快捷導(dǎo)航

Spring Security Remember me使用及原理詳解

更新時(shí)間：2019年09月20日 14:22:16 作者：僅此而已-遠(yuǎn)方

這篇文章主要介紹了Spring Security Remember me使用及原理詳解,文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下

Remember me功能就是勾選"記住我"后，一次登錄，后面在有效期內(nèi)免登錄。

先看具體配置：

pom文件：

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>
<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Security的配置：

@Autowired
  private UserDetailsService myUserDetailServiceImpl; // 用戶信息服務(wù)
  @Autowired
  private DataSource dataSource; // 數(shù)據(jù)源
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    // formLogin()是默認(rèn)的登錄表單頁(yè)，如果不配置 loginPage(url)，則使用 spring security
    // 默認(rèn)的登錄頁(yè)，如果配置了 loginPage()則使用自定義的登錄頁(yè)
    http.formLogin() // 表單登錄
        .loginPage(SecurityConst.AUTH_REQUIRE)
        .loginProcessingUrl(SecurityConst.AUTH_FORM) // 登錄請(qǐng)求攔截的url,也就是form表單提交時(shí)指定的action
        .successHandler(loginSuccessHandler)
        .failureHandler(loginFailureHandler)
        .and()
      .rememberMe()
        .userDetailsService(myUserDetailServiceImpl) // 設(shè)置userDetailsService
        .tokenRepository(persistentTokenRepository()) // 設(shè)置數(shù)據(jù)訪問(wèn)層
        .tokenValiditySeconds(60 * 60) // 記住我的時(shí)間(秒)
        .and()
      .authorizeRequests() // 對(duì)請(qǐng)求授權(quán)
        .antMatchers(SecurityConst.AUTH_REQUIRE, securityProperty.getBrowser().getLoginPage()).permitAll() // 允許所有人訪問(wèn)login.html和自定義的登錄頁(yè)
        .anyRequest() // 任何請(qǐng)求
        .authenticated()// 需要身份認(rèn)證
        .and()
      .csrf().disable() // 關(guān)閉跨站偽造
    ;
  }
  /**
   * 持久化token
   * 
   * Security中，默認(rèn)是使用PersistentTokenRepository的子類InMemoryTokenRepositoryImpl，將token放在內(nèi)存中
   * 如果使用JdbcTokenRepositoryImpl，會(huì)創(chuàng)建表persistent_logins，將token持久化到數(shù)據(jù)庫(kù)
   */
  @Bean
  public PersistentTokenRepository persistentTokenRepository() {
    JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
    tokenRepository.setDataSource(dataSource); // 設(shè)置數(shù)據(jù)源
//    tokenRepository.setCreateTableOnStartup(true); // 啟動(dòng)創(chuàng)建表，創(chuàng)建成功后注釋掉
    return tokenRepository;
  }

上面的myUserDetailServiceImpl是自己實(shí)現(xiàn)的UserDetailsService接口，dataSource會(huì)自動(dòng)讀取數(shù)據(jù)庫(kù)配置。過(guò)期時(shí)間設(shè)置的3600秒，即一個(gè)小時(shí)

在登錄頁(yè)面加一行(name必須是remeber-me)：

"記住我"基本原理：

1、第一次發(fā)送認(rèn)證請(qǐng)求，會(huì)被UsernamePasswordAuthenticationFilter攔截，然后身份認(rèn)證。

認(rèn)證成功后，在AbstracAuthenticationProcessingFilter中，有個(gè)RememberMeServices接口。

該接口默認(rèn)實(shí)現(xiàn)類是NullRememberMeServices，這里會(huì)調(diào)用另一個(gè)實(shí)現(xiàn)抽象類AbstractRememberMeServices

// ...
  private RememberMeServices rememberMeServices = new NullRememberMeServices();
  protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
      Authentication authResult) throws IOException, ServletException {
    // ...
    SecurityContextHolder.getContext().setAuthentication(authResult);
    // 登錄成功后，調(diào)用RememberMeServices保存Token相關(guān)信息
    rememberMeServices.loginSuccess(request, response, authResult);
    // ...
  }

2、調(diào)用AbstractRememberMeServices的loginSuccess方法。

可以看到如果request中name為"remember-me"為true時(shí)，才會(huì)調(diào)用下面的onLoginSuccess()方法。這也是為什么上面登錄頁(yè)中的表單，name必須是"remember-me"的原因：

3、在Security中配置了rememberMe()之后，會(huì)由PersistentTokenBasedRememberMeServices去實(shí)現(xiàn)父類AbstractRememberMeServices中的抽象方法。

在PersistentTokenBasedRememberMeServices中，有一個(gè)PersistentTokenRepository，會(huì)生成一個(gè)Token，并將這個(gè)Token寫(xiě)到cookie里面返回瀏覽器。PersistentTokenRepository的默認(rèn)實(shí)現(xiàn)類是InMemoryTokenRepositoryImpl，該默認(rèn)實(shí)現(xiàn)類會(huì)將token保存到內(nèi)存中。這里我們配置了它的另一個(gè)實(shí)現(xiàn)類JdbcTokenRepositoryImpl，該類會(huì)將Token持久化到數(shù)據(jù)庫(kù)中

// ...

  private PersistentTokenRepository tokenRepository = new InMemoryTokenRepositoryImpl();
  protected void onLoginSuccess(HttpServletRequest request,
      HttpServletResponse response, Authentication successfulAuthentication) {
    String username = successfulAuthentication.getName();

    logger.debug("Creating new persistent login for user " + username);

    // 創(chuàng)建一個(gè)PersistentRememberMeToken
    PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
        username, generateSeriesData(), generateTokenData(), new Date());
    try {
      // 保存Token
      tokenRepository.createNewToken(persistentToken);
      // 將Token寫(xiě)到Cookie中
      addCookie(persistentToken, request, response);
    }
    catch (Exception e) {
      logger.error("Failed to save persistent token ", e);
    }
  }

4、JdbcTokenRepositoryImpl將Token持久化到數(shù)據(jù)庫(kù)

/** The default SQL used by <tt>createNewToken</tt> */
  public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";

  public void createNewToken(PersistentRememberMeToken token) {
    getJdbcTemplate().update(insertTokenSql, token.getUsername(), token.getSeries(),
        token.getTokenValue(), token.getDate());
  }

查看數(shù)據(jù)庫(kù)，可以看到往persistent_logins 中插入了一條數(shù)據(jù)：

5、重啟服務(wù)，發(fā)送第二次認(rèn)證請(qǐng)求，只會(huì)攜帶Cookie。

所以直接會(huì)被RememberMeAuthenticationFilter攔截，并且此時(shí)內(nèi)存中沒(méi)有認(rèn)證信息。

可以看到，此時(shí)的RememberMeServices是由PersistentTokenBasedRememberMeServices實(shí)現(xiàn)

6、在PersistentTokenBasedRememberMeServices中，調(diào)用processAutoLoginCookie方法，獲取用戶相關(guān)信息

protected UserDetails processAutoLoginCookie(String[] cookieTokens,
      HttpServletRequest request, HttpServletResponse response) {

    if (cookieTokens.length != 2) {
      throw new InvalidCookieException("Cookie token did not contain " + 2
          + " tokens, but contained '" + Arrays.asList(cookieTokens) + "'");
    }

    // 從Cookie中獲取Series和Token
    final String presentedSeries = cookieTokens[0];
    final String presentedToken = cookieTokens[1]; 

    //在數(shù)據(jù)庫(kù)中，通過(guò)Series查詢PersistentRememberMeToken
    PersistentRememberMeToken token = tokenRepository
        .getTokenForSeries(presentedSeries);

    if (token == null) {
      throw new RememberMeAuthenticationException(
          "No persistent token found for series id: " + presentedSeries);
    }

    // 校驗(yàn)數(shù)據(jù)庫(kù)中Token和Cookie中的Token是否相同
    if (!presentedToken.equals(token.getTokenValue())) {
      tokenRepository.removeUserTokens(token.getUsername());

      throw new CookieTheftException(
          messages.getMessage(
              "PersistentTokenBasedRememberMeServices.cookieStolen",
              "Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));
    }

    // 判斷Token是否超時(shí)
    if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System
        .currentTimeMillis()) {
      throw new RememberMeAuthenticationException("Remember-me login has expired");
    }

    if (logger.isDebugEnabled()) {
      logger.debug("Refreshing persistent login token for user '"
          + token.getUsername() + "', series '" + token.getSeries() + "'");
    }
    
    // 創(chuàng)建一個(gè)新的PersistentRememberMeToken
    PersistentRememberMeToken newToken = new PersistentRememberMeToken(
        token.getUsername(), token.getSeries(), generateTokenData(), new Date());

    try {
      //更新數(shù)據(jù)庫(kù)中Token
      tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),
          newToken.getDate());
      //重新寫(xiě)到Cookie
      addCookie(newToken, request, response);
    }
    catch (Exception e) {
      logger.error("Failed to update token: ", e);
      throw new RememberMeAuthenticationException(
          "Autologin failed due to data access problem");
    }
    //調(diào)用UserDetailsService獲取用戶信息
    return getUserDetailsService().loadUserByUsername(token.getUsername());
  }

7、獲取用戶相關(guān)信息后，再調(diào)用AuthenticationManager去認(rèn)證授權(quán)

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: