欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring Security學(xué)習(xí)之rememberMe自動(dòng)登錄的實(shí)現(xiàn)

 更新時(shí)間:2020年06月28日 08:35:22   作者:西紅柿雞蛋面~  
這篇文章主要給大家介紹了關(guān)于Spring Security學(xué)習(xí)之rememberMe自動(dòng)登錄的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧

前言

自動(dòng)登錄是將用戶的登錄信息保存在用戶瀏覽器的cookie中,當(dāng)用戶下次訪問時(shí),自動(dòng)實(shí)現(xiàn)校驗(yàn)并建立登錄態(tài)的一種機(jī)制。

Spring Security提供了兩種非常好的令牌:

  • 散列算法加密用戶必要的登錄信息并生成令牌
  • 數(shù)據(jù)庫等持久性數(shù)據(jù)存儲(chǔ)機(jī)制用的持久化令牌

散列加密方案

在Spring Security中加入自動(dòng)登錄的功能非常簡單:

 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http.authorizeRequests()
  .antMatchers("/api/user/**").hasRole("user") //user 角色訪問/api/user/開頭的路由
  .antMatchers("/api/admin/**").hasRole("admin") //admin 角色訪問/api/admin/開頭的路由
  .antMatchers("/api/public/**").permitAll()   //允許所有可以訪問/api/public/開頭的路由
  .and()
  .formLogin()
  .and()
  .rememberMe().userDetailsService(userDetailsService()); //記住密碼
 }

重啟服務(wù)后訪問受限 API,這次在表單登錄頁中多了一個(gè)可選框:

勾選“Remember me on this computer”可選框(簡寫為Remember-me),按照正常的流程登錄,并在開發(fā)者工具中查看瀏覽器cookie,可以看到除JSESSIONID外多了一個(gè)值:

這是Spring Security默認(rèn)自動(dòng)登錄的cookie字段。在不配置的情況下,過期時(shí)間是兩個(gè)星期:

Spring Security會(huì)在每次表單登錄成功之后更新此令牌,具體處理方式在源碼中:

RememberConfigurer:

持久化令牌方案

在持久化令牌方案中,最核心的是series和token兩個(gè)值,它們都是用MD5散列過的隨機(jī)字符串。不同的是,series僅在用戶使用密碼重新登錄時(shí)更新,而token會(huì)在每一個(gè)新的session中都重新生成。

解決了散列加密方案中一個(gè)令牌可以同時(shí)在多端登錄的問題。每個(gè)會(huì)話都會(huì)引發(fā)token的更新,即每個(gè)token僅支持單實(shí)例登錄。

自動(dòng)登錄不會(huì)導(dǎo)致series變更,而每次自動(dòng)登錄都需要同時(shí)驗(yàn)證series和token兩個(gè)值,當(dāng)該令牌還未使用過自動(dòng)登錄就被盜取時(shí),系統(tǒng)會(huì)在非法用戶驗(yàn)證通過后刷新 token 值,此時(shí)在合法用戶的瀏覽器中,該token值已經(jīng)失效。當(dāng)合法用戶使用自動(dòng)登錄時(shí),由于該series對(duì)應(yīng)的 token 不同,系統(tǒng)可以推斷該令牌可能已被盜用,從而做一些處理。例如,清理該用戶的所有自動(dòng)登錄令牌,并通知該用戶可能已被盜號(hào)等

Spring Security使用PersistentRememberMeToken來表明一個(gè)驗(yàn)證實(shí)體:

public class PersistentRememberMeToken {
 private final String username;
 private final String series;
 private final String tokenValue;
 private final Date date;

 public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) {
  this.username = username;
  this.series = series;
  this.tokenValue = tokenValue;
  this.date = date;
 }

 public String getUsername() {
  return this.username;
 }

 public String getSeries() {
  return this.series;
 }

 public String getTokenValue() {
  return this.tokenValue;
 }

 public Date getDate() {
  return this.date;
 }
}

需要使用持久化令牌方案,需要傳入PersistentTokenRepository的實(shí)例:

PersistentTokenRepository接口主要涉及token的增刪查改四個(gè)接口:

MyPersistentTokenRepositoryImpl使我們實(shí)現(xiàn)PersistentTokenRepository接口:

@Service
public class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository {

 @Autowired
 private JPAPersistentTokenRepository repository;

 @Override
 public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) {
  MyPersistentToken myPersistentToken = new MyPersistentToken();
  myPersistentToken.setSeries(persistentRememberMeToken.getSeries());
  myPersistentToken.setUsername(persistentRememberMeToken.getUsername());
  myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue());
  myPersistentToken.setUser_last(persistentRememberMeToken.getDate());
  repository.save(myPersistentToken);
 }

 @Override
 public void updateToken(String series, String tokenValue, Date lastUsed) {
  MyPersistentToken myPersistentToken = repository.findBySeries(series);
  myPersistentToken.setUser_last(lastUsed);
  myPersistentToken.setTokenValue(tokenValue);
  repository.save(myPersistentToken);
 }

 @Override
 public PersistentRememberMeToken getTokenForSeries(String series) {
  MyPersistentToken myPersistentToken = repository.findBySeries(series);
  PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last());
  return persistentRememberMeToken;
 }

 @Override
 @Transactional
 public void removeUserTokens(String username) {
  repository.deleteByUsername(username);
 }
}
public interface JPAPersistentTokenRepository extends JpaRepository<MyPersistentToken,Long> {
 MyPersistentToken findBySeries(String series);
 void deleteByUsername(String username);
}
@Entity
@Table(name = "persistent_token")
public class MyPersistentToken {
 @Id
 @GeneratedValue(strategy = GenerationType.SEQUENCE)
 private Long id;
 private String username;
 @Column(unique = true)
 private String series;
 private String tokenValue;
 private Date user_last;

 public Long getId() {
  return id;
 }

 public void setId(Long id) {
  this.id = id;
 }

 public String getUsername() {
  return username;
 }

 public void setUsername(String username) {
  this.username = username;
 }

 public String getSeries() {
  return series;
 }

 public void setSeries(String series) {
  this.series = series;
 }

 public String getTokenValue() {
  return tokenValue;
 }

 public void setTokenValue(String tokenValue) {
  this.tokenValue = tokenValue;
 }

 public Date getUser_last() {
  return user_last;
 }

 public void setUser_last(Date user_last) {
  this.user_last = user_last;
 }
}

當(dāng)自動(dòng)登錄認(rèn)證時(shí),Spring Security 通過series獲取用戶名、token以及上一次自動(dòng)登錄時(shí)間三個(gè)信息,通過用戶名確認(rèn)該令牌的身份,通過對(duì)比 token 獲知該令牌是否有效,通過上一次自動(dòng)登錄時(shí)間獲知該令牌是否已過期,并在完整校驗(yàn)通過之后生成新的token。

總結(jié)

到此這篇關(guān)于Spring Security學(xué)習(xí)之rememberMe自動(dòng)登錄實(shí)現(xiàn)的文章就介紹到這了,更多相關(guān)Spring Security rememberMe自動(dòng)登錄內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • python和java哪個(gè)學(xué)起來更簡單

    python和java哪個(gè)學(xué)起來更簡單

    在本篇內(nèi)容里小編給大家分享的是一篇關(guān)于python和java哪個(gè)學(xué)起來更簡單的相關(guān)內(nèi)容,有興趣的朋友們參考下。
    2020-06-06
  • Spring整合JUnit詳解

    Spring整合JUnit詳解

    Spring?是目前主流的?Java?Web?開發(fā)框架,是?Java?世界最為成功的框架。該框架是一個(gè)輕量級(jí)的開源框架,這篇文章主要介紹如何配置數(shù)據(jù)源、注解開發(fā)以及整合Junit,感興趣的同學(xué)可以參考一下
    2023-04-04
  • java中線程安全的list詳細(xì)特性和用法

    java中線程安全的list詳細(xì)特性和用法

    這篇文章主要給大家介紹了關(guān)于java中線程安全的list詳細(xì)特性和用法的相關(guān)資料,Java中有多種線程安全的List,其中比較常用的有Vector、Collections.synchronizedList()和CopyOnWriteArrayList三種方式,需要的朋友可以參考下
    2024-03-03
  • Springboot集成ClickHouse及應(yīng)用場景分析

    Springboot集成ClickHouse及應(yīng)用場景分析

    這篇文章主要介紹了Springboot集成ClickHouse的實(shí)例代碼,本文通過應(yīng)用場景實(shí)例代碼介紹了整合springboot的詳細(xì)過程,感興趣的朋友跟隨小編一起看看吧
    2022-02-02
  • 使用HttpClient實(shí)現(xiàn)文件的上傳下載方法

    使用HttpClient實(shí)現(xiàn)文件的上傳下載方法

    下面小編就為大家?guī)硪黄褂肏ttpClient實(shí)現(xiàn)文件的上傳下載方法。小編覺得挺不錯(cuò)的,現(xiàn)在就分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧
    2016-12-12
  • java之super關(guān)鍵字用法實(shí)例解析

    java之super關(guān)鍵字用法實(shí)例解析

    這篇文章主要介紹了java之super關(guān)鍵字用法實(shí)例解析,較為詳細(xì)的分析了super關(guān)鍵字的用法及內(nèi)存分布,需要的朋友可以參考下
    2014-09-09
  • Java中的Object.getClass()方法解析

    Java中的Object.getClass()方法解析

    這篇文章主要介紹了Java中的Object.getClass()方法,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-12-12
  • java?SpringMvc中攔截器的應(yīng)用

    java?SpringMvc中攔截器的應(yīng)用

    大家好,本篇文章主要講的是java?SpringMvc中攔截器的應(yīng)用,感興趣的同學(xué)趕快來看一看吧,對(duì)你有幫助的話記得收藏一下
    2022-01-01
  • Java實(shí)現(xiàn)八個(gè)常用的排序算法:插入排序、冒泡排序、選擇排序、希爾排序等

    Java實(shí)現(xiàn)八個(gè)常用的排序算法:插入排序、冒泡排序、選擇排序、希爾排序等

    這篇文章主要介紹了Java如何實(shí)現(xiàn)八個(gè)常用的排序算法:插入排序、冒泡排序、選擇排序、希爾排序 、快速排序、歸并排序、堆排序和LST基數(shù)排序,需要的朋友可以參考下
    2015-07-07
  • spring+springmvc整合mabytis時(shí)mapper注入失敗問題解決方法

    spring+springmvc整合mabytis時(shí)mapper注入失敗問題解決方法

    這篇文章主要介紹了spring+springmvc整合mabytis時(shí)mapper注入失敗問題解決方法 ,需要的朋友可以參考下
    2017-08-08

最新評(píng)論