SpringSecurityRememberme使用及原理是什么

发布时间:2021-10-18 09:58:02 作者:柒染
来源:亿速云 阅读:103

SpringSecurityRememberme使用及原理是什么,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

Remember me功能就是勾选"记住我"后,一次登录,后面在有效期内免登录。

先看具体配置:

pom文件:

<dependency>   <groupId>org.springframework.boot</groupId>   <artifactId>spring-boot-starter-data-jpa</artifactId></dependency><dependency>   <groupId>org.springframework.boot</groupId>   <artifactId>spring-boot-starter-security</artifactId></dependency>

Security的配置:

@Autowired  private UserDetailsService myUserDetailServiceImpl; // 用户信息服务  @Autowired  private DataSource dataSource; // 数据源  @Override  protected void configure(HttpSecurity http) throws Exception {    // formLogin()是默认的登录表单页,如果不配置 loginPage(url),则使用 spring security    // 默认的登录页,如果配置了 loginPage()则使用自定义的登录页    http.formLogin() // 表单登录        .loginPage(SecurityConst.AUTH_REQUIRE)        .loginProcessingUrl(SecurityConst.AUTH_FORM) // 登录请求拦截的url,也就是form表单提交时指定的action        .successHandler(loginSuccessHandler)        .failureHandler(loginFailureHandler)        .and()      .rememberMe()        .userDetailsService(myUserDetailServiceImpl) // 设置userDetailsService        .tokenRepository(persistentTokenRepository()) // 设置数据访问层        .tokenValiditySeconds(60 * 60) // 记住我的时间(秒)        .and()      .authorizeRequests() // 对请求授权        .antMatchers(SecurityConst.AUTH_REQUIRE, securityProperty.getBrowser().getLoginPage()).permitAll() // 允许所有人访问login.html和自定义的登录页        .anyRequest() // 任何请求        .authenticated()// 需要身份认证        .and()      .csrf().disable() // 关闭跨站伪造    ;  }  /**   * 持久化token   *    * Security中,默认是使用PersistentTokenRepository的子类InMemoryTokenRepositoryImpl,将token放在内存中   * 如果使用JdbcTokenRepositoryImpl,会创建表persistent_logins,将token持久化到数据库   */  @Bean  public PersistentTokenRepository persistentTokenRepository() {    JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();    tokenRepository.setDataSource(dataSource); // 设置数据源//    tokenRepository.setCreateTableOnStartup(true); // 启动创建表,创建成功后注释掉    return tokenRepository;  }

上面的myUserDetailServiceImpl是自己实现的UserDetailsService接口,dataSource会自动读取数据库配置。过期时间设置的3600秒,即一个小时

在登录页面加一行(name必须是remeber-me):

"记住我"基本原理:

1、第一次发送认证请求,会被UsernamePasswordAuthenticationFilter拦截,然后身份认证。

认证成功后,在AbstracAuthenticationProcessingFilter中,有个RememberMeServices接口。

该接口默认实现类是NullRememberMeServices,这里会调用另一个实现抽象类AbstractRememberMeServices

// ...  private RememberMeServices rememberMeServices = new NullRememberMeServices();  protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,      Authentication authResult) throws IOException, ServletException {    // ...    SecurityContextHolder.getContext().setAuthentication(authResult);    // 登录成功后,调用RememberMeServices保存Token相关信息    rememberMeServices.loginSuccess(request, response, authResult);    // ...  }

2、调用AbstractRememberMeServices的loginSuccess方法。

可以看到如果request中name为"remember-me"为true时,才会调用下面的onLoginSuccess()方法。这也是为什么上面登录页中的表单,name必须是"remember-me"的原因:

3、在Security中配置了rememberMe()之后, 会由PersistentTokenBasedRememberMeServices去实现父类AbstractRememberMeServices中的抽象方法。

在PersistentTokenBasedRememberMeServices中,有一个PersistentTokenRepository,会生成一个Token,并将这个Token写到cookie里面返回浏览器。PersistentTokenRepository的默认实现类是InMemoryTokenRepositoryImpl,该默认实现类会将token保存到内存中。这里我们配置了它的另一个实现类JdbcTokenRepositoryImpl,该类会将Token持久化到数据库中

// ...  private PersistentTokenRepository tokenRepository = new InMemoryTokenRepositoryImpl();  protected void onLoginSuccess(HttpServletRequest request,      HttpServletResponse response, Authentication successfulAuthentication) {    String username = successfulAuthentication.getName();    logger.debug("Creating new persistent login for user " + username);    // 创建一个PersistentRememberMeToken    PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(        username, generateSeriesData(), generateTokenData(), new Date());    try {      // 保存Token      tokenRepository.createNewToken(persistentToken);      // 将Token写到Cookie中      addCookie(persistentToken, request, response);    }    catch (Exception e) {      logger.error("Failed to save persistent token ", e);    }  }

4、JdbcTokenRepositoryImpl将Token持久化到数据库

/** The default SQL used by <tt>createNewToken</tt> */  public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";  public void createNewToken(PersistentRememberMeToken token) {    getJdbcTemplate().update(insertTokenSql, token.getUsername(), token.getSeries(),        token.getTokenValue(), token.getDate());  }

查看数据库,可以看到往persistent_logins 中插入了一条数据:

5、重启服务,发送第二次认证请求,只会携带Cookie。

所以直接会被RememberMeAuthenticationFilter拦截,并且此时内存中没有认证信息。

可以看到,此时的RememberMeServices是由PersistentTokenBasedRememberMeServices实现

6、在PersistentTokenBasedRememberMeServices中,调用processAutoLoginCookie方法,获取用户相关信息

protected UserDetails processAutoLoginCookie(String[] cookieTokens,      HttpServletRequest request, HttpServletResponse response) {    if (cookieTokens.length != 2) {      throw new InvalidCookieException("Cookie token did not contain " + 2          + " tokens, but contained '" + Arrays.asList(cookieTokens) + "'");    }    // 从Cookie中获取Series和Token    final String presentedSeries = cookieTokens[0];    final String presentedToken = cookieTokens[1];     //在数据库中,通过Series查询PersistentRememberMeToken    PersistentRememberMeToken token = tokenRepository        .getTokenForSeries(presentedSeries);    if (token == null) {      throw new RememberMeAuthenticationException(          "No persistent token found for series id: " + presentedSeries);    }    // 校验数据库中Token和Cookie中的Token是否相同    if (!presentedToken.equals(token.getTokenValue())) {      tokenRepository.removeUserTokens(token.getUsername());      throw new CookieTheftException(          messages.getMessage(              "PersistentTokenBasedRememberMeServices.cookieStolen",              "Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));    }    // 判断Token是否超时    if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System        .currentTimeMillis()) {      throw new RememberMeAuthenticationException("Remember-me login has expired");    }    if (logger.isDebugEnabled()) {      logger.debug("Refreshing persistent login token for user '"          + token.getUsername() + "', series '" + token.getSeries() + "'");    }        // 创建一个新的PersistentRememberMeToken    PersistentRememberMeToken newToken = new PersistentRememberMeToken(        token.getUsername(), token.getSeries(), generateTokenData(), new Date());    try {      //更新数据库中Token      tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),          newToken.getDate());      //重新写到Cookie      addCookie(newToken, request, response);    }    catch (Exception e) {      logger.error("Failed to update token: ", e);      throw new RememberMeAuthenticationException(          "Autologin failed due to data access problem");    }    //调用UserDetailsService获取用户信息    return getUserDetailsService().loadUserByUsername(token.getUsername());  }

7、获取用户相关信息后,再调用AuthenticationManager去认证授权

关于SpringSecurityRememberme使用及原理是什么问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注亿速云行业资讯频道了解更多相关知识。

推荐阅读:
  1. DHCP原理是什么
  2. ThreadLocal原理是什么

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

springsecurity rememberme

上一篇:如何理解php的正则表达式

下一篇:反射可以做什么

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》