Remember me功能就是勾选"记住我"后,一次登录,后面在有效期内免登录。

先看具体配置:

pom文件:

<dependency>

      <groupId>org.springframework.boot</groupId>

      <artifactId>spring-boot-starter-data-jpa</artifactId>

</dependency>

<dependency>

      <groupId>org.springframework.boot</groupId>

      <artifactId>spring-boot-starter-security</artifactId>

</dependency>

Security的配置:

    @Autowired

    private UserDetailsService myUserDetailServiceImpl; // 用户信息服务

    @Autowired

    private DataSource dataSource; // 数据源

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // formLogin()是默认的登录表单页,如果不配置 loginPage(url),则使用 spring security

        // 默认的登录页,如果配置了 loginPage()则使用自定义的登录页

        http.formLogin() // 表单登录

                .loginPage(SecurityConst.AUTH_REQUIRE)

                .loginProcessingUrl(SecurityConst.AUTH_FORM) // 登录请求拦截的url,也就是form表单提交时指定的action

                .successHandler(loginSuccessHandler)

                .failureHandler(loginFailureHandler)

                .and()

            .rememberMe()

                .userDetailsService(myUserDetailServiceImpl) // 设置userDetailsService

                .tokenRepository(persistentTokenRepository()) // 设置数据访问层

                .tokenValiditySeconds(60 * 60) // 记住我的时间(秒)

                .and()

            .authorizeRequests() // 对请求授权

                .antMatchers(SecurityConst.AUTH_REQUIRE, securityProperty.getBrowser().getLoginPage()).permitAll() // 允许所有人访问login.html和自定义的登录页

                .anyRequest() // 任何请求

                .authenticated()// 需要身份认证

                .and()

            .csrf().disable() // 关闭跨站伪造

        ;

    }

    /**

     * 持久化token

     *

     * Security中,默认是使用PersistentTokenRepository的子类InMemoryTokenRepositoryImpl,将token放在内存中

     * 如果使用JdbcTokenRepositoryImpl,会创建表persistent_logins,将token持久化到数据库

     */

    @Bean

    public PersistentTokenRepository persistentTokenRepository() {

        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();

        tokenRepository.setDataSource(dataSource); // 设置数据源

//        tokenRepository.setCreateTableOnStartup(true); // 启动创建表,创建成功后注释掉

        return tokenRepository;

    }

上面的myUserDetailServiceImpl是自己实现的UserDetailsService接口,dataSource会自动读取数据库配置。过期时间设置的3600秒,即一个小时

在登录页面加一行(name必须是remeber-me):

"记住我"基本原理:

1、第一次发送认证请求,会被UsernamePasswordAuthenticationFilter拦截,然后身份认证。认证成功后,在AbstracAuthenticationProcessingFilter中,有个RememberMeServices接口。该接口默认实现类是NullRememberMeServices,这里会调用另一个实现抽象类AbstractRememberMeServices

    // ...

    private RememberMeServices rememberMeServices = new NullRememberMeServices();

    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,

            Authentication authResult) throws IOException, ServletException {

        // ...

        SecurityContextHolder.getContext().setAuthentication(authResult);

        // 登录成功后,调用RememberMeServices保存Token相关信息

        rememberMeServices.loginSuccess(request, response, authResult);

        // ...

    }

2、调用AbstractRememberMeServices的loginSuccess方法。可以看到如果request中name为"remember-me"为true时,才会调用下面的onLoginSuccess()方法。这也是为什么上面登录页中的表单,name必须是"remember-me"的原因:

3、在Security中配置了rememberMe()之后, 会由PersistentTokenBasedRememberMeServices去实现父类AbstractRememberMeServices中的抽象方法。在PersistentTokenBasedRememberMeServices中,有一个PersistentTokenRepository,会生成一个Token,并将这个Token写到cookie里面返回浏览器。PersistentTokenRepository的默认实现类是InMemoryTokenRepositoryImpl,该默认实现类会将token保存到内存中。这里我们配置了它的另一个实现类JdbcTokenRepositoryImpl,该类会将Token持久化到数据库中

    // ...

    private PersistentTokenRepository tokenRepository = new InMemoryTokenRepositoryImpl();

    protected void onLoginSuccess(HttpServletRequest request,

            HttpServletResponse response, Authentication successfulAuthentication) {

        String username = successfulAuthentication.getName();

        logger.debug("Creating new persistent login for user " + username);

        // 创建一个PersistentRememberMeToken

        PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(

                username, generateSeriesData(), generateTokenData(), new Date());

        try {

            // 保存Token

            tokenRepository.createNewToken(persistentToken);

            // 将Token写到Cookie中

            addCookie(persistentToken, request, response);

        }

        catch (Exception e) {

            logger.error("Failed to save persistent token ", e);

        }

    }

4、JdbcTokenRepositoryImpl将Token持久化到数据库

   /** The default SQL used by <tt>createNewToken</tt> */

    public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";

    public void createNewToken(PersistentRememberMeToken token) {

        getJdbcTemplate().update(insertTokenSql, token.getUsername(), token.getSeries(),

                token.getTokenValue(), token.getDate());

    }

查看数据库,可以看到往persistent_logins 中插入了一条数据:

5、重启服务,发送第二次认证请求,只会携带Cookie。所以直接会被RememberMeAuthenticationFilter拦截,并且此时内存中没有认证信息。可以看到,此时的RememberMeServices是由PersistentTokenBasedRememberMeServices实现

6、在PersistentTokenBasedRememberMeServices中,调用processAutoLoginCookie方法,获取用户相关信息

protected UserDetails processAutoLoginCookie(String[] cookieTokens,

            HttpServletRequest request, HttpServletResponse response) {

        if (cookieTokens.length != ) {

            throw new InvalidCookieException("Cookie token did not contain " +

                    + " tokens, but contained '" + Arrays.asList(cookieTokens) + "'");

        }

        // 从Cookie中获取Series和Token

        final String presentedSeries = cookieTokens[];

        final String presentedToken = cookieTokens[]; 

        //在数据库中,通过Series查询PersistentRememberMeToken

        PersistentRememberMeToken token = tokenRepository

                .getTokenForSeries(presentedSeries);

        if (token == null) {

            throw new RememberMeAuthenticationException(

                    "No persistent token found for series id: " + presentedSeries);

        }

        // 校验数据库中Token和Cookie中的Token是否相同

        if (!presentedToken.equals(token.getTokenValue())) {

            tokenRepository.removeUserTokens(token.getUsername());

            throw new CookieTheftException(

                    messages.getMessage(

                            "PersistentTokenBasedRememberMeServices.cookieStolen",

                            "Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));

        }

        // 判断Token是否超时

        if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System

                .currentTimeMillis()) {

            throw new RememberMeAuthenticationException("Remember-me login has expired");

        }

        if (logger.isDebugEnabled()) {

            logger.debug("Refreshing persistent login token for user '"

                    + token.getUsername() + "', series '" + token.getSeries() + "'");

        }

        // 创建一个新的PersistentRememberMeToken

        PersistentRememberMeToken newToken = new PersistentRememberMeToken(

                token.getUsername(), token.getSeries(), generateTokenData(), new Date());

        try {

            //更新数据库中Token

            tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),

                    newToken.getDate());

            //重新写到Cookie

            addCookie(newToken, request, response);

        }

        catch (Exception e) {

            logger.error("Failed to update token: ", e);

            throw new RememberMeAuthenticationException(

                    "Autologin failed due to data access problem");

        }

        //调用UserDetailsService获取用户信息

        return getUserDetailsService().loadUserByUsername(token.getUsername());

    }

7、获取用户相关信息后,再调用AuthenticationManager去认证授权,授权细节可参考:AuthenticationManager、ProviderManager

Spring Security之Remember me详解的更多相关文章

  1. spring security 3.2 配置详解(结合数据库)

    没事就来了解下spring security.网上找了很多资料.有过时的,也有不是很全面的.各种问题也算是让我碰了个遍.这样吧.我先把整个流程写下来,之后在各个易混点分析吧. 1.建立几个必要的页面. ...

  2. Spring Boot Actuator监控使用详解

    在企业级应用中,学习了如何进行SpringBoot应用的功能开发,以及如何写单元测试.集成测试等还是不够的.在实际的软件开发中还需要:应用程序的监控和管理.SpringBoot的Actuator模块实 ...

  3. [置顶] 深入浅出Spring(三) AOP详解

    上次的博文深入浅出Spring(二) IoC详解中,我为大家简单介绍了一下Spring框架核心内容中的IoC,接下来我们继续讲解另一个核心AOP(Aspect Oriented Programming ...

  4. Spring Boot的启动器Starter详解

    Spring Boot的启动器Starter详解 作者:chszs,未经博主允许不得转载.经许可的转载需注明作者和博客主页:http://blog.csdn.net/chszs Spring Boot ...

  5. Spring Boot 之使用 Json 详解

    Spring Boot 之使用 Json 详解 简介 Spring Boot 支持的 Json 库 Spring Web 中的序列化.反序列化 指定类的 Json 序列化.反序列化 @JsonTest ...

  6. Spring Boot(八):RabbitMQ详解

    Spring Boot(八):RabbitMQ详解 RabbitMQ 即一个消息队列,主要是用来实现应用程序的异步和解耦,同时也能起到消息缓冲,消息分发的作用. 消息中间件在互联网公司的使用中越来越多 ...

  7. Spring boot注解(annotation)含义详解

    Spring boot注解(annotation)含义详解 @Service用于标注业务层组件@Controller用于标注控制层组件(如struts中的action)@Repository用于标注数 ...

  8. Spring 入门 web.xml配置详解

    Spring 入门 web.xml配置详解 https://www.cnblogs.com/cczz_11/p/4363314.html https://blog.csdn.net/hellolove ...

  9. Spring学习 6- Spring MVC (Spring MVC原理及配置详解)

    百度的面试官问:Web容器,Servlet容器,SpringMVC容器的区别: 我还写了个文章,说明web容器与servlet容器的联系,参考:servlet单实例多线程模式 这个文章有web容器与s ...

随机推荐

  1. pip更换国内源

    学习Python开发,据说pip是很好用的一个Python包管理工具,于是尝试使用,但源异常慢,于是切换至国内的源(清华源). 在~/.pip/pip.conf (如果没有此文件则自行新建) 内容 [ ...

  2. com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax;问题的解决

    哇,时隔两天时间,终于找到这个问题的解决办法,先看问题 这是我最近写的家庭记账本网页版,按顺序输入点击保存,总是弹出添加失败的提示 顺着找原因,把原因锁定在dao层的sql语句上,反复检查,没有找到一 ...

  3. C++ MFC棋牌类小游戏day4

    根据昨天的计划,今天开始做下面的内容. 1.鼠标点击事件 2.点击坐标进行处理.(坐标转换) 3.判断选中的位置是否有效. 4.确定选中的棋子,设置棋子的状态和棋子所在坐标的状态. 5.判断移动是否有 ...

  4. Hdp安装问题杂解

    5.在安装的时候遇到的问题 5.1使用ambari-server start的时候出现ERROR: Exiting with exit code -1. 5.1.1REASON: Ambari Ser ...

  5. Html5与Css3知识点拾遗(五)

    css3更新的颜色 RGBA:红.绿.蓝.不透明度 rgba(89,0,127,0.4); HSL和HSLA:色相.饱和度.亮度.不透明度 hsl(282,100%,25%); hsl(282,100 ...

  6. 【接口时序】1、软件与Verilog基本格式规范说明

    一. 说明 以前总是没有记录的习惯,导致遇到问题时总得重新回忆与摸索,大大降低了学习效率,从今天开始决定改掉这个坏毛病,认真记录自己的Verilog学习之路,希望自己能一直坚持下去. 二. 软件资源与 ...

  7. Jira/Confluence的备份、恢复和迁移

    之前的文章已经分别详细介绍了Jira.Confluence的安装及二者账号对接的操作方法,下面简单说下二者的备份.恢复和迁移: 一.Jira.Confluence的备份.恢复1)Confluence的 ...

  8. Testing - 软件测试知识梳理 - 测试流程

    测试存在于各个阶段: 需求测试--->单元测试--->集成测试--->系统测试--->性能测试--->用户测试--->回归测试 需求测试 完整性&正确性 一 ...

  9. 2 jquery选择器

    一基本选择器 #id .class  elment  *  select1, select2, select3... 例 $("span, #two").css("bac ...

  10. WebSocket connection to 'ws://xx:9502/' failed:Error in connection establishment:net::ERR_CONNECTION_TIMED_OUT

    1.首先看能否ping通服务器 2.telnet xx 9502之后能不能连通 3.如果连不通有可能是防火墙的问题 可以试试清空防火墙规则,或者关闭防火墙 iptables -F