【Spring Security】7、RememberMe配置
1、概述
RememberMe 是指用户在网站上可以在 Session 之间记住登陆用户的身份的凭证,通俗的来讲就是用户登录成功认证一次以后在制定的必定时间内能够不用再输入用户名和密码进行自动登陆。这个过程当中经过服务端发送一个 cookie 给客户端浏览器保存,下次浏览器再访问服务端时服务端可以自动检测客户端的 cookie,根据 cookie 值触发自动登陆操做。
Spring Security中的 Remember-Me 功能一般有两种实现方式。
- 一种是简单的使用加密来保证基于 cookie 的 token 的安全
- 另外一种是经过数据库或其它持久化存储机制来保存生成的 token
两种方式的区别:
- 第一中方式不安全,就是说在用户获取到实现记住我功能的 token 后,任何用户均可以在该 token 过时以前经过该 token 进行自动登陆。若是用户发现本身的 token 被盗用了,那么他能够经过改变本身的登陆密码来当即使其全部的记住我 token 失效
- 若是但愿咱们的应用可以更安全,那就使用第二种方式。第二种方式也是详细要讲解的。
基本原理html
2、基于简单加密的方式
首先须要改动login.jsp,把记住个人checkbox的name修改成自定义的名称
java
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>自定义登录页面</title> </head> <body> <div class="error ${param.error == true ? '' : 'hide'}"> 登录失败<br> ${sessionScope['SPRING_SECURITY_LAST_EXCEPTION'].message} </div> <form method="post" action="${pageContext.request.contextPath}/j_spring_security_check" style="width:260px; text-align: center"> <fieldset> <legend>登录</legend> 用户: <input type="text" name="j_username" style="width: 150px;" value="${sessionScope['SPRING_SECURITY_LAST_USERNAME']}" /> <br/> 密码: <input type="password" name="j_password" style="width: 150px;" /> <br/> <input type="checkbox" name="remember-me" />记住我<br/> <input type="submit" value="登录" /> <input type="reset" value="重置" /> </fieldset> </form> </body> </html>
须要特别注意的是,这两种方式在配置的时候都要提供一个UserDetailsService,这个东西其实就是以前配置的jdbc-user-service标签的一个实现类,配置代码以下:mysql
<beans:bean id="userDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl"> <beans:property name="usersByUsernameQuery" value="select username,password,status as enabled from user where username = ?" /> <beans:property name="authoritiesByUsernameQuery" value="select user.username,role.name from user,role,user_role where user.id=user_role.user_id and user_role.role_id=role.id and user.username=?" /> <beans:property name="dataSource" ref="dataSource" /> </beans:bean>
说明:web
- dataSource就是链接数据库的数据源;
- usersByUsernameQuery就是配置jdbc-user-service时候的users-by-username-query,这个是根据用户名来查询用户的sql语句;
- 同理authoritiesByUsernameQuery就是对应的authorities-by-username-query,这个用来根据用户名查询对应的权限。
下面来配置rememberMe的过滤器:
<!-- Remember-Me 对应的 Filter --> <beans:bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter"> <beans:property name="rememberMeServices" ref="rememberMeServices" /> <beans:property name="authenticationManager" ref="authenticationManager" /> </beans:bean>
这个过滤器仅仅这样配置是不会起做用的,还要把它加入的Security的FilterChain中去,用<custom-filter ref="rememberMeFilter" position="REMEMBER_ME_FILTER"/>便可,另外这个过滤器要提供一个rememberMeServices和一个用户认证的authenticationManager,后面这个其实就是authentication-manager所配置的东西,而前面这个须要另外配置,配置方式以下:spring
<!-- RememberMeServices 的实现 --> <beans:bean id="rememberMeServices" class="org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices"> <beans:property name="userDetailsService" ref="userDetailsService" /> <beans:property name="key" value="sunny" /> <!-- 指定 request 中包含的用户是否选择了记住个人参数名 --> <beans:property name="parameter" value="remember-me" /> <beans:property name="tokenRepository"> <beans:bean class="org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl"> <beans:property name="dataSource" ref="dataSource"/> <!-- 是否在启动时建立持久化 token 的数据库表 若为true,但数据有这个表时,会启动失败,提示表已存在 --> <beans:property name="createTableOnStartup" value="false"/> </beans:bean> </beans:property> </beans:bean>
- 这个配置中的userDetailsService就是上面配置的,直接引用上面的便可;
- key就是token中的key,这个key能够用来方式token被修改,另外这个key要和后面配置的rememberMeAuthenticationProvider的key要同样;
- parameter就是登录界面的点击记住密码的checkbox的name值,这个必定要一致,要否则没有效果的。
- 初次以外还要配置一个用户记住密码作认证的authenticationManager
<!-- 记住密码 ,key 值需与对应的 RememberMeServices 保持一致 --> <beans:bean id="rememberMeAuthenticationProvider" class="org.springframework.security.authentication.RememberMeAuthenticationProvider"> <beans:property name="key" value="sunny" /> </beans:bean>
同时还要将其添加到authentication-manager标签中去sql
<!--认证管理--> <authentication-manager alias="authenticationManager"> <authentication-provider user-service-ref="userDetailsService"></authentication-provider> <!-- 记住密码 --> <authentication-provider ref="rememberMeAuthenticationProvider"></authentication-provider> </authentication-manager>
最后面将rememberMeServices添加到myUsernamePasswordAuthenticationFilter中去。数据库
<!-- 自定义登陆过滤器 --> <beans:bean id="myUsernamePasswordAuthenticationFilter" class="com.sunny.auth.MyUsernamePasswordAuthenticationFilter"> <beans:property name="filterProcessesUrl" value="/j_spring_security_check" /> <beans:property name="authenticationManager" ref="authenticationManager" /> <beans:property name="authenticationSuccessHandler" ref="loginLogAuthenticationSuccessHandler" /> <beans:property name="authenticationFailureHandler" ref="simpleUrlAuthenticationFailureHandler" /> <!-- 记住我 --> <beans:property name="rememberMeServices" ref="rememberMeServices" /> </beans:bean>
最终的spring-security.xml配置文件以下:
<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> <!-- 不须要访问权限 --> <http pattern="/page/login.jsp" security="none"></http> <http auto-config="false" entry-point-ref="loginUrlAuthenticationEntryPoint"> <!-- <form-login login-page="/page/login.jsp" default-target-url="/page/admin.jsp" authentication-failure-url="/page/login.jsp?error=true" /> --> <logout invalidate-session="true" logout-success-url="/page/login.jsp" logout-url="/j_spring_security_logout" /> <!-- 自定义登陆过滤器 --> <custom-filter ref="myUsernamePasswordAuthenticationFilter" position="FORM_LOGIN_FILTER" /> <!--替换默认REMEMBER_ME_FILTER--> <custom-filter ref="rememberMeFilter" position="REMEMBER_ME_FILTER"/> <!-- 经过配置custom-filter来增长过滤器,before="FILTER_SECURITY_INTERCEPTOR"表示在SpringSecurity默认的过滤器以前执行。 --> <custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR" /> </http> <!-- 登陆切入点 --> <beans:bean id="loginUrlAuthenticationEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint"> <beans:property name="loginFormUrl" value="/page/login.jsp"/> </beans:bean> <!-- 自定义登陆过滤器 --> <beans:bean id="myUsernamePasswordAuthenticationFilter" class="com.sunny.auth.MyUsernamePasswordAuthenticationFilter"> <beans:property name="filterProcessesUrl" value="/j_spring_security_check" /> <beans:property name="authenticationManager" ref="authenticationManager" /> <beans:property name="authenticationSuccessHandler" ref="loginLogAuthenticationSuccessHandler" /> <beans:property name="authenticationFailureHandler" ref="simpleUrlAuthenticationFailureHandler" /> <!-- 记住我 --> <beans:property name="rememberMeServices" ref="rememberMeServices" /> </beans:bean> <!-- 登陆成功 --> <beans:bean id="loginLogAuthenticationSuccessHandler" class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler"> <beans:property name="defaultTargetUrl" value="/page/admin.jsp" /> </beans:bean> <!-- 登陆失败 --> <beans:bean id="simpleUrlAuthenticationFailureHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler"> <beans:property name="defaultFailureUrl" value="/page/login.jsp" /> </beans:bean> <!-- 认证过滤器 --> <beans:bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor"> <!-- 用户拥有的权限 --> <beans:property name="accessDecisionManager" ref="accessDecisionManager" /> <!-- 用户是否拥有所请求资源的权限 --> <beans:property name="authenticationManager" ref="authenticationManager" /> <!-- 资源与权限对应关系 --> <beans:property name="securityMetadataSource" ref="securityMetadataSource" /> </beans:bean> <!-- 受权管理器 --> <beans:bean id="accessDecisionManager" class="com.sunny.auth.MyAccessDecisionManager"> </beans:bean> <!--自定义的切入点--> <beans:bean id="securityMetadataSource" class="com.sunny.auth.MyFilterInvocationSecurityMetadataSource"> <beans:property name="builder" ref="builder"/> </beans:bean> <beans:bean id="builder" class="com.sunny.auth.JdbcRequestMapBulider"> <beans:property name="dataSource" ref="dataSource" /> <beans:property name="resourceQuery" value="select re.res_string,r.name from role r,resc re,resc_role rr where r.id=rr.role_id and re.id=rr.resc_id" /> </beans:bean> <!--认证管理--> <authentication-manager alias="authenticationManager"> <authentication-provider user-service-ref="userDetailsService"></authentication-provider> <!-- 记住密码 --> <authentication-provider ref="rememberMeAuthenticationProvider"></authentication-provider> </authentication-manager> <!-- Remember-Me 对应的 Filter --> <beans:bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter"> <beans:property name="rememberMeServices" ref="rememberMeServices" /> <beans:property name="authenticationManager" ref="authenticationManager" /> </beans:bean> <!-- RememberMeServices 的实现 --> <beans:bean id="rememberMeServices" class="org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices"> <beans:property name="userDetailsService" ref="userDetailsService" /> <beans:property name="key" value="sunny" /> <!-- 指定 request 中包含的用户是否选择了记住个人参数名 --> <beans:property name="parameter" value="remember-me" /> <beans:property name="tokenRepository"> <beans:bean class="org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl"> <beans:property name="dataSource" ref="dataSource"/> <!-- 是否在启动时建立持久化 token 的数据库表 若为true,但数据有这个表时,会启动失败,提示表已存在 --> <beans:property name="createTableOnStartup" value="false"/> </beans:bean> </beans:property> </beans:bean> <!-- 记住密码 ,key 值需与对应的 RememberMeServices 保持一致 --> <beans:bean id="rememberMeAuthenticationProvider" class="org.springframework.security.authentication.RememberMeAuthenticationProvider"> <beans:property name="key" value="sunny" /> </beans:bean> <beans:bean id="userDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl"> <beans:property name="usersByUsernameQuery" value="select username,password,status as enabled from user where username = ?" /> <beans:property name="authoritiesByUsernameQuery" value="select user.username,role.name from user,role,user_role where user.id=user_role.user_id and user_role.role_id=role.id and user.username=?" /> <beans:property name="dataSource" ref="dataSource" /> </beans:bean> </beans:beans>
spring-dataSource.xml保持不变浏览器
<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> <!-- 数据源 --> <beans:bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource" destroy-method="close"> <!-- 此为c3p0在spring中直接配置datasource c3p0是一个开源的JDBC链接池 --> <beans:property name="driverClass" value="com.mysql.jdbc.Driver" /> <beans:property name="jdbcUrl" value="jdbc:mysql://localhost:3306/springsecurity?useUnicode=true&characterEncoding=UTF-8" /> <beans:property name="user" value="root" /> <beans:property name="password" value="" /> <beans:property name="maxPoolSize" value="50"></beans:property> <beans:property name="minPoolSize" value="10"></beans:property> <beans:property name="initialPoolSize" value="10"></beans:property> <beans:property name="maxIdleTime" value="25000"></beans:property> <beans:property name="acquireIncrement" value="1"></beans:property> <beans:property name="acquireRetryAttempts" value="30"></beans:property> <beans:property name="acquireRetryDelay" value="1000"></beans:property> <beans:property name="testConnectionOnCheckin" value="true"></beans:property> <beans:property name="idleConnectionTestPeriod" value="18000"></beans:property> <beans:property name="checkoutTimeout" value="5000"></beans:property> <beans:property name="automaticTestTable" value="t_c3p0"></beans:property> </beans:bean> </beans:beans>
3、基于持久化的方式配置
在将这配置以前先对上面rememberService中的实现类TokenBasedRememberMeServices进行简单的讲解,该类主要是基于简单加密 token 的一个实现类。安全
- TokenBasedRememberMeServices 会在用户选择了记住我成功登陆后,生成一个包含 token 信息的 cookie 发送到客户端;
- 若是用户登陆失败则会删除客户端保存的实现 Remember-Me 的 cookie。
- 须要自动登陆时,它会判断 cookie 中所包含的关于 Remember-Me 的信息是否与系统一致,一致则返回一个 RememberMeAuthenticationToken 供 RememberMeAuthenticationProvider 处理,不一致则会删除客户端的 Remember-Me cookie。
- TokenBasedRememberMeServices 还实现了 Spring Security 的 LogoutHandler 接口,因此它能够在用户退出登陆时当即清除 Remember-Me cookie。
而基础持久化方式配置的实质就是这个类不一样,基于持久化方式配置的所用的实现类为:PersistentTokenBasedRememberMeServices,一看名字就知道其做用,就是将token进行持久化保存起来,要保存数据相应的就是为其制定保存的地方,这个保存的地方就是用PersistentTokenRepository来指定的,Spring Security 对此有两种实现,InMemoryTokenRepositoryImpl 和 JdbcTokenRepositoryImpl。前者是将 token 存放在内存中的,一般用于测试,然后者是将 token 存放在数据库中。PersistentTokenBasedRememberMeServices 默认使用的是前者,咱们能够经过其 tokenRepository 属性来指定使用的 PersistentTokenRepository。这例子用JdbcTokenRepositoryImpl来进行持久化保存,显然要往数据库保存数据,确定要有一张表,这个表security也有提供而且是固定的,sql语句为:cookie
create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)
在数据库中建立该表便可。
建立后的表为:
4、两种配置的效果
没勾选【记住我】时候,登录后再退出,再访问/page/admin.jsp的时候就要求从新登录。同时数据库也不会新增数据。
当勾选【记住我】在登录后,就算退出登录后,再访问/page/admin.jsp也能够不用直接访问,同时,数据库也会将登录信息保存起来,比较两次数据还能够发现,除了用户名没变,其余的数据都会由于第二次访问而进行更新
相关文章
- 1. 【Spring Security】七、RememberMe配置
- 2. spring security配置
- 3. Spring Security 配置
- 4. spring security 配置
- 5. Spring Security教程(七):RememberMe功能
- 6. SPRING SECURITY JAVA配置:Web Security
- 7. WebFlux Spring Security配置
- 8. spring boot 之 spring security 配置
- 9. springboot2.0之配置spring security记住我(rememberMe功能)不起作用的原因
- 10. Spring Security配置JSON登陆
- 更多相关文章...
- • Eclipse Debug 配置 - Eclipse 教程
- • Spring Bean的配置及常用属性 - Spring教程
- • IDEA下SpringBoot工程配置文件没有提示
- • IntelliJ IDEA 代码格式化配置和快捷键
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 字节跳动21届秋招运营两轮面试经验分享
- 2. Java 3 年,25K 多吗?
- 3. mysql安装部署
- 4. web前端开发中父链和子链方式实现通信
- 5. 3.1.6 spark体系之分布式计算-scala编程-scala中trait特性
- 6. dataframe2
- 7. ThinkFree在线
- 8. 在线画图
- 9. devtools热部署
- 10. 编译和链接
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 【Spring Security】七、RememberMe配置
- 2. spring security配置
- 3. Spring Security 配置
- 4. spring security 配置
- 5. Spring Security教程(七):RememberMe功能
- 6. SPRING SECURITY JAVA配置:Web Security
- 7. WebFlux Spring Security配置
- 8. spring boot 之 spring security 配置
- 9. springboot2.0之配置spring security记住我(rememberMe功能)不起作用的原因
- 10. Spring Security配置JSON登陆