 用户名/密码 用 Cookie 保存在浏览器中,下次登陆时不用再次输入 用户名/密码。这个理解显然是不对的。我们这里所说的 RememberMe 是一种服务器端的行为。传统的登录方式基于 Session 会话,一旦用户的会话超时过期,就要再次登录,这样太过于繁琐。如果有一种机制,让用户会话过期之后,还能继续保持认证状态,就会方便很多。Remembe
SpringSecurity(七)添加记住我功能
lizc_lizc的博客
11-14 1694
记住基本原理 用户认证成功后调用RemeberMeService服务,这个服务里有一个TokenRepository,它会生成一个Token写入浏览器Cookie,同时它还会使用TokenRepository将Token和用户名写入到数据库中。 当用户再次访问系统时,过滤器链如下所示,请求会经过RememberMeAuthenticationFilter过滤器,该过滤器会读取cookie...
SpringSecurity---Remember Me
gaoqiandr的博客
09-19 567
本文主要介绍的是Security中的Remember Me
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1561
RememberMe记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
SpringSecurity实现记住
初栀的博客
09-12 486
一、实现原理 当浏览器登录认证成功后,RememberMeService会加密一串Token传给浏览器,存入cookie中,再写入数据库,下一次浏览器访问时,RememberMeAuthenticationFilter就会读取cookie中的Token,由RememberMeService从数据库查找对应的Token来进行比较,相同则自动登录 二、实现代码 2.1、配置类:注入数据源,配置操作数据对象 注:如果没有创建表,第一次运行使用setCreateTableOnStartup这个方法自.
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2676
Spring Security 之 RememberMe
Spring Security 记住
白石的专栏
12-05 386
本教程将展示**如何**使用 Spring Security 在 Web 应用程序中启用和配置记住我功能。
Spring Security中remember me
北辰
11-22 241
持久化remember me,需要在数据库中创建一张表,注意这张表的名称和字段都是固定的,不用修改 create table 'persistent_logins'( 'username' varchar(64) NOT NULL, 'series' varchar(64) NOT NULL, 'token' varchar(64) NOT NULL, 'last_used' timestamp NOT NULL, PRIMARY KEY('series') )E
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星空寻流年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值