91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Spring Security學習之rememberMe自動登錄如何實現

發布時間:2020-06-28 12:21:51 來源:億速云 閱讀:261 作者:清晨 欄目:開發技術

小編給大家分享一下Spring Security學習之rememberMe自動登錄如何實現,希望大家閱讀完這篇文章后大所收獲,下面讓我們一起去探討方法吧!

自動登錄是將用戶的登錄信息保存在用戶瀏覽器的cookie中,當用戶下次訪問時,自動實現校驗并建立登錄態的一種機制。
Spring Security提供了兩種非常好的令牌:

散列算法加密用戶必要的登錄信息并生成令牌
數據庫等持久性數據存儲機制用的持久化令牌

Spring Security學習之rememberMe自動登錄如何實現

散列加密方案

在Spring Security中加入自動登錄的功能非常簡單:

 @Override
 protected void configure(HttpSecurity http) throws Exception {
  http.authorizeRequests()
    .antMatchers("/api/user/**").hasRole("user") //user 角色訪問/api/user/開頭的路由
    .antMatchers("/api/admin/**").hasRole("admin") //admin 角色訪問/api/admin/開頭的路由
    .antMatchers("/api/public/**").permitAll()     //允許所有可以訪問/api/public/開頭的路由
    .and()
    .formLogin()
    .and()
    .rememberMe().userDetailsService(userDetailsService());  //記住密碼
 }

重啟服務后訪問受限 API,這次在表單登錄頁中多了一個可選框:

Spring Security學習之rememberMe自動登錄如何實現

勾選“Remember me on this computer”可選框(簡寫為Remember-me),按照正常的流程登錄,并在開發者工具中查看瀏覽器cookie,可以看到除JSESSIONID外多了一個值:

Spring Security學習之rememberMe自動登錄如何實現

這是Spring Security默認自動登錄的cookie字段。在不配置的情況下,過期時間是兩個星期:

Spring Security學習之rememberMe自動登錄如何實現

Spring Security會在每次表單登錄成功之后更新此令牌,具體處理方式在源碼中:

Spring Security學習之rememberMe自動登錄如何實現

Spring Security學習之rememberMe自動登錄如何實現

RememberConfigurer:

Spring Security學習之rememberMe自動登錄如何實現

Spring Security學習之rememberMe自動登錄如何實現

持久化令牌方案

在持久化令牌方案中,最核心的是series和token兩個值,它們都是用MD5散列過的隨機字符串。不同的是,series僅在用戶使用密碼重新登錄時更新,而token會在每一個新的session中都重新生成。

解決了散列加密方案中一個令牌可以同時在多端登錄的問題。每個會話都會引發token的更新,即每個token僅支持單實例登錄。

自動登錄不會導致series變更,而每次自動登錄都需要同時驗證series和token兩個值,當該令牌還未使用過自動登錄就被盜取時,系統會在非法用戶驗證通過后刷新 token 值,此時在合法用戶的瀏覽器中,該token值已經失效。當合法用戶使用自動登錄時,由于該series對應的 token 不同,系統可以推斷該令牌可能已被盜用,從而做一些處理。例如,清理該用戶的所有自動登錄令牌,并通知該用戶可能已被盜號等

Spring Security使用PersistentRememberMeToken來表明一個驗證實體:

public class PersistentRememberMeToken {
  private final String username;
  private final String series;
  private final String tokenValue;
  private final Date date;

  public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) {
    this.username = username;
    this.series = series;
    this.tokenValue = tokenValue;
    this.date = date;
  }

  public String getUsername() {
    return this.username;
  }

  public String getSeries() {
    return this.series;
  }

  public String getTokenValue() {
    return this.tokenValue;
  }

  public Date getDate() {
    return this.date;
  }
}

需要使用持久化令牌方案,需要傳入PersistentTokenRepository的實例:

Spring Security學習之rememberMe自動登錄如何實現

PersistentTokenRepository接口主要涉及token的增刪查改四個接口:

Spring Security學習之rememberMe自動登錄如何實現

MyPersistentTokenRepositoryImpl使我們實現PersistentTokenRepository接口:

@Service
public class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository {

  @Autowired
  private JPAPersistentTokenRepository repository;

  @Override
  public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) {
    MyPersistentToken myPersistentToken = new MyPersistentToken();
    myPersistentToken.setSeries(persistentRememberMeToken.getSeries());
    myPersistentToken.setUsername(persistentRememberMeToken.getUsername());
    myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue());
    myPersistentToken.setUser_last(persistentRememberMeToken.getDate());
    repository.save(myPersistentToken);
  }

  @Override
  public void updateToken(String series, String tokenValue, Date lastUsed) {
    MyPersistentToken myPersistentToken = repository.findBySeries(series);
    myPersistentToken.setUser_last(lastUsed);
    myPersistentToken.setTokenValue(tokenValue);
    repository.save(myPersistentToken);
  }

  @Override
  public PersistentRememberMeToken getTokenForSeries(String series) {
    MyPersistentToken myPersistentToken = repository.findBySeries(series);
    PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last());
    return persistentRememberMeToken;
  }

  @Override
  @Transactional
  public void removeUserTokens(String username) {
    repository.deleteByUsername(username);
  }
}
public interface JPAPersistentTokenRepository extends JpaRepository<MyPersistentToken,Long> {
  MyPersistentToken findBySeries(String series);
  void deleteByUsername(String username);
}
@Entity
@Table(name = "persistent_token")
public class MyPersistentToken {
  @Id
  @GeneratedValue(strategy = GenerationType.SEQUENCE)
  private Long id;
  private String username;
  @Column(unique = true)
  private String series;
  private String tokenValue;
  private Date user_last;

  public Long getId() {
    return id;
  }

  public void setId(Long id) {
    this.id = id;
  }

  public String getUsername() {
    return username;
  }

  public void setUsername(String username) {
    this.username = username;
  }

  public String getSeries() {
    return series;
  }

  public void setSeries(String series) {
    this.series = series;
  }

  public String getTokenValue() {
    return tokenValue;
  }

  public void setTokenValue(String tokenValue) {
    this.tokenValue = tokenValue;
  }

  public Date getUser_last() {
    return user_last;
  }

  public void setUser_last(Date user_last) {
    this.user_last = user_last;
  }
}

當自動登錄認證時,Spring Security 通過series獲取用戶名、token以及上一次自動登錄時間三個信息,通過用戶名確認該令牌的身份,通過對比 token 獲知該令牌是否有效,通過上一次自動登錄時間獲知該令牌是否已過期,并在完整校驗通過之后生成新的token。


看完了這篇文章,相信你對Spring Security學習之rememberMe自動登錄如何實現有了一定的了解,想了解更多相關知識,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

揭西县| 繁昌县| 盈江县| 宝兴县| 丰宁| 吐鲁番市| 老河口市| 稷山县| 安康市| 廉江市| 临安市| 庆阳市| 始兴县| 左云县| 高安市| 通江县| 米脂县| 天祝| 卢氏县| 竹北市| 英超| 玉树县| 石林| 藁城市| 涞水县| 景宁| 财经| 璧山县| 建始县| 五原县| 翁牛特旗| 聂拉木县| 天峨县| 伊金霍洛旗| 镇赉县| 句容市| 陇西县| 临泉县| 镇原县| 余干县| 新化县|