记录SSM项目集成Spring Security 4.X版本 之 加密验证和记住我功能

已于 2024-03-25 15:20:19 修改
阅读量1.2k 收藏 23
点赞数 24
文章标签: spring java 后端
于 2024-02-29 00:38:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u011529483/article/details/136339908
版权

目录

前言

一、用户登录密码加密认证

二、记住我功能

前言

本次笔记的记录是接SSM项目集成Spring Security 4.X版本 之 加入DWZ,J-UI框架实现登录和主页菜单显示-优快云博客icon-default.png?t=N7T8https://blog.youkuaiyun.com/u011529483/article/details/136255768?spm=1001.2014.3001.5502

文章之后补全spring-security登录时用户认证进行密码加密验证和实现记住我功能。

一、用户登录密码加密认证

1. 修改上一篇文章中的项目wqdemotwo的spring-security.xml配置文件

打开如下标红的两处配置:

什么意思呢?

<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></bean> 是在配置文件中声明一个bean,实现BCryptPasswordEncoder类。

<security:password-encoder ref="passwordEncoder"/> 是将声明的bean “passwordEncoder” 注入到 authentication-provider 中去。对应的 AuthenticationProvider 类是认证提供者。此处指定了myUserDetailsService 服务类(获取用户详情,如 用户名,密码等)

2. 生成加密后的密码,实现登录认证

进入加密算法实现类:BCryptPasswordEncoder

进入接口:PasswordEncoder

encode()方法对明文密码进行加密。我们调用这个方法对数据库中的密码进行加密:

此处我随意找一个类生成加密密码:就 LoginController 类吧

运行项目生成加密密码:$2a$10$n/q4O15Lg9d1WvelfRu9i.qrgE5iVjTeD4.hXAqsLZaGRmTKoGxtK录入到数据库中。

完成,现在重新启动项目查看登录效果:用户:zhangsan,密码:123456

系统登录成功:

执行loadUserByUsername查询用户详情方法后,后台打印结果,密码加密了。

3. 补充说明

总结一下:整个登录认证过程中我们并没有做密码的对比校验,但是密码输入错误是无法登录认证成功的。这是因为密码比对交由 SpringSecurity 处理了,登录页面传入 用户名 通过详情查询方法loadUserByUsername 获取了UserDetails(得到了数据库中的用户名和密码)然后返回给了SpringSecurity 进行密码校验。

spring-security.xml 配置文件中注入了AuthenticationManager 身份验证管理器类,AuthenticationProvider认证提供者类,PasswordEncoder接口的实现类等。执行时会执行一系列相关类(源码就不研究了,有情怀的小伙伴可以试试)。最终完成用户登录认证。而 密码的校验是由BCryptPasswordEncoder类 通过实现PasswordEncoder接口 的matches方法来完成

我们可以来验证一下。将数据库中用户zhangsan的密码改回明文123456。此时运行项目进行登录,结果是登录失败了:

后台打印数据库获取的密码是123456明文,小伙伴注意到下图最后一行的红字。

BCryptPasswordEncoder.matches Encoded password does not look like BCrypt:什么意思呢?就是BCryptPasswordEncode类的matches方法中报出了 密码不属于自己(BCrypt)的编码格式,下图:

matches方法中如果通过了编码格式校验则进入checkpw(rawPassword.toString(), encodedPassword)方法,rawPassword登录页面传入的,encodedPassword数据库中存储的。所以密码的校验是由BCryptPasswordEncoder类 通过实现PasswordEncoder接口 的matches方法来完成

二、记住我功能

1. 将上篇文章项目wqdemotwo的spring-security.xml配置文件,打开如下两处配置

说明:token-validity-seconds="300" 属性指定免登录访问资源的维持时间,超过这个时间没有任何资源请求,便需要重新登录。

注意:第一次运行项目时要将<!--<property name="createTableOnStartup" value="true"/>--> 配置打开,createTableOnStartup属性是当项目启动时,springSecurity创建表存储remember me相关信息,第二次启动时要注释这个属性。

​​​​说明:<property name="dataSource" ref="dataSource"/>指定数据库数据源,如oracle。ref="dataSource"注入的是applicationContext.xml配置文件中的数据源,如下图:

2. 修改登录页面

增加 记住我 复选框,如图:

到此记住我功能配置完成,打开spring-security.xml文件的createTableOnStartup属性运行项目,按预期设想应该在数据库生成表PERSISTENT_LOGINS:

-- Create table
create table PERSISTENT_LOGINS
(
  username  VARCHAR2(64) not null,
  series    VARCHAR2(64) not null,
  token     VARCHAR2(64) not null,
  last_used TIMESTAMP(6) not null
);
-- Create/Recreate primary, unique and foreign key constraints 
alter table PERSISTENT_LOGINS
  add primary key (SERIES)

登录页面选择 记住我 登录成功后,关闭浏览器可以实现免登录再次访问资源。

选择 记住我 进行登录,成功登录了。此时我打开oracle数据库生成了PERSISTENT_LOGINS表

页面也成功访问到资源:

此时关闭浏览器,再次打开浏览器因该可以不用登录就可以直接访问主页面。但是我的想法是美好的,事实却是访问 http://localhost:8080/wqdemotwo_war/system/index 跳转到了登录页面,经过努力查找原因是:spring-security.xml文件的 <security:intercept-url pattern="/**" access="isFullyAuthenticated()"/> 配置导致,需要改成 <security:intercept-url pattern="/**" access="isAuthenticated()"/> 这个。

isAuthenticated():Returns true if the user is not anonymous(如果用户不是匿名的,则返回true)

isFullyAuthenticated(): Returns true if the user is not an anonymous or a remember-me user(如果用户不是匿名用户或记住我的用户,则返回true)

修改后再次运行项目,便可以实现 记住我 功能,即:登录成功后关闭浏览器,再次打开浏览器访问资源可以免登录访问。(记住注释掉spring-security.xml文件的<!--<property name="createTableOnStartup" value="true"/>-->属性

好了,今天的记录到此结束。

spring security原理机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
spring securityssm框架整合的一个小 demo
04-04
spring securityssm框架整合的一个小 demo.私聊我免费给你分享
SpringSecurity入门小demo(SSM+Spring Security
01-29
最近自学Spring Security,这里是我做的练习所产生的代码(SSM+Spring Security)包括一些注释等。
ssm中的spring security
qq_33012981的博客
10-06 1105
1 一个简单的security项目 1.1 依赖 <!--jsp页面的el标签--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-taglibs</artifactId> <version>5.1.5.RELEASE</version> </depen
Spring Security 中使用 BCryptPasswordEncoder 进行密码加密验证
最新发布
行云流水
04-01 725
Spring Security 中,BCryptPasswordEncoder既用于密码加密也用于密码验证,这是推荐的做法。
SSM项目集成Spring Security 4.X版本(使用spring-security.xml 配置文件方式)
u011529483的博客
01-22 1739
实战目标: Authentication:认证,实现用户认证登录 Authorization:授权,设定用户的资源,访问权限。
SSM整合SpringSecurity实现权限管理实例 javaconfig配置方式
热门推荐
poorCoder_的博客
04-18 2万+
1.前言 本文讲述使用javaconfig的方式整合SpringMVC+Mybatis+SpringSecurity实现基于数据库的权限系统,包括对按钮的权限控制。 使用技术: springMVC、springsecurity4、mybatis、ehcache、前端使用dataTables表格、ztree。 2.表结构介绍 标准的五张表结构。其中t_resources包含了后台系...
SSM项目的数据库密码加密方案
weixin_34010949的博客
11-15 557
项目主要采用:SpringMVC4.3.2.RELEASE +Spring4.3.2.RELEASE + Maven 3.3.3 + druid 1.0.29 + Mybatis 3.2.8 + Mysql 5.1.21 + Jquery 1.7.2 + JSP 开发工具如下:IDEA 2016 利用druid对数据库密码进行加密: 参考文章:https://github.com/alibaba/...
SSM+spring security3.x框架整合(附带数据文件)
10-02
Spring 4.x版本引入了许多增强功能,如对Java 8的支持、更好的WebSocket集成以及更高效的缓存管理。 Spring MVC是Spring Framework的一部分,是一个模型-视图-控制器(MVC)框架,用于构建Web应用程序。它提供了...
ssm-spring-security-Aop.zip
09-05
【标题】"ssm-spring-security-Aop.zip" 涉及的核心技术是Spring Security与AOP在SSMSpringSpringMVC、MyBatis)框架中的集成应用,主要目的是实现安全登录功能并利用AOP进行日志记录并存入数据库。 【描述】...
SSM项目在线订花系统.zip
04-13
SSM项目在线订花系统是一个基于JAVA技术的课程设计,主要使用了SpringSpringMVCMyBatis三个框架的集成,简称SSM框架。这个系统旨在模拟真实的在线购物环境,用户可以浏览鲜花商品,选择心仪的花卉进行购买,并...
SSM项目学生网上请假系统.zip
04-13
SSM项目学生网上请假系统是一个基于Java技术栈的课程设计实例,主要采用了SpringSpringMVCMyBatis三大框架的集成,旨在提供一个便捷的学生在线请假申请平台。这个系统通常包括用户管理、请假申请、审批流程、...
Java SSM 重制版(三)SpringSecurity
qq_25928447的博客
07-05 2473
有些时候,我们的数据库可能并不会像SpringSecurity默认的那样进行设计,而是采用自定义的表结构,这种情况下,上面两种方式就很难进行验证了,此时我们得编写自定义验证,来应对各种任意变化的情况。} }现在我们需要去实现这个方法,表示在验证的时候通过自定义的方式,根据给定的用户名查询用户,并封装为对象返回,然后由SpringSecurity将我们返回的对象与用户登录的信息进行核验,基本流程实际上跟之前是一样的,只是现在由我们自己来提供用户查询方式。
SpringSecurity整合ssm
qq_34091529的博客
06-27 855
SpringSecurity 1. SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 **(Authorization)
SSMSpringBoot整合SpringSecurity完成方法级权限控制(非常详细)
weixin_43977307的博客
06-21 868
权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户密码认证的系统。完成权限管理需要三个对象:是 采用AOP思想,基于 过滤器实现的安全框架。它提供了完善的功能。是一款非常优秀的权限管理框架。 核心文件配置 - mvc 资源启用 核心文件配置 - 认证资源拦截 配置 SpringSecurity 过滤器 默认首页 运行项目首页查看 查看 默认提供的登录界面,获取对应的默认数据: , , …在
SSM整合SpringSecurity
qq_52421664的博客
09-12 1092
SSM整合SpringSecurity 前言:介绍SpringSecurity,简单来说,你可以在这设置给需要保护的资源上一把锁,也可以给某些请求一把钥匙允许其访问。这里的锁指的是访问需要的权限或者角色。钥匙就是对应的权限或者角色。正如其官网图标。 引入pom依赖 <!-- SpringSecurity 对 Web 应用进行权限管理 --> <dependency> <groupId>org.springframework.security
ssm框架整合springSecurity
weixin_48605326的博客
05-17 2079
SSM整合springsecurity过程 前言:先来说一下springsecurity的作用 springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转 springsecurity的核心功能: 认证 (我是谁,用户信息验证) 授权 (可以做什么,权限角色) 攻击防护 (防止伪造攻击,csrf) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在s
java ssm框架登录代码_Java使用SSM框架实现登录页面记住密码功能
weixin_39869378的博客
02-13 278
最终效果展示:1、登录页面JSP代码 记住密码//选中记住密码触发事件,如果选中就赋值为1 ,否则赋值为0function remember(){var remFlag = $("input:checkbox").is(‘:checked‘);if(remFlag){//cookie存用户名密码,回显的是真实的用户名密码,存在安全问题.var conFlag = confirm("记录密码功能...
SSM+SpringSecurity完整学习Demo项目
4. **会话管理与CSRF保护:**在SSM应用中集成SpringSecurity后,需要对Web层的会话管理CSRF保护进行配置。由于SSM应用通常是Web应用,因此需要利用SpringSecurity提供的会话管理策略来避免会话劫持等安全问题。 5...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值