查看: 1367|回复: 0

[Java语言] Spring Security 构建rest服务实现rememberme 记住我功能

发表于 2018-4-16 08:00:05

Spring security记住我基本原理:

登录的时候,请求发送给过滤器UsernamePasswordAuthenticationFilter,当该过滤器认证成功后,会调用RememberMeService,会生成一个token,将token写入到浏览器cookie,同时RememberMeService里边还有个TokenRepository,将token和用户信息写入到数据库中。这样当用户再次访问系统,访问某一个接口时,会经过一个RememberMeAuthenticationFilter的过滤器,他会读取cookie中的token,交给RememberService,RememberService会用TokenRepository根据token从数据库中查是否有记录,如果有记录会把用户名取出来,再调用UserDetailService根据用户名获取用户信息,然后放在SecurityContext里。

RememberMeAuthenticationFilter在Spring Security中认证过滤器链的倒数第二个过滤器位置,当其他认证过滤器都没法认证成功的时候,就会调用RememberMeAuthenticationFilter尝试认证。

实现:

1,登录表单加上,SpringSecurity在SpringSessionRememberMeServices类里定义了一个常量,默认值就是remember-me

2,根据上边的原理图可知,要配置TokenRepository,把生成的token存进数据库,这是一个配置bean的配置,放在了BrowserSecurityConfig里

3,在configure里配置

4,在BrowserProperties里加上自动登录时间,把记住我时间做成可配置的

  1. //记住我秒数配置
  2. private int rememberMeSeconds = 10;齐活
  3. package com.imooc.s@Configuration //这是一个配置
  4. public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{
  5. //读取用户配置的登录页配置
  6. @Autowired
  7. private SecurityProperties securityProperties;
  8. //自定义的登录成功后的处理器
  9. @Autowired
  10. private AuthenticationSuccessHandler imoocAuthenticationSuccessHandler;
  11. //自定义的认证失败后的处理器
  12. @Autowired
  13. private AuthenticationFailureHandler imoocAuthenticationFailureHandler;
  14. //数据源
  15. @Autowired
  16. private DataSource dataSource;
  17. @Autowired
  18. private UserDetailsService userDetailsService;
  19. //注意是org.springframework.security.crypto.password.PasswordEncoder
  20. @Bean
  21. public PasswordEncoder passwordencoder(){
  22. //BCryptPasswordEncoder implements PasswordEncoder
  23. return new BCryptPasswordEncoder();
  24. }
  25. /**
  26. * 记住我TokenRepository配置,在登录成功后执行
  27. * 登录成功后往数据库存token的
  28. * @Description: 记住我TokenRepository配置
  29. * @param @return JdbcTokenRepositoryImpl
  30. * @return PersistentTokenRepository
  31. * @throws
  32. * @author lihaoyang
  33. * @date 2018年3月5日
  34. */
  35. @Bean
  36. public PersistentTokenRepository persistentTokenRepository(){
  37. JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
  38. jdbcTokenRepository.setDataSource(dataSource);
  39. //启动时自动生成相应表,可以在JdbcTokenRepositoryImpl里自己执行CREATE_TABLE_SQL脚本生成表
  40. jdbcTokenRepository.setCreateTableOnStartup(true);
  41. return jdbcTokenRepository;
  42. }
  43. //版本二:可配置的登录页
  44. @Override
  45. protected void configure(HttpSecurity http) throws Exception {
  46. //验证码过滤器
  47. ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
  48. //验证码过滤器中使用自己的错误处理
  49. validateCodeFilter.setAuthenticationFailureHandler(imoocAuthenticationFailureHandler);
  50. //配置的验证码过滤url
  51. validateCodeFilter.setSecurityProperties(securityProperties);
  52. validateCodeFilter.afterPropertiesSet();
  53. //实现需要认证的接口跳转表单登录,安全=认证+授权
  54. //http.httpBasic() //这个就是默认的弹框认证
  55. //
  56. http //把验证码过滤器加载登录过滤器前边
  57. .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
  58. //表单认证相关配置
  59. .formLogin()
  60. .loginPage("/authentication/require") //处理用户认证BrowserSecurityController
  61. //登录过滤器UsernamePasswordAuthenticationFilter默认登录的url是"/login",在这能改
  62. .loginProcessingUrl("/authentication/form")
  63. .successHandler(imoocAuthenticationSuccessHandler)//自定义的认证后处理器
  64. .failureHandler(imoocAuthenticationFailureHandler) //登录失败后的处理
  65. .and()
  66. //记住我相关配置
  67. .rememberMe()
  68. .tokenRepository(persistentTokenRepository())//TokenRepository,登录成功后往数据库存token的
  69. .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())//记住我秒数
  70. .userDetailsService(userDetailsService) //记住我成功后,调用userDetailsService查询用户信息
  71. .and()
  72. //授权相关的配置
  73. .authorizeRequests()
  74. // /authentication/require:处理登录,securityProperties.getBrowser().getLoginPage():用户配置的登录页
  75. .antMatchers("/authentication/require",
  76. securityProperties.getBrowser().getLoginPage(),//放过登录页不过滤,否则报错
  77. "/verifycode/image").permitAll() //验证码
  78. .anyRequest() //任何请求
  79. .authenticated() //都需要身份认证
  80. .and()
  81. .csrf().disable() //关闭csrf防护
  82. ;
  83. }
  84. }ecurity.browser;
复制代码

其中由于要和数据库打交道,所以需要注入一个数据源:application.properties

  1. spring.datasource.driver-class-name=com.mysql.jdbc.Driver
  2. spring.datasource.url=jdbc:mysql://127.0.0.1:3306/imooc-demo
  3. spring.datasource.username=root
  4. spring.datasource.password=root
复制代码

启动应用,访问 localhost:8080/user,需要登录

登录成功:

数据库:生成一个persistent_logins表,存进去了一条数据

停止服务,从新启动(注释掉生成保存token表的jdbcTokenRepository.setCreateTableOnStartup(true);)因为我们的用户登录信息都存在了session中,所以重启服务后,再访问localhost:8080/user,本应该重新引导到登录页,但是由于配置了记住我,所以能够直接访问,拿到了接口数据

请求头:

至此基本的rememberMe已做好

完整代码放在了github:https://github.com/lhy1234/spring-security

总结

以上所述是小编给大家介绍的Spring Security 构建rest服务实现rememberme 记住我功能,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对程序员之家网站的支持!



回复

使用道具 举报