spring security3 自定义 remberMeService(cookie)

最新推荐文章于 2023-03-23 15:03:45 发布
原创 最新推荐文章于 2023-03-23 15:03:45 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring security cook

本文通过重写TokenBasedRememberMeServices类,详细介绍了如何在Spring Security中实现自定义的RememberMeServices功能,并提供了beans.xml及security.xml的配置示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天尝试看了下 spring security中 cookie的使用 。 实现了自定的cookie ,在cookie中加入了 ip的绑定 。

废话多说,直接上代码

重写了 TokenBasedRememberMeServices 类。实现了自定义的 RememberMeServices

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Arrays;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.codec.Hex;
import org.springframework.security.web.authentication.rememberme.InvalidCookieException;
import org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices;

public class IpTokenBasedRememberMeSerivces extends TokenBasedRememberMeServices {
	private static final ThreadLocal<HttpServletRequest> requestHolder =
		new ThreadLocal<HttpServletRequest>();
	public HttpServletRequest getContext()
	{
		return requestHolder.get();
	}
	
	public void setContext(HttpServletRequest context)
	{
		requestHolder.set(context);
	}
	
	//工具类,获取  ip
	protected String getUserIPAddress(HttpServletRequest request)
	{
		return request.getRemoteAddr();
	}
	
	@Override
	public void onLoginSuccess(HttpServletRequest request,
			HttpServletResponse response,
			Authentication successfulAuthentication) {
		// TODO Auto-generated method stub
		setContext(request);
		super.onLoginSuccess(request, response, successfulAuthentication);
			setContext(null);

	}
	
	
	//将ip地址加入搭配cookie中
	@Override
	protected void setCookie(String[] tokens, int maxAge,
			HttpServletRequest request, HttpServletResponse response) {
		String[] tokensWidthIpAddress = Arrays.copyOf(tokens, tokens.length+1);
		tokensWidthIpAddress[tokensWidthIpAddress.length-1] =getUserIPAddress(request);
		super.setCookie(tokens, maxAge, request, response);
	}
	
	//将ip加入转换成 md5的字符串中
	@Override
	protected String makeTokenSignature(long tokenExpiryTime, String username, String password) {
		//加入将ip信息 加入cookie中
        String data = username + ":" + tokenExpiryTime + ":" + password + ":" + getKey()+
        ":"+getUserIPAddress(getContext()).getBytes();
        
        MessageDigest digest;
        try {
            digest = MessageDigest.getInstance("MD5");
        } catch (NoSuchAlgorithmException e) {
            throw new IllegalStateException("No MD5 algorithm available!");
        }

        return new String(Hex.encode(digest.digest(data.getBytes())));
    }
	
	//重写处理 自动登陆的代码
	@Override
	protected UserDetails processAutoLoginCookie(String[] cookieTokens,
			HttpServletRequest request, HttpServletResponse response) {
		String ipAddressToken = cookieTokens[cookieTokens.length-1];
		if(!getUserIPAddress(request).equals(ipAddressToken))
		{
			throw new InvalidCookieException("IP 不匹配");
		}
		
		return super.processAutoLoginCookie(cookieTokens, request, response);
	}
}


配置 beans.xml:

<bean class="com.packtpub.springsecurity.security.IPTokenBasedRememberMeServices" id="ipTokenBasedRememberMeServicesBean">
<property name="key"><value>remberMe</value></property>
<property name="userDetailsService" ref="userService"/>
</bean>

在 security.xml 中:


<http>
<!-- remberme 功能 -->
<remember-me key="remberMe" services-ref="ipTokenBasedRememberMeServicesBean"/>
</http>
<user-service id="userService">


重启服务器 。
因为remember me cookie是Base64编码的,我们能够使用一个Base64解码的工具得到cookie的值以证实我们的新增功能是否生效。如果我们这样做的话,我们能够看到一个名为SPRING_SECURITY_REMEMBER_ME_COOKIE的cookie的内容大致如下所示:
admin:1251695034322:776f8ad44034f77d13218a5c431b7b34:127.0.0.1
admin:是用户名.
1251695034322:cookie到期的时间
76f8ad44034f77d13218a5c431b7b34:是 用户名 ,密码 ,和绑定ip的MD5值
127.0.0.1是我们绑定的ip
SpringSecurity6 | 自定义登录页面
分享思想,留下痕迹。
12-09 2008
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习通过SpringSecurity的一些自定义配置来完成我们自定义认证规则的一些需求。这篇文章我们主要来介绍一下如何自定义我的登录页面。好了,话不多说让我们开始吧😎😎😎。在我们的pom.xml文件中导入ThymeLeaf依赖。
springboot 整合 spring security自定义登录接口
weixin_42487883的博客
07-19 639
创建一个实现接口的类,以便能够在认证过程中使用自定义的用户信息。@Override@Override@Override@Override@Override@Override@Override创建一个自定义的认证过滤器,处理登录请求并进行身份验证。@Overridetry {// 解析请求中的 JSON 数据以上是一个基本的 Spring Boot 与 Spring Security 整合的自定义登录接口的实现示例。
spring-security cookie认证
12-23
spring-security cookie认证
Spring Security Remberme 自定义Cookie名称,无效
SuperK
11-20 899
记着以后备用 仍然需要定义Key [code="java"][/code] [code="java"] [/code]
spring security 使用自定义的AuthenticationFilter,提示Invalid remember-me cookie,自动登录失败的解决方法
小伍的程序之路
04-14 958
spring security 在使用自定义的AuthenticationFilter时,提示Invalid remember-me cookie,自动登录失败的解决方法 后台日志报错提示 Invalid remember-me cookie: Cookie token[2] contained signature ‘1706b276eae214cc837865d3c508cf01’ but expected ‘84908c8a60e515d544d96550496f0daf’ 我自定义了一个Login
spring security自定义登录成功处理器
远方的少年
04-03 1554
   在spring security中,我们可以灵活的配置,我们可以使用default-target-url来配置登录成功后跳转的页面,也可以配置一个登录成功处理器来更加细粒度的控制登录成功后的处理工作。但是如果我们配置了这个,那么之前的defaul-target-url就不能再加了。  &lt;form-login login-page="/login.jsp" authentication-...
SpringSecurity5-教程4-Cookie单点登录
一个技术菜鸟的博客
03-23 606
Cookie单点登录
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
Spring security 自定义密码加密方式的使用范例。
09-15
Spring Security 是一个强大的Java安全框架,...通过这个项目,你可以深入理解Spring Security的工作原理,并学习如何自定义其核心组件。如果你对码云不熟悉,也可以选择其他版本控制系统,如Git,进行代码托管和协作。
实现SpringSecurity自定义登录URI的配置
最新发布
03-17
实现SpringSecurity自定义登录URI的配置
Spring Security2中设置Cookie的保存时间
05-24
NULL 博文链接:https://ss3ex.iteye.com/blog/374170
spring security】前后端分离,设置rememberMe后通过cookie自动登录(二)
Meditation_Crazy
10-08 1519
前言 使用前后端分离,前面已经实现了登录时把remember-me存到数据库,同时返回到前端。 但是测试关闭浏览器,再次直接调接口,发现提示未登录。 在调试的过程中看到有这个方法: 然后在它里面加断点,再次测试,发现携带cookie自动登录的过程中,会跑它里面的方法。所以算是找对对方了。 接下来就是查找为什么没有成功。 调试 在测试过程中,发现登录时候,也会跑这个方法:this.processAutoLoginCookie(cookieTokens, request, response)。但是在登录和自动
Spring BlazeDS Integration之spring security(4)---自定义rememberMeServices,找到自动登陆成功切入点
miqi770的专栏
03-04 3953
我们先说一个现象,比如已经有一个使用Spring BlazeDS Integration配置了spring security的一个应用, 如下图是用户已经登录成功时,进入的界面,此时login按钮是个摆设,没有任何功能;logout按钮是通过flex提供的api是完成登出操作: 当,用户没有点击logout按钮,直接关闭了浏览器,浏览器比如是firefox。用户再次使用
spring security】前后端分离,设置rememberMe后通过cookie自动登录之KEY的使用(三)
Meditation_Crazy
10-18 844
问题 延续上章留下的问题,百度了下,搜到以下结果 结果1 https://www.jianshu.com/p/83973a37fd34
关于SpringSecurity设置Cookie的问题
m0_67393593的博客
03-24 4164
关于前后端分离SpringSecurity设置Cookie的问题 今天刚入手SpringSecurity,很多不是太懂,在github找到个dome github地址:https://github.com/ChinaSilence/spring-security-demos 然后发现SpringSecurity登录成功之后访问需要登录的接口依然是返回未登录,看了demo中的文档,登录成功之后响应头会携带一个cookie绑定到本地,然后请求需要登录的接口的时候需要携带这个cookie。 在登录接口响应头中有
SpringSecurity中“记住我”功能使用及介绍
Littewood的博客
07-22 2680
Spring Security 之 RememberMe
Spring Security 3多用户登录实现之八 基于Cookie的自动登录
11-15 803
    Spring Security为我们提供了两种方式的自动登录,一种是基于Cookie的自动登录,想实现这种自动登录功能,需要使用TokenBasedRememberMeServices类,如果想扩展自己的特殊登录,可以继承该类;一种是基于持久化存储的自动登录,需要使用PersistentTokenBasedRememberMeServices类,两者都继承了抽象类AbstractRemem...
SpringSecurity中由于自定义过滤器导致无法使用remember-me的问题解决
qq_26147675的博客
09-01 1361
        今天给web项目的登录页面增加自动登录功能,选择使用SpringSecurity自带的remmeber-me功能键,但是前端页面传值remember-me:on始终无法起作用,在SpringSecurity源码中进行断点,发现可能是由于没有使用SpringSecurity自带的过滤器设置,使用了自定义过滤器(为了实现json传值登录)的原因。在此做个记录。     &nb
Spring Security 3.0 自定义数据库表结构实践
"Spring Security 3.0 自定义表结构" Spring Security 3.0 是一个基于 Java 的安全框架,它提供了一个灵活的安全解决方案,允许开发者轻松地在应用程序中实现身份验证和授权机制。然而,在实际项目中,开发者往往...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值