SpringSecurity-8-自动登录和注销功能实现

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 当我们在登录某一个网站的时候,我们会使用账号密码进行登录,但是我们不想每一次关闭浏览器,我们不想每一次重新输入账号和密码,贴合用户的登录体验,给用户带来方便,我们使用自动登录功能,将登录信息保存在浏览器的cookie中,这样用户在下次访问的时候,自动实现校验并新建登录状态。但是这样也会给用户带来信息泄露的危险。

自动登录的实现


当我们在登录某一个网站的时候,我们会使用账号密码进行登录,但是我们不想每一次关闭浏览器,我们不想每一次重新输入账号和密码,贴合用户的登录体验,给用户带来方便,我们使用自动登录功能,将登录信息保存在浏览器的cookie中,这样用户在下次访问的时候,自动实现校验并新建登录状态。但是这样也会给用户带来信息泄露的危险。


自动登录流程


用户选择记住我登录成功后,会在服务端生成一个Cookie返回到浏览器,Cookie名字默认是remember-me,值是token


当用户重新访问的时候,会先检查remember-me的cookie对应的token值,如果token值存在则检查token值中的username、序列号和token值是否和服务端生成的相同,相同则通过。并且系统还会重新生成一个新的token,序列化series保持不变,同时删除旧的cookie,重新生成一个新的cookie保存在客户端


如果cookie不存在,或者username、序列化series和token和服务端的不一样,将重新返回到登录页面。


因为cookie有被盗用的可能,所以如果应用安全性比较高,那么就不要使用remember-me功能。

散列解密方案

SpringSecurity实现自动登录功能非常简单



修改login.html

我们需要在login.html中添加记住我功能,html实现如下

<!--suppress ALL-->
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" lang="en">
<head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <title>springboot葵花宝典登录页面</title>
    <!-- Tell the browser to be responsive to screen width -->
    <meta name="viewport" content="width=device-width, initial-scale=1">
</head>
<body>
<h1>springboot葵花宝典登录页面</h1>
<form  th:action="@{/login/form}" action="index.html" method="post">
    <span>用户名称</span><input type="text" name="username" /> <br>
    <span>用户密码</span><input type="password" name="password" /> <br>
    <div >
        <input name="code" type="text" class="form-control" placeholder="验证码">
        <img onclick="this.src='/code/image?'+Math.random()" src="/code/image" alt="验证码" />
    </div> <br>
    <span>记住我</span><input type="checkbox" name="remember-me" >  <br>
    <div th:if="${param.error}">
        <span th:text="${session.SPRING_SECURITY_LAST_EXCEPTION.message}" style="color:#ff0000">用户名或 密码错误</span>
    </div>
    <input type="submit" value="登陆">
</form>
</body>
</html>



修改结果后登录页面展示如下:

修改LearnSrpingSecurity


在configure(HttpSecurity http)方法中添加记住我的配置,代码实现如下

测试


重新启动程序,使用浏览器访问http://localhost:8888/login/page,然后输入账号密码进行登录,结果如下


493015b5862f38f2733d215f335a64a1.png


从图上我们可以看出来,勾选“Remember me”可选框(简写为Remember-me),按照正常的流程登录,并在 开发者工具中查看浏览器cookie,可以看到除JSESSIONID外多了一个值。


从图上我们可以看出来,勾选“Remember me”可选框(简写为Remember-me),按照正常的流程登录,并在 开发者工具中查看浏览器cookie,可以看到除JSESSIONID外多了一个值。

cookie个性化配置


在实际的开发过程中,我们还可以根据需求做一些个性化的设置,如下:

.rememberMe()
    .rememberMeParameter("remember-me-new")
    .rememberMeCookieName("remember-me-cookie")

通过rememberMeParameter设置from表单“自动登录”勾选框的参数名称。如果这里改了,from表单中checkbox的name属性要对应的更改。如果不设置默认是remember-me。


rememberMeCookieName设置了保存在浏览器端的cookie的名称,如果不设置默认也是remember-me。如下图中查看浏览器的cookie。



8acbe6265bd4637748f9234f0bb87751.png


持久化令牌方案


持久化令牌方案是交互方式上和散列加密方案一致,都是用户勾选remember-me后,将生成的令牌发送到用户的客户端,用户在下次进行访问的时候会读取该令牌,不同的是会将数据保存到数据库中。

添加数据库依赖

我们在项目中的pom.xml中添加数据库依赖

   <!--mysql驱动-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <!--mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.5.1</version>
        </dependency>


application.yml中添加数据库配置

spring:
  thymeleaf:
    cache: false
  datasource:
    url: jdbc:mysql://localhost:3306/mybatis?useUnicode=true&serverTimezone=Asia/Shanghai&characterEncoding=utf-8&useSSL=false
    username: root
    password: root
    driver-class-name: com.mysql.cj.jdbc.Driver


使用 JdbcTokenRepository 实现类

在LearnSrpingSecurity配置类中注入DataSourceJdbcTokenRepositoryImpl,实现如下

    @Autowired
    private DataSource dataSource;
    @Bean
    public JdbcTokenRepositoryImpl jdbcTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }



安全配置 LearnSrpingSecurity#confifigure(HttpSecurity http)

在LearnSrpingSecurity的confifigure(HttpSecurity http)方法中添加如下配置

                .and()
                .rememberMe()
                .userDetailsService(customUserDetailsService)
                .tokenRepository(jdbcTokenRepository())
                .tokenValiditySeconds(60)
                .rememberMeParameter("remember-me-test")
                .rememberMeCookieName("remember-me-cookie")


测试效果


重启项目后,数据库会自动创建表 persistent_logins


访问首页跳转到登录页面,登录成功后,查看浏览器 cookies,保存 token 值,在数据库中也有数据。


再重启,Session会清除。再次访问首页,不会跳转到登录页,因为上次已经记录了。这时浏览器Cookie中保存的token从数据库查找用户名,然后进行自动登录。


a6d4501ef13837f6c2a4ba4bee32e309.png



报错

Caused by: java.sql.SQLSyntaxErrorException: Table ‘persistent_logins’ already exists


解决方法:


将JdbcTokenRepositoryImpl方法中jdbcTokenRepository.setCreateTableOnStartup(true)注释掉


    @Bean
    public JdbcTokenRepositoryImpl jdbcTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }


退出系统

其实使用Spring Security进行logout非常简单,只需要在spring Security配置类配置项上加上这样一行代码:http.logout()。


0007f8121b7f9c926fbfd4f6f269a3fc.png


修改index.html

我们在index.html中添加退出系统功能,实现如下

<!--suppress ALL-->
<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8" />
    <title>springboot葵花宝典管理系统</title>
</head>
<body>
    <a th:href="@{/logout}" href="login.html"  > <span>退出系统</span> </a>
    <h1>springboot葵花宝典管理系统</h1>
    <br>
    <a href="/syslog">日志管理</a>
    <br>
    <a href="/sysuser">用户管理</a>
</body>



测试


重新启动项目后,登录成功后展示页面如下,退出登录后,我们发现remember-me-cookie已经删除。虽然我们简简单单的实现了logout功能,是不是还不足够放心?我们下面就来看一下Spring Security默认在logout过程中帮我们做了哪些动作。


当前session失效,即:logout的核心需求,session失效就是访问权限的回收。


删除当前用户的 remember-me“记住我”功能信息


clear清除当前的 SecurityContext


重定向到登录页面,loginPage配置项指定的页面


cf435f5a40ea0f15eb7fcc95fa40534f.png


个性化配置


虽然Spring Security默认使用了/logout作为退出处理请求路径,登录页面作为退出之后的跳转页面。这符合绝大多数的应用的开发逻辑,但有的时候我们需要一些个性化设置,如下

                .and()
                .logout()
                .logoutUrl("/logout")
                .logoutSuccessUrl("/login/page")
                .deleteCookies("JSESSIONID")



指定logoutUrl配置修改默认的logout路径,同时html退出按钮的请求url也要修改


指定logoutSuccessUrl配置,指定退出之后的跳转页面


使用deleteCookies删除指定的cookie,参数为cookie的名称


如果您觉得本文不错,欢迎关注,点赞,收藏支持,您的关注是我坚持的动力!



相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助 &nbsp; &nbsp; 相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
目录
相关文章
|
5月前
|
SQL 数据可视化 数据库
基于jsp+servlet的javaweb实现最基本的用户注册登陆注销功能
基于jsp+servlet的javaweb实现最基本的用户注册登陆注销功能
23 0
|
安全 Java 数据库
SpringSecurity-9-实现通过手机短信进行认证功能
SpringSecurity-9-实现通过手机短信进行认证功能
141 1
|
6月前
|
存储 前端开发
通过session实现用户的登录与登出功能
通过session实现用户的登录与登出功能
209 0
|
存储 JSON 前端开发
基于Springboot外卖系统04:后台系统用户登录+登出功能
如果前端与后台接口之间不存在跨域问题,那么推荐使用cookie和session来记录登录状态。如果前端与服务器接口之间存在跨域问题,那么就要使用token的方式来维持登录状态。
237 0
|
前端开发 Java 测试技术
基于Springboot外卖系统05:用户非登陆状态的页面拦截器实现
用户访问接口验证,如果用户没有登录,则不让他访问除登录外的任何接口。
120 0
|
前端开发 安全 Java
SpringSecurity权限控制和注销
SpringSecurity权限控制和注销
|
安全 Java 数据库
注销功能|学习笔记
快速学习注销功能
注销功能|学习笔记
|
Java 数据安全/隐私保护 容器
【JavaWeb】案例:用户登录、用户自动登录
本期主要介绍案例:用户登录、用户自动登录
308 0
【JavaWeb】案例:用户登录、用户自动登录
|
JavaScript Java 数据安全/隐私保护
JavaEE中,实现用户登陆和注销的操作
基于JAVAEE+JS实现用户登陆和注销的操作
JavaEE中,实现用户登陆和注销的操作
|
Java
JavaMail - 注册登陆邮箱验证激活
JavaMail - 注册登陆邮箱验证激活
141 0
JavaMail - 注册登陆邮箱验证激活