脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程java → SpringSecurity rememberme

SpringSecurity rememberme功能实现过程解析

 更新时间:2020年03月03日 14:37:51   作者:天宇轩-王  
这篇文章主要介绍了SpringSecurity rememberme功能实现过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

记住我功能原理分析

还记得前面咱们分析认证流程时,提到的记住我功能吗?

现在继续跟踪找到AbstractRememberMeServices对象的loginSuccess方法:

再点进去上面if判断中的rememberMeRequested方法,还在当前类中:

如果上面方法返回true,就表示页面勾选了记住我选项了。

继续顺着调用的方法找到PersistentTokenBasedRememberMeServices的onLoginSuccess方法:

注意name和value属性的值不要写错哦!

先测试一下,认证通过后,关掉浏览器,再次打开页面,发现还要认证!为什么没有起作用呢?
这是因为remember me功能使用的过滤器RememberMeAuthenticationFilter默认是不开启的!

开启remember me过滤器

<security:remember-me token-validity-seconds="60"></security:remember-me>

说明:RememberMeAuthenticationFilter中功能非常简单,会在打开浏览器时,自动判断是否认证,如果没有则
调用autoLogin进行自动认证。

remember me 安全性分析

记住我功能方便是大家看得见的,但是安全性却令人担忧。因为 Cookie毕竟是保存在客户端的,很容易盗取,而且
cookie的值还与用户名、密码这些敏感数据相关,虽然加密了,但是将敏感信息存在客户端,还是不太安全。那么
这就要提醒喜欢使用此功能的,用完网站要及时手动退出登录,清空认证信息。

此外,SpringSecurity还提供了remember me的另一种相对更安全的实现机制 :在客户端的cookie中,仅保存一个
无意义的加密串(与用户名、密码等敏感数据无关),然后在db中保存该加密串-用户信息的对应关系,自动登录
时,用cookie中的加密串,到db中验证,如果通过,自动登录才算通过。

持久化remember me信息

创建一张表,注意这张表的名称和字段都是固定的,不要修改。

 <security:remember-me token-validity-seconds="60"
               data-source-ref="dataSource"
     remember-me-parameter="remember-me"></security:remember-me>
CREATE TABLE `persistent_logins` (
`username` varchar(64) NOT NULL,
`series` varchar(64) NOT NULL,
`token` varchar(64) NOT NULL,
`last_used` timestamp NOT NULL,
PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

您可能感兴趣的文章:

相关文章

  • Java如何利用线程池和Redis实现高效数据入库

    Java如何利用线程池和Redis实现高效数据入库

    文章介绍了如何利用线程池和Redis在高并发环境中实现高效的数据入库,通过将数据首先存储在Redis缓存中,然后利用线程池定期批量入库处理,确保系统的性能和稳定性,主要组件包括BatchDataStorageService、CacheService和RedisUtils等
    2025-02-02
  • 1秒钟实现Springboot 替换/写入 word文档里面的文字、图片功能

    1秒钟实现Springboot 替换/写入 word文档里面的文字、图片功能

    这篇文章主要介绍了Springboot 替换/写入 word文档里面的文字、图片,1秒钟实现,本文结合示例代码给大家介绍的非常详细,需要的朋友可以参考下
    2022-12-12
  • SpringBoot扩展SpringMVC原理并实现全面接管

    SpringBoot扩展SpringMVC原理并实现全面接管

    这篇文章主要介绍了SpringBoot扩展SpringMVC原理并实现全面接管,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
    2020-11-11
  • 使用SpringMVC在redirect重定向的时候携带参数的问题

    使用SpringMVC在redirect重定向的时候携带参数的问题

    这篇文章主要介绍了使用SpringMVC在redirect重定向的时候携带参数的问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-03-03
  • SpringBoot中的事务回滚规则详解

    SpringBoot中的事务回滚规则详解

    这篇文章主要介绍了SpringBoot中的事务回滚规则详解,事务是指一系列的操作,这些操作要么全部成功,要么全部失败。在Spring Boot中,我们可以使用事务管理器来管理事务,在使用事务管理器的时候,一个非常重要的概念就是事务回滚,需要的朋友可以参考下
    2023-07-07
  • 解决SpringBoot使用yaml作为配置文件遇到的坑

    解决SpringBoot使用yaml作为配置文件遇到的坑

    这篇文章主要介绍了解决SpringBoot使用yaml作为配置文件遇到的坑,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-08-08
  • Java后端向前端返回文件流实现下载功能

    Java后端向前端返回文件流实现下载功能

    后端可以使用Java中servlet提供的HttpServletResponse,核心步骤是要设置响应的数据类型,设置为某一类文件类型或二进制格式,以及响应头,然后用ServletOutputStream将文件以流的形式发送到前端,本文介绍Java后端向前端返回文件流实现下载功能,感兴趣的朋友一起看看吧
    2023-12-12
  • Java利用位运算实现乘法运算详解

    Java利用位运算实现乘法运算详解

    这篇文章主要为大家详细介绍了Java如何用位运算实现乘法运算,在实现乘法时要用位运算实现,并且不能出现加减乘除任何符号,感兴趣的可以了解一下
    2023-04-04
  • springboot加载命令行参数ApplicationArguments的实现

    springboot加载命令行参数ApplicationArguments的实现

    本文主要介绍了springboot加载命令行参数ApplicationArguments的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2023-04-04
  • Mybatis-Plus 通用CRUD的详细操作

    Mybatis-Plus 通用CRUD的详细操作

    这篇文章主要介绍了Mybatis-Plus 通用CRUD的详细操作,包括插入操作,更新操作及删除操作等,针对每种操作通过实例代码给大家介绍的非常详细,需要的朋友可以参考下
    2021-09-09

最新评论