Spring Security構建Rest服務-0900-rememberMe記住我

時間  2019-11-17
標籤 spring security 構建 rest 服務 rememberme 記住 欄目 Spring 简体版
原文   原文鏈接

Spring security記住我基本原理:mysql

登陸的時候,請求發送給過濾器UsernamePasswordAuthenticationFilter,當該過濾器認證成功後,會調用RememberMeService,會生成一個token,將token寫入到瀏覽器cookie,同時RememberMeService裏邊還有個TokenRepository,將token和用戶信息寫入到數據庫中。這樣當用戶再次訪問系統,訪問某一個接口時,會通過一個RememberMeAuthenticationFilter的過濾器,他會讀取cookie中的token,交給RememberService,RememberService會用TokenRepository根據token從數據庫中查是否有記錄,若是有記錄會把用戶名取出來,再調用UserDetailService根據用戶名獲取用戶信息,而後放在SecurityContext裏。git

 RememberMeAuthenticationFilter在Spring Security中認證過濾器鏈的倒數第二個過濾器位置,當其餘認證過濾器都無法認證成功的時候,就會調用RememberMeAuthenticationFilter嘗試認證。github

實現:spring

 1,登陸表單加上<input type="checkbox" name="remember-me" value="true"/>,SpringSecurity在SpringSessionRememberMeServices類裏定義了一個常量,默認值就是remember-mesql

 2,根據上邊的原理圖可知,要配置TokenRepository,把生成的token存進數據庫,這是一個配置bean的配置,放在了BrowserSecurityConfig裏數據庫

3,在configure裏配置瀏覽器

4,在BrowserProperties里加上自動登陸時間,把記住我時間作成可配置的安全

//記住我秒數配置
private int rememberMeSeconds = 10;齊活cookie

package com.imooc.security.browser;

@Configuration //這是一個配置
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{
    
    //讀取用戶配置的登陸頁配置
    @Autowired
    private SecurityProperties securityProperties;
    
    //自定義的登陸成功後的處理器
    @Autowired
    private AuthenticationSuccessHandler imoocAuthenticationSuccessHandler;
    
    //自定義的認證失敗後的處理器
    @Autowired
    private AuthenticationFailureHandler imoocAuthenticationFailureHandler;
    
    //數據源
    @Autowired
    private DataSource dataSource;
    
    
    @Autowired
    private UserDetailsService userDetailsService;

    //注意是org.springframework.security.crypto.password.PasswordEncoder
    @Bean
    public PasswordEncoder passwordencoder(){
        //BCryptPasswordEncoder implements PasswordEncoder
        return new BCryptPasswordEncoder();
    }
    
    
    /**
     * 記住我TokenRepository配置,在登陸成功後執行
     * 登陸成功後往數據庫存token的
     * @Description: 記住我TokenRepository配置
     * @param @return   JdbcTokenRepositoryImpl
     * @return PersistentTokenRepository  
     * @throws
     * @author lihaoyang
     * @date 2018年3月5日
     */
    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //啓動時自動生成相應表,能夠在JdbcTokenRepositoryImpl裏本身執行CREATE_TABLE_SQL腳本生成表
        jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }
    
    
   //版本二:可配置的登陸頁
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //驗證碼過濾器
        ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
        //驗證碼過濾器中使用本身的錯誤處理
        validateCodeFilter.setAuthenticationFailureHandler(imoocAuthenticationFailureHandler);
        //配置的驗證碼過濾url
        validateCodeFilter.setSecurityProperties(securityProperties);
        validateCodeFilter.afterPropertiesSet();
        
        
        //實現須要認證的接口跳轉表單登陸,安全=認證+受權
        //http.httpBasic() //這個就是默認的彈框認證
        //
        http //把驗證碼過濾器加載登陸過濾器前邊
            .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
            //表單認證相關配置
            .formLogin() 
                .loginPage("/authentication/require") //處理用戶認證BrowserSecurityController
                //登陸過濾器UsernamePasswordAuthenticationFilter默認登陸的url是"/login",在這能改
                .loginProcessingUrl("/authentication/form") 
                .successHandler(imoocAuthenticationSuccessHandler)//自定義的認證後處理器
                .failureHandler(imoocAuthenticationFailureHandler) //登陸失敗後的處理
            .and()
            //記住我相關配置    
 .rememberMe()
                .tokenRepository(persistentTokenRepository())//TokenRepository,登陸成功後往數據庫存token的
                .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())//記住我秒數
                .userDetailsService(userDetailsService) //記住我成功後,調用userDetailsService查詢用戶信息
            .and()
            //受權相關的配置 
            .authorizeRequests() 
                // /authentication/require:處理登陸,securityProperties.getBrowser().getLoginPage():用戶配置的登陸頁
                .antMatchers("/authentication/require",
                securityProperties.getBrowser().getLoginPage(),//放過登陸頁不過濾,不然報錯
                "/verifycode/image").permitAll() //驗證碼
                .anyRequest()        //任何請求
                .authenticated()    //都須要身份認證
            .and()
                .csrf().disable() //關閉csrf防禦
            ;    
    }
}

其中因爲要和數據庫打交道,因此須要注入一個數據源:application.propertiessession

spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/imooc-demo
spring.datasource.username=root
spring.datasource.password=root

啓動應用,訪問 localhost:8080/user,須要登陸

登陸成功:

數據庫:生成一個persistent_logins表,存進去了一條數據

中止服務,重新啓動(註釋掉生成保存token表的jdbcTokenRepository.setCreateTableOnStartup(true);)由於咱們的用戶登陸信息都存在了session中,因此重啓服務後,再訪問localhost:8080/user,本應該從新引導到登陸頁,可是因爲配置了記住我,因此可以直接訪問,拿到了接口數據

請求頭:

至此基本的rememberMe已作好

 

 

完整代碼放在了github:https://github.com/lhy1234/spring-security

 

打個廣告

最近在玩今日頭條頭條號,錄一些北京打工生活,想看的請搜索「北漂小陽」點擊關注

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程