java security 详解_Spring Security Remember me使用及原理详解
Remember me功能就是勾选"记住我"后,一次登录,后面在有效期内免登录。
先看具体配置:
pom文件:
org.springframework.boot
spring-boot-starter-data-jpa
org.springframework.boot
spring-boot-starter-security
Security的配置:
@Autowired
private UserDetailsService myUserDetailServiceImpl; // 用户信息服务
@Autowired
private DataSource dataSource; // 数据源
@Override
protected void configure(HttpSecurity http) throws Exception {
// formLogin()是默认的登录表单页,如果不配置 loginPage(url),则使用 spring security
// 默认的登录页,如果配置了 loginPage()则使用自定义的登录页
http.formLogin() // 表单登录
.loginPage(SecurityConst.AUTH_REQUIRE)
.loginProcessingUrl(SecurityConst.AUTH_FORM) // 登录请求拦截的url,也就是form表单提交时指定的action
.successHandler(loginSuccessHandler)
.failureHandler(loginFailureHandler)
.and()
.rememberMe()
.userDetailsService(myUserDetailServiceImpl) // 设置userDetailsService
.tokenRepository(persistentTokenRepository()) // 设置数据访问层
.tokenValiditySeconds(60 * 60) // 记住我的时间(秒)
.and()
.authorizeRequests() // 对请求授权
.antMatchers(SecurityConst.AUTH_REQUIRE,securityProperty.getBrowser().getLoginPage()).permitAll() // 允许所有人访问login.html和自定义的登录页
.anyRequest() // 任何请求
.authenticated()// 需要身份认证
.and()
.csrf().disable() // 关闭跨站伪造
;
}
/**
* 持久化token
*
* Security中,默认是使用PersistentTokenRepository的子类InMemoryTokenRepositoryImpl,将token放在内存中
* 如果使用JdbcTokenRepositoryImpl,会创建表persistent_logins,将token持久化到数据库
*/
@Bean
public PersistentTokenRepository persistentTokenRepository() {
JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
tokenRepository.setDataSource(dataSource); // 设置数据源
// tokenRepository.setCreateTableOnStartup(true); // 启动创建表,创建成功后注释掉
return tokenRepository;
}
上面的myUserDetailServiceImpl是自己实现的UserDetailsService接口,dataSource会自动读取数据库配置。过期时间设置的3600秒,即一个小时
在登录页面加一行(name必须是remeber-me):
"记住我"基本原理:
1、第一次发送认证请求,会被UsernamePasswordAuthenticationFilter拦截,然后身份认证。
认证成功后,在AbstracAuthenticationProcessingFilter中,有个RememberMeServices接口。
该接口默认实现类是NullRememberMeServices,这里会调用另一个实现抽象类AbstractRememberMeServices
// ...
private RememberMeServices rememberMeServices = new NullRememberMeServices();
protected void successfulAuthentication(HttpServletRequest request,HttpServletResponse response,FilterChain chain,Authentication authResult) throws IOException,ServletException {
// ...
SecurityContextHolder.getContext().setAuthentication(authResult);
// 登录成功后,调用RememberMeServices保存Token相关信息
rememberMeServices.loginSuccess(request,response,authResult);
// ...
}
2、调用AbstractRememberMeServices的loginSuccess方法。
可以看到如果request中name为"remember-me"为true时,才会调用下面的onLoginSuccess()方法。这也是为什么上面登录页中的表单,name必须是"remember-me"的原因:
3、在Security中配置了rememberMe()之后, 会由PersistentTokenBasedRememberMeServices去实现父类AbstractRememberMeServices中的抽象方法。
在PersistentTokenBasedRememberMeServices中,有一个PersistentTokenRepository,会生成一个Token,并将这个Token写到cookie里面返回浏览器。PersistentTokenRepository的默认实现类是InMemoryTokenRepositoryImpl,该默认实现类会将token保存到内存中。这里我们配置了它的另一个实现类JdbcTokenRepositoryImpl,该类会将Token持久化到数据库中
// ...
private PersistentTokenRepository tokenRepository = new InMemoryTokenRepositoryImpl();
protected void onLoginSuccess(HttpServletRequest request,Authentication successfulAuthentication) {
String username = successfulAuthentication.getName();
logger.debug("Creating new persistent login for user " + username);
// 创建一个PersistentRememberMeToken
PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
username,generateSeriesData(),generateTokenData(),new Date());
try {
// 保存Token
tokenRepository.createNewToken(persistentToken);
// 将Token写到Cookie中
addCookie(persistentToken,request,response);
}
catch (Exception e) {
logger.error("Failed to save persistent token ",e);
}
}
4、JdbcTokenRepositoryImpl将Token持久化到数据库
/** The default sql used by createNewToken */
public static final String DEF_INSERT_TOKEN_sql = "insert into persistent_logins (username,series,token,last_used) values(?,?,?)";
public void createNewToken(PersistentRememberMeToken token) {
getJdbcTemplate().update(insertTokensql,token.getUsername(),token.getSeries(),token.getTokenValue(),token.getDate());
}
查看数据库,可以看到往persistent_logins 中插入了一条数据:
5、重启服务,发送第二次认证请求,只会携带Cookie。
所以直接会被RememberMeAuthenticationFilter拦截,并且此时内存中没有认证信息。
可以看到,此时的RememberMeServices是由PersistentTokenBasedRememberMeServices实现
6、在PersistentTokenBasedRememberMeServices中,调用processAutoLoginCookie方法,获取用户相关信息
protected UserDetails processAutoLoginCookie(String[] cookieTokens,HttpServletRequest request,HttpServletResponse response) {
if (cookieTokens.length != 2) {
throw new InvalidCookieException("Cookie token did not contain " + 2
+ " tokens,but contained '" + Arrays.asList(cookieTokens) + "'");
}
// 从Cookie中获取Series和Token
final String presentedSeries = cookieTokens[0];
final String presentedToken = cookieTokens[1];
//在数据库中,通过Series查询PersistentRememberMeToken
PersistentRememberMeToken token = tokenRepository
.getTokenForSeries(presentedSeries);
if (token == null) {
throw new RememberMeAuthenticationException(
"No persistent token found for series id: " + presentedSeries);
}
// 校验数据库中Token和Cookie中的Token是否相同
if (!presentedToken.equals(token.getTokenValue())) {
tokenRepository.removeUserTokens(token.getUsername());
throw new CookieTheftException(
messages.getMessage(
"PersistentTokenBasedRememberMeServices.cookieStolen","Invalid remember-me token (Series/token) mismatch. Implies prevIoUs cookie theft attack."));
}
// 判断Token是否超时
if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System
.currentTimeMillis()) {
throw new RememberMeAuthenticationException("Remember-me login has expired");
}
if (logger.isDebugEnabled()) {
logger.debug("Refreshing persistent login token for user '"
+ token.getUsername() + "',series '" + token.getSeries() + "'");
}
// 创建一个新的PersistentRememberMeToken
PersistentRememberMeToken newToken = new PersistentRememberMeToken(
token.getUsername(),new Date());
try {
//更新数据库中Token
tokenRepository.updateToken(newToken.getSeries(),newToken.getTokenValue(),newToken.getDate());
//重新写到Cookie
addCookie(newToken,response);
}
catch (Exception e) {
logger.error("Failed to update token: ",e);
throw new RememberMeAuthenticationException(
"Autologin Failed due to data access problem");
}
//调用UserDetailsService获取用户信息
return getUserDetailsService().loadUserByUsername(token.getUsername());
}
7、获取用户相关信息后,再调用AuthenticationManager去认证授权
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。
相关文章
总结
如果觉得编程之家网站内容还不错,欢迎将编程之家网站推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您喜欢交流学习经验,点击链接加入交流1群:1065694478(已满)交流2群:163560250
java security 详解_Spring Security Remember me使用及原理详解相关推荐
- java security 详解_Spring Security入门教程 通俗易懂 超详细 【内含案例】
Spring Security的简单使用 简介 SSM 整合 Security 是比较麻烦的,虽然Security的功能比 Shiro 强大,相反却没有Shiro的使用量多 SpringBoot出现后 ...
- java 授权码模式_Spring Security OAuth2 授权码模式的实现
写在前边 在文章OAuth 2.0 概念及授权流程梳理 中我们谈到OAuth 2.0的概念与流程,这里我准备分别记一记这几种授权模式的demo,一方面为自己的最近的学习做个总结,另一方面做下知识输出, ...
- java 登录踢出_spring security 4 如何踢出用户?
项目用的是spring boot 1.3 全javaconfig 配置 目的 : 我要踢出一个登录在线的用户,踢出后,剔出的用户再次访问服务器的时候会去到登录界面, security 配置 : htt ...
- java记录登陆时间_Spring security如何实现记录用户登录时间功能
一.原理分析 spring security提供了一个接口 AuthenticationSuccessHandler,该接口中只有一个方法,用来进行登录成功后的操作 public interface ...
- java spring bean配置文件_Spring基于xml文件配置Bean过程详解
这篇文章主要介绍了spring基于xml文件配置Bean过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 通过全类名来配置: class:be ...
- java多态的概念_java中多态概念、实现原理详解
一.什么是多态? 1.多态的定义 指允许不同类的对象对同一消息做出响应.即同一消息可以根据发送对象的不同而采用多种不同的行为方式(发送消息就是函数调用) 2.多态的作用 消除类型之间的耦合关系 3.多 ...
- 【图文详解】HBase 的数据模型与架构原理详解
HBase 简介 https://hbase.apache.org/ HBase, Hadoop Database,是一个高可靠性.高性能.面向列.可伸缩. 实时读写的分布式开源 NoSQL 数据库, ...
- mysql udf提权原理_udf提权原理详解
0x00-前言 这个udf提权复现搞了三天,终于搞出来了.网上的教程对于初学者不太友好,以至于我一直迷迷糊糊的,走了不少弯路.下面就来总结一下我的理解. 想要知道udf提权是怎么回事,首先要先知道ud ...
- HashMap原理详解(基于jdk1.8)
HashMap原理详解(基于jdk1.8) HashMap原理详解,有兴趣的同学可以看下.有错误的地方也希望大佬们能指点下. HashMap的内部存储是一个数组(bucket),数组的元素Node实现 ...
最新文章
- JavaScript语言基础2
- 20155303 2016-2017-2 《Java程序设计》第二周学习总结
- java实现选项卡定时轮播_原生js面向对象编程-选项卡(自动轮播)
- Win7如何快速打开命令提示符
- Linux之DNS服务器搭建及常见DNS***和防御
- jconsole查看连接数_在JConsole和VisualVM中查看DiagnosticCommandMBean
- 使用durid的ConfigFilter对数据库密码加密
- 轻松实现SpringBoot项目异常全局处理
- 读xml文件时字体串类型的判断
- 五周第三次课(4月20日)shell介绍、命令历史、命令补全和别名、通配符 、输入输出重定向...
- windows本地script脚本恶意代码分析(带注释)
- jedate选中日期后关闭弹层_jeDate日期控件的使用以及选中后点确定按钮关闭功能...
- Element Dialog弹框回到顶部
- java中将url下载并转换为MultipartFile文件
- 开源免费CRM云端的客户管理系统SuiteCRM简介
- android字体颜色渐变色,实现TextView文本颜色渐变的骚操作
- 安卓怎么打开html游戏,安卓手机如何打开.xapk文件
- binary complement
- CSS-Cascading Style Sheet_层叠样式表_用法详解
- 简单的Django系统模板
热门文章
- java线程读写互相影响_求助。多线程读取文件相互影响
- Linux 上下文切换详细解读
- 从脚本学python(秋名山车神)
- Day09.面向对象进阶
- 百度工程师带你探秘C++内存管理(理论篇)
- docker nginx部署.net core后端站点和angular前端站点
- 自动出题软件--阶段性小结
- 自动出题机c语言compute,小学数学自动出题工具下载-幼儿园小学数学自动出题机下载v2.0-西西软件下载...
- 卢周来:穿越政治经济学年代
- java顺序查找法 监视器_java算法:顺序查找(有监视哨和无监视哨)