欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring Security實現(xiàn)自動登陸功能示例

 更新時間:2021年11月04日 14:03:21   作者:Java Gosling  
自動登錄在很多網(wǎng)站和APP上都能用的到,解決了用戶每次輸入賬號密碼的麻煩。本文就使用Spring Security實現(xiàn)自動登陸功能,具有一定的參考價值,感興趣的小伙伴們可以參考一下

當(dāng)我們在登錄像QQ郵箱這種大多數(shù)的網(wǎng)站,往往在登錄按鍵上會有下次自動登錄這個選項,勾選后登錄成功,在一段時間內(nèi),即便退出瀏覽器或者服務(wù)器重啟,再次訪問不需要用戶輸入賬號密碼進行登錄,這也解決了用戶每次輸入賬號密碼的麻煩。

在這里插入圖片描述

接下來實現(xiàn)自動登陸。

applicatio.properties配置用戶名密碼

spring.security.user.name=java
spring.security.user.password=java

controller層實現(xiàn)

@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }
}

配置類實現(xiàn)

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
            .and()
            .authorizeRequests()
            .anyRequest()
            .authenticated()
            .and()
            .rememberMe()
            .and()
            .csrf().disable();
}

訪問http://localhost:8080/hello,此時系統(tǒng)會重定向到登錄頁面。

在這里插入圖片描述

二話不說,輸入賬號密碼,開搞!

此時看到了登錄數(shù)據(jù)remember-me的值為on,當(dāng)自定義登陸框的時候應(yīng)該知道如何定義key了吧。

在這里插入圖片描述

在hello接口,可以很清楚的看到cookie里保存了一個remember-me的令牌,這個就是自動登錄的關(guān)鍵所在。

在這里插入圖片描述

至于令牌是怎么生成的,先看一段源碼。核心處理類TokenBasedRememberMeServices->onLoginSuccess

public void onLoginSuccess(HttpServletRequest request, HttpServletResponse response, Authentication successfulAuthentication) {
    //拿到用戶名和密碼
    String username = this.retrieveUserName(successfulAuthentication);
    String password = this.retrievePassword(successfulAuthentication);
    //用戶名為空 打印日志
    if (!StringUtils.hasLength(username)) {
        this.logger.debug("Unable to retrieve username");
    } else {
        //密碼為空 通過用戶名再去查詢
        if (!StringUtils.hasLength(password)) {
            UserDetails user = this.getUserDetailsService().loadUserByUsername(username);
            password = user.getPassword();
            //查到的密碼還為空 打印日志 結(jié)束
            if (!StringUtils.hasLength(password)) {
                this.logger.debug("Unable to obtain password for user: " + username);
                return;
            }
        }
        //令牌有效期的生成 1209600是兩周 也就是說令牌有效期14天
        int tokenLifetime = this.calculateLoginLifetime(request, successfulAuthentication);
        long expiryTime = System.currentTimeMillis();
        expiryTime += 1000L * (long)(tokenLifetime < 0 ? 1209600 : tokenLifetime);
        //生成簽名 signature
        String signatureValue = this.makeTokenSignature(expiryTime, username, password);
        //設(shè)置cookie
        this.setCookie(new String[]{username, Long.toString(expiryTime), signatureValue}, tokenLifetime, request, response);
        if (this.logger.isDebugEnabled()) {
            this.logger.debug("Added remember-me cookie for user '" + username + "', expiry: '" + new Date(expiryTime) + "'");
        }
    }
} 

//使用MD5加密 通過用戶名、令牌有效期、密碼和key生成rememberMe的令牌 這里的key也就是加密的鹽值
protected String makeTokenSignature(long tokenExpiryTime, String username, String password) {
    String data = username + ":" + tokenExpiryTime + ":" + password + ":" + this.getKey();

    try {
        MessageDigest digest = MessageDigest.getInstance("MD5");
        return new String(Hex.encode(digest.digest(data.getBytes())));
    } catch (NoSuchAlgorithmException var7) {
        throw new IllegalStateException("No MD5 algorithm available!");
    }
}

看完了核心的源碼,也就知道了令牌的生成規(guī)則:username + “:” + tokenExpiryTime + “:” + password + “:” + key(key 是一個散列鹽值,可以用來防治令牌被修改,通過MD5散列函數(shù)生成。),然后通過Base64編碼。

取出剛才的remember-me=amF2YToxNjM3MTI2MDk1OTMxOmQ5OGI3OTY5OTE4ZmQwMzE3ZWUyY2U4Y2MzMjQxZGQ0進行下驗證。

在這里插入圖片描述

解碼后是java:1637126095931:d98b7969918fd0317ee2ce8cc3241dd4,很明顯javausername,1637126095931是兩周后的tokenExpiryTime,d98b7969918fd0317ee2ce8cc3241dd4passwordkey值的MD5加密生成的。

需要注意的是key值是通過UUID隨機生成的,當(dāng)重啟服務(wù)器時,UUID的變化會導(dǎo)致自動登錄失敗,所以為了避免之前生成的令牌失效,可以在配置中定義key值。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
            .and()
            .authorizeRequests()
            .anyRequest()
            .authenticated()
            .and()
            .rememberMe()
            .key("HelloWorld")
            .and()
            .csrf().disable();
}

Spring Security—登陸流程分析曾經(jīng)說到 Spring Security中的認證授權(quán)都是通過過濾器來實現(xiàn)的。RememberMeAuthenticationFilter 是自動登錄的核心過濾器。

public class RememberMeAuthenticationFilter extends GenericFilterBean implements ApplicationEventPublisherAware {
    private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
      throws IOException, ServletException {
        //獲取當(dāng)前用戶實例 繼續(xù)過濾校驗
   if (SecurityContextHolder.getContext().getAuthentication() != null) {
      this.logger.debug(LogMessage
            .of(() -> "SecurityContextHolder not populated with remember-me token, as it already contained: '"
                  + SecurityContextHolder.getContext().getAuthentication() + "'"));
      chain.doFilter(request, response);
      return;
   }
   //登錄獲取Auth
   Authentication rememberMeAuth = this.rememberMeServices.autoLogin(request, response);
   if (rememberMeAuth != null) {
      // Attempt authenticaton via AuthenticationManager
      try {
      //進行remember-me校驗
         rememberMeAuth = this.authenticationManager.authenticate(rememberMeAuth);
         // Store to SecurityContextHolder
         //保存用戶實例
         SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);
         //成功頁面跳轉(zhuǎn)
         onSuccessfulAuthentication(request, response, rememberMeAuth);
         this.logger.debug(LogMessage.of(() -> "SecurityContextHolder populated with remember-me token: '"
               + SecurityContextHolder.getContext().getAuthentication() + "'"));
         if (this.eventPublisher != null) {
            this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(
                  SecurityContextHolder.getContext().getAuthentication(), this.getClass()));
         }
         if (this.successHandler != null) {
            this.successHandler.onAuthenticationSuccess(request, response, rememberMeAuth);
            return;
         }
      }
      catch (AuthenticationException ex) {
         this.logger.debug(LogMessage
               .format("SecurityContextHolder not populated with remember-me token, as AuthenticationManager "
                     + "rejected Authentication returned by RememberMeServices: '%s'; "
                     + "invalidating remember-me token", rememberMeAuth),
               ex);
         this.rememberMeServices.loginFail(request, response);
         //失敗頁面跳轉(zhuǎn)
         onUnsuccessfulAuthentication(request, response, ex);
      }
   }
   chain.doFilter(request, response);
}
}

@Override
public final Authentication autoLogin(HttpServletRequest request, HttpServletResponse response) {
   //獲取cookie
   String rememberMeCookie = extractRememberMeCookie(request);
   if (rememberMeCookie == null) {
      return null;
   }
   this.logger.debug("Remember-me cookie detected");
   if (rememberMeCookie.length() == 0) {
      this.logger.debug("Cookie was empty");
      cancelCookie(request, response);
      return null;
   }
   try {
       //解碼cookie 拿到令牌
      String[] cookieTokens = decodeCookie(rememberMeCookie);
      //通過令牌獲取UserdDetails
      UserDetails user = processAutoLoginCookie(cookieTokens, request, response);
      this.userDetailsChecker.check(user);
      this.logger.debug("Remember-me cookie accepted");
      return createSuccessfulAuthentication(request, user);
   }
   catch (CookieTheftException ex) {
      cancelCookie(request, response);
      throw ex;
   }
   catch (UsernameNotFoundException ex) {
      this.logger.debug("Remember-me login was valid but corresponding user not found.", ex);
   }
   catch (InvalidCookieException ex) {
      this.logger.debug("Invalid remember-me cookie: " + ex.getMessage());
   }
   catch (AccountStatusException ex) {
      this.logger.debug("Invalid UserDetails: " + ex.getMessage());
   }
   catch (RememberMeAuthenticationException ex) {
      this.logger.debug(ex.getMessage());
   }
   cancelCookie(request, response);
   return null;
}

大致整體流程就是如果拿不到實例,則進行remember-me驗證,通過autoLogin方法里獲取cookie,解析令牌,拿到Auth,最后進行校驗。之后剩下的和登陸流程分析的差不多。

到此這篇關(guān)于Spring Security實現(xiàn)自動登陸功能示例的文章就介紹到這了,更多相關(guān)Spring Security 自動登陸內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • MyBatis中的limit分頁設(shè)置

    MyBatis中的limit分頁設(shè)置

    這篇文章主要介紹了MyBatis中的limit分頁設(shè)置方式,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2023-11-11
  • java線程池參數(shù)自定義設(shè)置詳解

    java線程池參數(shù)自定義設(shè)置詳解

    這篇文章主要為大家介紹了java線程池參數(shù)自定義設(shè)置詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
    2023-11-11
  • IDEA中Services欄不顯示的解決方案小結(jié)

    IDEA中Services欄不顯示的解決方案小結(jié)

    正常編譯完一個SpringBoot或者SringCloud項目之后,Services都會顯示出你有哪些服務(wù),如果沒有services欄怎么解決呢?下面小編給大家分享IDEA中Services欄不顯示的解決方案小結(jié),感興趣的朋友一起看看吧
    2021-08-08
  • Spring cloud config 配置文件加密方式

    Spring cloud config 配置文件加密方式

    這篇文章給大家介紹了Spring cloud config 配置文件加密方式,非常不錯,具有一定的參考借鑒價值,感興趣的朋友跟隨腳步之家小編一起學(xué)習(xí)吧
    2018-05-05
  • Java實現(xiàn)線程按序交替執(zhí)行的方法詳解

    Java實現(xiàn)線程按序交替執(zhí)行的方法詳解

    這篇文章主要為大家詳細介紹了Java如何實現(xiàn)線程按序交替執(zhí)行,文中的示例代碼講解詳細,對我們了解線程有一定幫助,需要的可以參考一下
    2022-10-10
  • Maven中的庫repository詳解

    Maven中的庫repository詳解

    Maven中要配置庫,可以有多種方式,最直接的是在項目中的pom.xml文件中,通過<repositories>配置庫,這樣配置的庫僅適用于當(dāng)前項目,這篇文章主要介紹了Maven中的庫(repository),需要的朋友可以參考下
    2024-01-01
  • 一篇文章帶你了解spring事務(wù)失效的多種場景

    一篇文章帶你了解spring事務(wù)失效的多種場景

    在日常編碼過程中常常涉及到事務(wù),在前兩天看到一篇文章提到了Spring事務(wù),那么在此總結(jié)下在Spring環(huán)境下事務(wù)失效的幾種原因.
    2021-09-09
  • JavaWeb中異步交互的關(guān)鍵Ajax詳解

    JavaWeb中異步交互的關(guān)鍵Ajax詳解

    這篇文章主要給大家介紹了關(guān)于JavaWeb中異步交互關(guān)鍵Ajax的相關(guān)資料,在javaweb中,ajax是前后臺交互的技術(shù),可以實現(xiàn)異步請求,不用刷新整個頁面就可以完成操作,需要的朋友可以參考下
    2023-07-07
  • Java緩存池代碼實例詳解

    Java緩存池代碼實例詳解

    本篇文章主要介紹了Java實現(xiàn)簡單的緩存方法實例,需要的朋友可以參考下
    2017-04-04
  • Java并發(fā)編程之volatile與JMM多線程內(nèi)存模型

    Java并發(fā)編程之volatile與JMM多線程內(nèi)存模型

    這篇文章主要介紹了Java并發(fā)volatile與JMM多線程內(nèi)存模型,本文通過實例代碼給大家介紹的非常詳細,對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2022-05-05

最新評論