Spring Security 构建rest服务实现rememberme 记住我功能

小贝

Spring security记住我基本原理：

登录的时候，请求发送给过滤器UsernamePasswordAuthenticationFilter,当该过滤器认证成功后，会调用RememberMeService，会生成一个token，将token写入到浏览器cookie，同时RememberMeService里边还有个TokenRepository，将token和用户信息写入到数据库中。这样当用户再次访问系统，访问某一个接口时，会经过一个RememberMeAuthenticationFilter的过滤器，他会读取cookie中的token，交给RememberService，RememberService会用TokenRepository根据token从数据库中查是否有记录，如果有记录会把用户名取出来，再调用UserDetailService根据用户名获取用户信息，然后放在SecurityContext里。

RememberMeAuthenticationFilter在Spring Security中认证过滤器链的倒数第二个过滤器位置，当其他认证过滤器都没法认证成功的时候，就会调用RememberMeAuthenticationFilter尝试认证。

实现：

1，登录表单加上，SpringSecurity在SpringSessionRememberMeServices类里定义了一个常量，默认值就是remember-me

2，根据上边的原理图可知，要配置TokenRepository，把生成的token存进数据库，这是一个配置bean的配置，放在了BrowserSecurityConfig里

3，在configure里配置

4，在BrowserProperties里加上自动登录时间，把记住我时间做成可配置的

2. //记住我秒数配置
3. private int rememberMeSeconds = 10;齐活
4. package com.imooc.s@Configuration //这是一个配置
5. public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{
6. //读取用户配置的登录页配置
7. @Autowired
8. private SecurityProperties securityProperties;
9. //自定义的登录成功后的处理器
10. @Autowired
11. private AuthenticationSuccessHandler imoocAuthenticationSuccessHandler;
12. //自定义的认证失败后的处理器
13. @Autowired
14. private AuthenticationFailureHandler imoocAuthenticationFailureHandler;
15. //数据源
16. @Autowired
17. private DataSource dataSource;
18. @Autowired
19. private UserDetailsService userDetailsService;
20. //注意是org.springframework.security.crypto.password.PasswordEncoder
21. @Bean
22. public PasswordEncoder passwordencoder(){
23. //BCryptPasswordEncoder implements PasswordEncoder
24. return new BCryptPasswordEncoder();
25. }
26. /**
27. * 记住我TokenRepository配置，在登录成功后执行
28. * 登录成功后往数据库存token的
29. * @Description: 记住我TokenRepository配置
30. * @param @return JdbcTokenRepositoryImpl
31. * @return PersistentTokenRepository
32. * @throws
33. * @author lihaoyang
34. * @date 2018年3月5日
35. */
36. @Bean
37. public PersistentTokenRepository persistentTokenRepository(){
38. JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
39. jdbcTokenRepository.setDataSource(dataSource);
40. //启动时自动生成相应表，可以在JdbcTokenRepositoryImpl里自己执行CREATE_TABLE_SQL脚本生成表
41. jdbcTokenRepository.setCreateTableOnStartup(true);
42. return jdbcTokenRepository;
43. }
44. //版本二：可配置的登录页
45. @Override
46. protected void configure(HttpSecurity http) throws Exception {
47. //验证码过滤器
48. ValidateCodeFilter validateCodeFilter = new ValidateCodeFilter();
49. //验证码过滤器中使用自己的错误处理
50. validateCodeFilter.setAuthenticationFailureHandler(imoocAuthenticationFailureHandler);
51. //配置的验证码过滤url
52. validateCodeFilter.setSecurityProperties(securityProperties);
53. validateCodeFilter.afterPropertiesSet();
54. //实现需要认证的接口跳转表单登录,安全=认证+授权
55. //http.httpBasic() //这个就是默认的弹框认证
56. //
57. http //把验证码过滤器加载登录过滤器前边
58. .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
59. //表单认证相关配置
60. .formLogin()
61. .loginPage("/authentication/require") //处理用户认证BrowserSecurityController
62. //登录过滤器UsernamePasswordAuthenticationFilter默认登录的url是"/login"，在这能改
63. .loginProcessingUrl("/authentication/form")
64. .successHandler(imoocAuthenticationSuccessHandler)//自定义的认证后处理器
65. .failureHandler(imoocAuthenticationFailureHandler) //登录失败后的处理
66. .and()
67. //记住我相关配置
68. .rememberMe()
69. .tokenRepository(persistentTokenRepository())//TokenRepository，登录成功后往数据库存token的
70. .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())//记住我秒数
71. .userDetailsService(userDetailsService) //记住我成功后，调用userDetailsService查询用户信息
72. .and()
73. //授权相关的配置
74. .authorizeRequests()
75. // /authentication/require：处理登录，securityProperties.getBrowser().getLoginPage():用户配置的登录页
76. .antMatchers("/authentication/require",
77. securityProperties.getBrowser().getLoginPage(),//放过登录页不过滤，否则报错
78. "/verifycode/image").permitAll() //验证码
79. .anyRequest() //任何请求
80. .authenticated() //都需要身份认证
81. .and()
82. .csrf().disable() //关闭csrf防护
83. ;
84. }
85. }ecurity.browser;

复制代码

其中由于要和数据库打交道，所以需要注入一个数据源：application.properties

2. spring.datasource.driver-class-name=com.mysql.jdbc.Driver
3. spring.datasource.url=jdbc:mysql://127.0.0.1:3306/imooc-demo
4. spring.datasource.username=root
5. spring.datasource.password=root

复制代码

启动应用，访问 localhost:8080/user，需要登录

登录成功：

数据库：生成一个persistent_logins表，存进去了一条数据

停止服务，从新启动（注释掉生成保存token表的jdbcTokenRepository.setCreateTableOnStartup(true);）因为我们的用户登录信息都存在了session中，所以重启服务后，再访问localhost:8080/user，本应该重新引导到登录页，但是由于配置了记住我，所以能够直接访问,拿到了接口数据

请求头：

至此基本的rememberMe已做好

完整代码放在了github：https://github.com/lhy1234/spring-security

总结

以上所述是小编给大家介绍的Spring Security 构建rest服务实现rememberme 记住我功能，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对程序员之家网站的支持！