欢迎访问欧博亚洲(Allbet Game)!

首页科技正文

欧博亚洲:Spring Security 之 rememberMe 自动登录

admin2020-07-1555

自动登录是将用户的登录信息保留在用户浏览器的cookie中,当用户下次接见时,自动实现校验并确立登录态的一种机制。
Spring Security提供了两种异常好的令牌:

  • 散列算法加密用户需要的登录信息并天生令牌
  • 数据库等持久性数据存储机制用的持久化令牌

散列加密方案

在Spring Security中加入自动登录的功效异常简朴:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/api/user/**").hasRole("user")  //user 角色接见/api/user/开头的路由
                .antMatchers("/api/admin/**").hasRole("admin") //admin 角色接见/api/admin/开头的路由
                .antMatchers("/api/public/**").permitAll()                 //允许所有可以接见/api/public/开头的路由
                .and()
                .formLogin()
                .and()
                .rememberMe().userDetailsService(userDetailsService());      //记着密码
    }


重启服务后接见受限 API,这次在表单登录页中多了一个可选框:


勾选“Remember me on this computer”可选框(简写为Remember-me),根据正常的流程登录,并在开发者工具中查看浏览器cookie,可以看到除JSESSIONID外多了一个值:
欧博亚洲:Spring Security 之 rememberMe 自动登录 第1张

这是Spring Security默认自动登录的cookie字段。在不设置的情况下,过时时间是两个星期:
欧博亚洲:Spring Security 之 rememberMe 自动登录 第2张

Spring Security会在每次表单登录乐成之后更新此令牌,详细处置方式在源码中:

欧博亚洲:Spring Security 之 rememberMe 自动登录 第3张
欧博亚洲:Spring Security 之 rememberMe 自动登录 第4张
RememberConfigurer:
欧博亚洲:Spring Security 之 rememberMe 自动登录 第5张

欧博亚洲:Spring Security 之 rememberMe 自动登录 第6张

持久化令牌方案

在持久化令牌方案中,最焦点的是series和token两个值,它们都是用MD5散列过的随机字符串。差别的是,series仅在用户使用密码重新登录时更新,而token会在每一个新的session中都重新天生。
解决了散列加密方案中一个令牌可以同时在多端登录的问题。每个会话都市引发token的更
新,即每个token仅支持单实例登录。
自动登录不会导致series调换,而每次自动登录都需要同时验证series和token两个值,当该
令牌还未使用过自动登录就被偷取时,系统会在非法用户验证通事后刷新 token 值,此时在正当用户
的浏览器中,该token值已经失效。当正当用户使用自动登录时,由于该series对应的 token 差别,系统
可以推断该令牌可能已被盗用,从而做一些处置。例如,清算该用户的所有自动登录令牌,并通知该
用户可能已被盗号等
Spring Security使用PersistentRememberMeToken来解释一个验证实体:

public class PersistentRememberMeToken {
    private final String username;
    private final String series;
    private final String tokenValue;
    private final Date date;

    public PersistentRememberMeToken(String username, String series, String tokenValue, Date date) {
        this.username = username;
        this.series = series;
        this.tokenValue = tokenValue;
        this.date = date;
    }

    public String getUsername() {
        return this.username;
    }

    public String getSeries() {
        return this.series;
    }

    public String getTokenValue() {
        return this.tokenValue;
    }

    public Date getDate() {
        return this.date;
    }
}

需要使用持久化令牌方案,需要传入PersistentTokenRepository的实例:
欧博亚洲:Spring Security 之 rememberMe 自动登录 第7张

PersistentTokenRepository接口主要涉及token的增删查改四个接口:
欧博亚洲:Spring Security 之 rememberMe 自动登录 第8张

MyPersistentTokenRepositoryImpl使我们实现PersistentTokenRepository接口:

@Service
public class MyPersistentTokenRepositoryImpl implements PersistentTokenRepository {

    @Autowired
    private JPAPersistentTokenRepository  repository;

    @Override
    public void createNewToken(PersistentRememberMeToken persistentRememberMeToken) {
        MyPersistentToken myPersistentToken = new MyPersistentToken();
        myPersistentToken.setSeries(persistentRememberMeToken.getSeries());
        myPersistentToken.setUsername(persistentRememberMeToken.getUsername());
        myPersistentToken.setTokenValue(persistentRememberMeToken.getTokenValue());
        myPersistentToken.setUser_last(persistentRememberMeToken.getDate());
        repository.save(myPersistentToken);
    }

    @Override
    public void updateToken(String series, String tokenValue, Date lastUsed) {
        MyPersistentToken myPersistentToken = repository.findBySeries(series);
        myPersistentToken.setUser_last(lastUsed);
        myPersistentToken.setTokenValue(tokenValue);
        repository.save(myPersistentToken);
    }

    @Override
    public PersistentRememberMeToken getTokenForSeries(String series) {
        MyPersistentToken myPersistentToken = repository.findBySeries(series);
        PersistentRememberMeToken persistentRememberMeToken = new PersistentRememberMeToken(myPersistentToken.getUsername(), myPersistentToken.getSeries(), myPersistentToken.getTokenValue(), myPersistentToken.getUser_last());
        return persistentRememberMeToken;
    }

    @Override
    @Transactional
    public void removeUserTokens(String username) {
        repository.deleteByUsername(username);
    }
}
public interface JPAPersistentTokenRepository extends JpaRepository<MyPersistentToken,Long> {
    MyPersistentToken findBySeries(String series);
    void deleteByUsername(String username);
}
@Entity
@Table(name = "persistent_token")
public class MyPersistentToken {
    @Id
    @GeneratedValue(strategy = GenerationType.SEQUENCE)
    private Long id;
    private  String username;
    @Column(unique = true)
    private  String series;
    private  String tokenValue;
    private  Date user_last;

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getSeries() {
        return series;
    }

    public void setSeries(String series) {
        this.series = series;
    }

    public String getTokenValue() {
        return tokenValue;
    }

    public void setTokenValue(String tokenValue) {
        this.tokenValue = tokenValue;
    }

    public Date getUser_last() {
        return user_last;
    }

    public void setUser_last(Date user_last) {
        this.user_last = user_last;
    }
}

当自动登录认证时,Spring Security 通过series获取用户名、token以及上一次自动登录时间三个信息,通过用户名确认该令牌的身份,通过对比 token 获知该令牌是否有用,通过上一次自动登录时间获知该令牌是否已过时,并在完整校验通过之后天生新的token。

,

UG环球

欢迎进入环球UG官网(UG环球):www.ugbet.us,环球UG官方网站:www.ugbet.net开放环球UG网址访问、环球UG会员注册、环球UG代理申请、环球UG电脑客户端、环球UG手机版下载等业务。

转载声明:本站发布文章及版权归原作者所有,转载本站文章请注明文章来源:欧博亚洲(Allbet Game)!

本文链接:https://www.qzkaishanjx.com/post/931.html

网友评论

1条评论
  • 2020-07-15 00:08:35

    欧博allbet注册欢迎进入欧博allbet注册(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。哈哈。等车神器

最新评论

  • 联博开奖 09/23 说:

    欧博allbet客户端欢迎进入欧博allbet客户端(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。被戳中内心

  • 联博开奖 09/23 说:

    欧博allbet客户端欢迎进入欧博allbet客户端(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。被戳中内心

  • 欧博亚洲电脑版下载 09/22 说:

    AllbetGmaing手机版下载欢迎进入AllbetGmaing手机版下载(www.aLLbetgame.us):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。很简单不俗的剧情

  • 环球UG注册 09/22 说:

    Allbet客户端下载欢迎进入Allbet客户端下载(www.aLLbetgame.us):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。真的甜吗

  • AllbetGmaing下载 09/21 说:

    联博开奖www.326681.com采用以太坊区块链高度哈希值作为统计数据,联博以太坊统计数据开源、公平、无任何作弊可能性。联博统计免费提供API接口,支持多语言接入。弄个交流群

  • UG环球代理 09/21 说:

    Allbetwww.aLLbetgame.us欢迎进入Allbet平台(Allbet Gaming):www.aLLbetgame.us,欧博平台开放欧博(Allbet)开户、欧博(Allbet)代理开户、欧博(Allbet)电脑客户端、欧博(Allbet)APP下载等业务。实在是舍不得移开眼

  • AllbetGmaing客户端下载 09/20 说:

    AllbetGmaing客户端下载欢迎进入AllbetGmaing客户端下载(www.aLLbetgame.us):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。水一下,我在看

  • AllbetGmaing客户端下载 09/20 说:

    AllbetGmaing客户端下载欢迎进入AllbetGmaing客户端下载(www.aLLbetgame.us):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。水一下,我在看