AI 助理
备案控制台
开发者社区 安全 文章 正文

SpringSecurity详细介绍RememberMe功能

2021-12-03 200
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 本文我们来实现下SpringSecurity的RememberMe功能

本文我们来实现下SpringSecurity的RememberMe功能


一、rememberMe功能实现


接下来我们看看具体怎么实现rememberMe功能


1.表单记住我选项

<%--
  Created by IntelliJ IDEA.
  User: dengp
  Date: 2019/12/1
  Time: 20:40
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib uri="http://www.springframework.org/security/tags" prefix="security"%>
<html>
<head>
    <title>Title</title>
</head>
<body>
    <h1>登录管理</h1>
    <form action="/login" method="post">
        <security:csrfInput/>
        账号:<input type="text" name="username"><br>
        密码:<input type="password" name="password"><br>
        <input type="checkbox" name="remember-me" value="true">记住我<br>
        <input type="submit" value="登录"><br>
    </form>
    <img src="img/a1.jpg">
</body>
</html>


 先测试一下,认证通过后,关掉浏览器,再次打开页面,发现还要认证!为什么没有起作用呢? 这是因为remember me功能使用的过滤器RememberMeAuthenticationFilter默认是不开启的!


2.开启rememberMe


20191205164652329.png

说明:RememberMeAuthenticationFilter中功能非常简单,会在打开浏览器时,自动判断是否认证,如果没有则 调用autoLogin进行自动认证。


这样RememberMe就设置好了!


二、rememberMe的安全性


 记住我功能方便是大家看得见的,但是安全性却令人担忧。因为Cookie毕竟是保存在客户端的,很容易盗取,而且 cookie的值还与用户名、密码这些敏感数据相关,虽然加密了,但是将敏感信息存在客户端,还是不太安全。那么这就要提醒喜欢使用此功能的,用完网站要及时手动退出登录,清空认证信息。

 此外,SpringSecurity还提供了remember me的另一种相对更安全的实现机制 :在客户端的cookie中,仅保存一个 无意义的加密串(与用户名、密码等敏感数据无关),然后在db中保存该加密串-用户信息的对应关系,自动登录 时,用cookie中的加密串,到db中验证,如果通过,自动登录才算通过。


三、持久化rememberMe信息


创建一张表,注意这张表的名称和字段都是固定的,不要修改

CREATE TABLE `persistent_logins` (
  `username` VARCHAR (64) NOT NULL,
  `series` VARCHAR (64) NOT NULL,
  `token` VARCHAR (64) NOT NULL,
  `last_used` TIMESTAMP NOT NULL,
  PRIMARY KEY (`series`)
) ENGINE = INNODB DEFAULT CHARSET = utf8


然后将spring-security.xml中 改为

<!--
            开启remember me过滤器,
            data-source-ref="dataSource" 指定数据库连接池
            token-validity-seconds="60" 设置token存储时间为60秒 可省略
            remember-me-parameter="remember-me" 指定记住的参数名 可省略
 -->
<security:remember-me token-validity-seconds="1200"
                      data-source-ref="dataSource"
                      remember-me-parameter="remember-me" />


然后我们再登录测试,然后我们会发现刚刚的表结构中多了一条记录

20191205164838903.png

说明我们将认证信息持久化到了数据库中了~~


四、获取当前登录信息


 前面其实已经使用过SpringSecurity的标签,如果要获取当前认证的账号信息,通过如下的标签即可

当前登录账号:<br>
<security:authentication property="principal.username"/><br>
<security:authentication property="name"/><br>


好了,RememberMe的功能实现还是非常简单了,本文就介绍到此~


文章标签:
密钥管理服务
数据安全/隐私保护
安全
数据库
游客a74jvhcp7vclg
目录
相关文章
迪曼奥特迦
|
6月前
|
XML 安全 前端开发
SpringSecurity系列(四) Spring Security 实现权限树形菜单
SpringSecurity系列(四) Spring Security 实现权限树形菜单
迪曼奥特迦
86 0
迪曼奥特迦
|
6月前
|
前端开发 安全 Java
SpringBoot 实现登录验证码(附集成SpringSecurity)
SpringBoot 实现登录验证码(附集成SpringSecurity)
迪曼奥特迦
415 0
迪曼奥特迦
|
6月前
|
XML 安全 Java
SpringSecurity系列(三) Spring Security 表单登录
SpringSecurity系列(三) Spring Security 表单登录
迪曼奥特迦
157 0
如夜了我衣衫太薄便归家靠路灯
|
3月前
|
安全 Java 数据库
springboot 整合 spring security,实现用户鉴权
springboot 整合 spring security,实现用户鉴权
如夜了我衣衫太薄便归家靠路灯
88 2
陶然同学
|
6月前
【SpringSecurity 】SpringSecurity 自定义登录页面
【SpringSecurity 】SpringSecurity 自定义登录页面
陶然同学
109 0
陶然同学
|
6月前
|
SQL 安全 Java
【SpringSecurity】简介
【SpringSecurity】简介
陶然同学
61 0
IT012201
SpringSecurity框架
SpringSecurity框架
IT012201
36 0
程序媛地瓜
|
安全 Java 数据库
Spring Security--自定义登录页面
自定义登录页面
程序媛地瓜
152 0
游客ig3oyhuxp5p5q
|
存储 安全 Java
二.SpringSecurity基础-简单登录实现
SpringSecurity基础-简单登录实现
游客ig3oyhuxp5p5q
140 0
Heron
|
存储 安全 Java
SpringSecurity基础-简单登录实现
1.SpringSecurity介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Heron
98 0

热门文章

最新文章

  • 1
    QSqlDatabase: QMYSQL driver not loaded 解决方案
  • 2
    这 12 个基于 AI 的 VSCode “杀手级” 生产力插件,了解一下?(一)
  • 3
    关于规则引擎的选型和疑惑思考
  • 4
    面试必问的4种单点登录的实现方式,你知道几个?
  • 5
    揭秘2017双11背后的网络-双11的网络产品和技术概览
  • 6
    我的NVIDIA开发者之旅——作为一名初学者,我是如何开启 NVIDIA Jetson Nano 开发的
  • 7
    FluentData-新型轻量级ORM 利用T4模板 批量生成多文件 实体和业务逻辑 代码
  • 8
    Hadoop-No.10之列簇
  • 9
    HDU 1213 How Many Tables
  • 10
    GitHub push文件失败时
  • 1
    js+jquery实现贪吃蛇经典小游戏
    29
  • 2
    ROS2:从初识到深入,探索机器人操作系统的进化之路
    31
  • 3
    《精准掌控时间:C++ 人工智能开发中的运行时间监测之道》
    26
  • 4
    《解锁 C++数据读写秘籍:赋能人工智能训练》
    28
  • 5
    git 常用命令
    108
  • 6
    学习Git的最佳实践有哪些?
    33
  • 7
    通义灵码开发者社区的重要性 —— 知识共享与学习
    33
  • 8
    Git 学习----基本概念
    28
  • 9
    java小工具util系列4:基础工具代码(Msg、PageResult、Response、常量、枚举)
    33
  • 10
    dllhost.exe进程占用CPU很高怎么解决?
    27

    • 相关课程

    更多
  • SpringBoot快速掌握 - 高级应用

    • 相关电子书

    更多
  • Java Spring Boot开发实战系列课程【第15讲】:Spring Boot 2.0 API与Spring REST Docs实战
  • Java Spring Boot开发实战系列课程【第7讲】:Spring Boot 2.0安全机制与MVC身份验证实战(Java面试题)
  • 低代码开发师(初级)实战教程
    • 下一篇
    无影云桌面