Spring Security构建Rest服务-0900-rememberMe记住我

Spring security记住我基本原理：

登陆的时候，请求发送给过滤器UsernamePasswordAuthenticationFilter,当该过滤器认证成功后，会调用RememberMeService，会生成一个token，将token写入到浏览器cookie，同时RememberMeService里边还有个TokenRepository，将token和用户信息写入到数据库中。这样当用户再次访问系统，访问某一个接口时，会通过一个RememberMeAuthenticationFilter的过滤器，他会读取cookie中的token，交给RememberService，RememberService会用TokenRepository根据token从数据库中查是否有记录，若是有记录会把用户名取出来，再调用UserDetailService根据用户名获取用户信息，而后放在SecurityContext里。

 RememberMeAuthenticationFilter在Spring Security中认证过滤器链的倒数第二个过滤器位置，当其余认证过滤器都无法认证成功的时候，就会调用RememberMeAuthenticationFilter尝试认证。

实现：

 1，登陆表单加上<input type="checkbox" name="remember-me" value="true"/>，SpringSecurity在SpringSessionRememberMeServices类里定义了一个常量，默认值就是remember-me

 2，根据上边的原理图可知，要配置TokenRepository，把生成的token存进数据库，这是一个配置bean的配置，放在了BrowserSecurityConfig里

3，在configure里配置

4，在BrowserProperties里加上自动登陆时间，把记住我时间作成可配置的

//记住我秒数配置
private int rememberMeSeconds = 10;齐活

package com.imooc.security.browser;

@Configuration //这是一个配置
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{
    
    //读取用户配置的登陆页配置
    @Autowired
    private SecurityProperties securityProperties;
    
    //自定义的登陆成功后的处理器
    @Autowired
    private AuthenticationSuccessHandler imoocAuthenticationSuccessHandler;
    
    //自定义的认证失败后的处理器
    @Autowired
    private AuthenticationFailureHandler imoocAuthenticationFailureHandler;
    
    //数据源
    @Autowired
    private DataSource dataSource;
    
    
    @Autowired
    private UserDetailsService userDetailsService;

    //注意是org.springframework.security.crypto.password.PasswordEncoder
    @Bean
    public PasswordEncoder passwordencoder(){
        //BCryptPasswordEncoder implements PasswordEncoder
        return new BCryptPasswordEncoder();
    }
    
    
    /**
     * 记住我TokenRepository配置，在登陆成功后执行
     * 登陆成功后往数据库存token的
     * @Description: 记住我TokenRepository配置
     * @param @return   JdbcTokenRepositoryImpl
     * @return PersistentTokenRepository  
     * @throws
     * @author lihaoyang
     * @date 2018年3月5日
     */
    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //启动时自动生成相应表，能够在JdbcTokenRepositoryImpl里本身执行CREATE_TABLE_SQL脚本生成表
        jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }
    
    
   //版本二：可配置的登陆页
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //验证码过滤器
        ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
        //验证码过滤器中使用本身的错误处理
        validateCodeFilter.setAuthenticationFailureHandler(imoocAuthenticationFailureHandler);
        //配置的验证码过滤url
        validateCodeFilter.setSecurityProperties(securityProperties);
        validateCodeFilter.afterPropertiesSet();
        
        
        //实现须要认证的接口跳转表单登陆,安全=认证+受权
        //http.httpBasic() //这个就是默认的弹框认证
        //
        http //把验证码过滤器加载登陆过滤器前边
            .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
            //表单认证相关配置
            .formLogin() 
                .loginPage("/authentication/require") //处理用户认证BrowserSecurityController
                //登陆过滤器UsernamePasswordAuthenticationFilter默认登陆的url是"/login"，在这能改
                .loginProcessingUrl("/authentication/form") 
                .successHandler(imoocAuthenticationSuccessHandler)//自定义的认证后处理器
                .failureHandler(imoocAuthenticationFailureHandler) //登陆失败后的处理
            .and()
            //记住我相关配置    
 .rememberMe()
                .tokenRepository(persistentTokenRepository())//TokenRepository，登陆成功后往数据库存token的
                .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())//记住我秒数
                .userDetailsService(userDetailsService) //记住我成功后，调用userDetailsService查询用户信息
            .and()
            //受权相关的配置 
            .authorizeRequests() 
                // /authentication/require：处理登陆，securityProperties.getBrowser().getLoginPage():用户配置的登陆页
                .antMatchers("/authentication/require",
                securityProperties.getBrowser().getLoginPage(),//放过登陆页不过滤，不然报错
                "/verifycode/image").permitAll() //验证码
                .anyRequest()        //任何请求
                .authenticated()    //都须要身份认证
            .and()
                .csrf().disable() //关闭csrf防御
            ;    
    }
}

其中因为要和数据库打交道，因此须要注入一个数据源：application.properties

spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/imooc-demo
spring.datasource.username=root
spring.datasource.password=root

启动应用，访问 localhost:8080/user，须要登陆

登陆成功：

数据库：生成一个persistent_logins表，存进去了一条数据

中止服务，重新启动（注释掉生成保存token表的jdbcTokenRepository.setCreateTableOnStartup(true);）由于咱们的用户登陆信息都存在了session中，因此重启服务后，再访问localhost:8080/user，本应该从新引导到登陆页，可是因为配置了记住我，因此可以直接访问,拿到了接口数据

请求头：

至此基本的rememberMe已作好

 

 

完整代码放在了github：https://github.com/lhy1234/spring-security

 

打个广告

最近在玩今日头条头条号，录一些北京打工生活，想看的请搜索“北漂小阳”点击关注