2. 程式人生 > >Spring Security 之 rememberMe 自動登入

Spring Security 之 rememberMe 自動登入

阿新 發佈:2020-06-26
自動登入是將使用者的登入資訊儲存在使用者瀏覽器的cookie中,當用戶下次訪問時,自動實現校驗並建立登入態的一種機制。 Spring Security提供了兩種非常好的令牌: - 雜湊演算法加密使用者必要的登入資訊並生成令牌 - 資料庫等永續性資料儲存機制用的持久化令牌 ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626093256309-1443110775.png) ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626093318303-1674850002.png) ## 雜湊加密方案 在Spring Security中加入自動登入的功能非常簡單: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/api/user/**").hasRole("user") //user 角色訪問/api/user/開頭的路由 .antMatchers("/api/admin/**").hasRole("admin") //admin 角色訪問/api/admin/開頭的路由 .antMatchers("/api/public/**").permitAll() //允許所有可以訪問/api/public/開頭的路由 .and() .formLogin() .and() .rememberMe().userDetailsService(userDetailsService()); //記住密碼 } ``` 重啟服務後訪問受限 API,這次在表單登入頁中多了一個可選框: ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200625161154846-1904818735.png) 勾選“Remember me on this computer”可選框(簡寫為Remember-me),按照正常的流程登入,並在開發者工具中檢視瀏覽器cookie,可以看到除JSESSIONID外多了一個值: ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200625161259238-522365636.png) 這是Spring Security預設自動登入的cookie欄位。在不配置的情況下,過期時間是兩個星期: ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626083049694-1362163045.png) Spring Security會在每次表單登入成功之後更新此令牌,具體處理方式在原始碼中: ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626083356257-269141316.png) ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626083448529-1174951114.png) RememberConfigurer: ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626083525472-1156884732.png) ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626083559290-151257378.png) ## 持久化令牌方案 在持久化令牌方案中,最核心的是series和token兩個值,它們都是用MD5雜湊過的隨機字串。不同的是,series僅在使用者使用密碼重新登入時更新,而token會在每一個新的session中都重新生成。 解決了雜湊加密方案中一個令牌可以同時在多端登入的問題。每個會話都會引發token的更 新,即每個token僅支援單例項登入。 自動登入不會導致series變更,而每次自動登入都需要同時驗證series和token兩個值,當該 令牌還未使用過自動登入就被盜取時,系統會在非法使用者驗證通過後重新整理 token 值,此時在合法使用者 的瀏覽器中,該token值已經失效。當合法使用者使用自動登入時,由於該series對應的 token 不同,系統 可以推斷該令牌可能已被盜用,從而做一些處理。例如,清理該使用者的所有自動登入令牌,並通知該 使用者可能已被盜號等 Spring Security使用PersistentRememberMeToken來表明一個驗證實體: ```java public class PersistentRememberMeToken { private final String username; private final String series; private final String tokenValue; private final Date date; public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) { this.username = username; this.series = series; this.tokenValue = tokenValue; this.date = date; } public String getUsername() { return this.username; } public String getSeries() { return this.series; } public String getTokenValue() { return this.tokenValue; } public Date getDate() { return this.date; } } ``` 需要使用持久化令牌方案,需要傳入PersistentTokenRepository的例項: ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626092141338-1517428482.png) PersistentTokenRepository介面主要涉及token的增刪查改四個介面: ![](https://img2020.cnblogs.com/blog/1703406/202006/1703406-20200626092540314-2058128929.png) MyPersistentTokenRepositoryImpl使我們實現PersistentTokenRepository介面: ```java @Service public class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository { @Autowired private JPAPersistentTokenRepository repository; @Override public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) { MyPersistentToken myPersistentToken = new MyPersistentToken(); myPersistentToken.setSeries(persistentRememberMeToken.getSeries()); myPersistentToken.setUsername(persistentRememberMeToken.getUsername()); myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue()); myPersistentToken.setUser_last(persistentRememberMeToken.getDate()); repository.save(myPersistentToken); } @Override public void updateToken(String series, String tokenValue, Date lastUsed) { MyPersistentToken myPersistentToken = repository.findBySeries(series); myPersistentToken.setUser_last(lastUsed); myPersistentToken.setTokenValue(tokenValue); repository.save(myPersistentToken); } @Override public PersistentRememberMeToken getTokenForSeries(String series) { MyPersistentToken myPersistentToken = repository.findBySeries(series); PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last()); return persistentRememberMeToken; } @Override @Transactional public void removeUserTokens(String username) { repository.deleteByUsername(username); } } ``` ```java public interface JPAPersistentTokenRepository extends JpaRepository { MyPersistentToken findBySeries(String series); void deleteByUsername(String username); } ``` ```java @Entity @Table(name = "persistent_token") public class MyPersistentToken { @Id @GeneratedValue(strategy = GenerationType.SEQUENCE) private Long id; private String username; @Column(unique = true) private String series; private String tokenValue; private Date user_last; public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getUsername() { return username; } public void setUsername(String username) { this.username = username; } public String getSeries() { return series; } public void setSeries(String series) { this.series = series; } public String getTokenValue() { return tokenValue; } public void setTokenValue(String tokenValue) { this.tokenValue = tokenValue; } public Date getUser_last() { return user_last; } public void setUser_last(Date user_last) { this.user_last = user_last; } } ``` 當自動登入認證時,Spring Security 通過series獲取使用者名稱、token以及上一次自動登入時間三個資訊,通過使用者名稱確認該令牌的身份,通過對比 token 獲知該令牌是否有效,通過上一次自動登入時間獲知該令牌是否已過期,並在完整校驗通過之後生成新的

相關推薦

Spring Security rememberMe 自動登入

自動登入是將使用者的登入資訊儲存在使用者瀏覽器的cookie中,當用戶下次訪問時,自動實現校驗並建立登入態的一種機制。 Spring Security提供了兩種非常好的令牌: - 雜湊演算法加密使用者必要的登入資訊並生成令牌 - 資料庫等永續性資料儲存機制用的持久化令牌 ![](https://img2020

Spring Security多次登入失敗後賬戶鎖定功能的實現

在上一次寫的文章中,為大家說到了如何動態的從資料庫載入使用者、角色、許可權資訊,從而實現登入驗證及授權。在實際的開發過程中,我們通常會有這樣的一個需求:當用戶多次登入失敗的時候,我們應該將賬戶鎖定,等待一定的時間之後才能再次進行登入操作。 一、基礎知識回顧 要實現多次登入失敗賬戶鎖定的功能,我們需要先回顧

spring security密碼加密和檢視已登入使用者

        在實際開發中,我們儲存使用者的密碼在資料庫中都是經過加密的,通常都是使用md5加密,這是為了安全起見,否則別人一進入資料庫就能看到所有人的密碼,這樣太不安全了,spring security提供了密碼加密的一個配置,這樣我們在登入時,它會自動的將使用者輸入的密

Spring Security Remember-Me (記住我)

存儲 密碼 輸入 持久化 應用程序 如果 識別 不包含 兩種 效果:在用戶的session(會話)過期或者瀏覽器關閉後,應用程序仍能記住它。用戶可選擇是否被記住。(在登錄界面選擇) “記住”是什麽意思? 就是下次你再訪問的時候,直接進入系統,而不需要輸入用戶名

spring securityRemember Me

ons token 表單 ssh -- rate demo dao val spring-security.xml配置 環境: spring版本:5.0.7.RELEASE spring-security.xml引入: http://www.springframework.

Spring Security用戶名+密碼登錄

查找 prot value MLOG odi 時間 lte iss ada 自定義用戶認證邏輯 處理用戶信息獲取邏輯 實現UserDetailsService接口 @Service public class MyUserDetailsService implements U

Spring SecurityRemember me詳解

boot 請求 .get override ret width attack size private Remember me功能就是勾選"記住我"後,一次登錄,後面在有效期內免登錄。 先看具體配置: pom文件: <dependency> <

Spring Security旅————————————restful風格介面簡述,過濾器配置(2)

restful介面的完成度簡介 , 分為四級 利用三種方式攔截介面請求  Filter package com.sola.filter; import java.io.IOException; import javax.servlet.Filter; im

Spring Security旅————————————基本介紹安裝(1)

首先建立一個maven專案 並建立一個子模組 然後父模組pom <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xs

Spring Security Oauth2 單點登入案例實現和執行流程剖析

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin Spring Security Oauth2 OAuth是一個關於授權的開放網路標準,在全世界得到的廣泛的應用,目前是2.0的版本。OAuth2在“客戶端”與“服務提供商”之間

spring boot中spring security實現單點登入,傳統模式(一)

單點登入是什麼? 一個系統中可能會引用別的很多系統。單點登入就是解決,一次登入,就可以訪問所有的系統。 每次瀏覽器向一個域名傳送http請求,會去查詢域名的cookie資訊拼接到http的header中傳送到伺服器。 cookie不能跨域。這個域是瀏覽器請求的域名,哪怕他們都是訪問一

Spring Security匿名使用者

Spring Security為我們提供了一個匿名使用者的功能,我們可以基於此很容易的實現匿名使用者的單獨控制,使我們的站點輕鬆擁有遊客使用者的功能; 如果開啟了匿名使用者的功能,按照Spring Security Filter的執行順序,AnonymousA

簡單的Spring Security例項(自定義登入驗證)

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

Spring Security實現後臺管理員登入(一)

一、實現功能 二、資料表設計 為了測試方便,這裡建立一個簡單的資料表,只含有name和password兩個欄位。至於角色,許可權等,這裡都先不考慮。 插入一條資料,name為admin,password為e10adc3949ba59abbe56e057f20f883e(

Spring Security(二)登入與安全控制

1、在pom.xml中新增依賴 <!-- Spring Security --> <dependency> <groupId>org.springframework.security</groupId>

spring boot + mybatis + spring security(自定義登入介面)環境搭建

概述在前不久用了spring boot、mybatis、spring security搭建了一個工程,中間經歷了各種坑,最後得到一條經驗:spring的文件很詳細,入門最好以官方文件為準。這裡講的是以mav作為依賴管理工具pom搭建spring boot應用快捷的方式是在po

Spring security使用自定義登入介面且顯示登入異常資訊的例子

eclipse中的工程結構: 1、配置Maven的pom檔案: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-insta

Spring security防止使用者重複登入

使用Spring security防止使用者的重複登入。如果使用者賬號已登入,這時再進行第二次或多次登入,需要阻止這樣的多次登入。 首先在web.xml中配置listener: <listener> <listener-class>org.spri

spring securityACL

今天做了acl管理的例子 但是在mysql資料庫中建立訊息的時候出現了異常 Servlet.service() for servlet MessageServlet threw exceptioncom.mysql.jdbc.exceptions.MySQLSyntaxErr

spring boot 整合 spring security 使用資料庫驗證

spring boot 整合 spring security 參見上一篇文章. 重寫WebSecurityConfigurerAdapter中的configureGlobal方法 @Autowired public void configureGloba