SpringSecurityRememberme使用及原理是什么

SpringSecurityRememberme使用及原理是什么，針對(duì)這個(gè)問(wèn)題，這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問(wèn)題的小伙伴找到更簡(jiǎn)單易行的方法。

Remember me功能就是勾選"記住我"后，一次登錄，后面在有效期內(nèi)免登錄。

先看具體配置：

pom文件：

<dependency>   <groupId>org.springframework.boot</groupId>   <artifactId>spring-boot-starter-data-jpa</artifactId></dependency><dependency>   <groupId>org.springframework.boot</groupId>   <artifactId>spring-boot-starter-security</artifactId></dependency>

Security的配置：

@Autowired  private UserDetailsService myUserDetailServiceImpl; // 用戶(hù)信息服務(wù)  @Autowired  private DataSource dataSource; // 數(shù)據(jù)源  @Override  protected void configure(HttpSecurity http) throws Exception {    // formLogin()是默認(rèn)的登錄表單頁(yè)，如果不配置 loginPage(url)，則使用 spring security    // 默認(rèn)的登錄頁(yè)，如果配置了 loginPage()則使用自定義的登錄頁(yè)    http.formLogin() // 表單登錄        .loginPage(SecurityConst.AUTH_REQUIRE)        .loginProcessingUrl(SecurityConst.AUTH_FORM) // 登錄請(qǐng)求攔截的url,也就是form表單提交時(shí)指定的action        .successHandler(loginSuccessHandler)        .failureHandler(loginFailureHandler)        .and()      .rememberMe()        .userDetailsService(myUserDetailServiceImpl) // 設(shè)置userDetailsService        .tokenRepository(persistentTokenRepository()) // 設(shè)置數(shù)據(jù)訪問(wèn)層        .tokenValiditySeconds(60 * 60) // 記住我的時(shí)間(秒)        .and()      .authorizeRequests() // 對(duì)請(qǐng)求授權(quán)        .antMatchers(SecurityConst.AUTH_REQUIRE, securityProperty.getBrowser().getLoginPage()).permitAll() // 允許所有人訪問(wèn)login.html和自定義的登錄頁(yè)        .anyRequest() // 任何請(qǐng)求        .authenticated()// 需要身份認(rèn)證        .and()      .csrf().disable() // 關(guān)閉跨站偽造    ;  }  /**   * 持久化token   *    * Security中，默認(rèn)是使用PersistentTokenRepository的子類(lèi)InMemoryTokenRepositoryImpl，將token放在內(nèi)存中   * 如果使用JdbcTokenRepositoryImpl，會(huì)創(chuàng)建表persistent_logins，將token持久化到數(shù)據(jù)庫(kù)   */  @Bean  public PersistentTokenRepository persistentTokenRepository() {    JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();    tokenRepository.setDataSource(dataSource); // 設(shè)置數(shù)據(jù)源//    tokenRepository.setCreateTableOnStartup(true); // 啟動(dòng)創(chuàng)建表，創(chuàng)建成功后注釋掉    return tokenRepository;  }

上面的myUserDetailServiceImpl是自己實(shí)現(xiàn)的UserDetailsService接口，dataSource會(huì)自動(dòng)讀取數(shù)據(jù)庫(kù)配置。過(guò)期時(shí)間設(shè)置的3600秒，即一個(gè)小時(shí)

在登錄頁(yè)面加一行(name必須是remeber-me)：

"記住我"基本原理：

1、第一次發(fā)送認(rèn)證請(qǐng)求，會(huì)被UsernamePasswordAuthenticationFilter攔截，然后身份認(rèn)證。

認(rèn)證成功后，在AbstracAuthenticationProcessingFilter中，有個(gè)RememberMeServices接口。

該接口默認(rèn)實(shí)現(xiàn)類(lèi)是NullRememberMeServices，這里會(huì)調(diào)用另一個(gè)實(shí)現(xiàn)抽象類(lèi)AbstractRememberMeServices

// ...  private RememberMeServices rememberMeServices = new NullRememberMeServices();  protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,      Authentication authResult) throws IOException, ServletException {    // ...    SecurityContextHolder.getContext().setAuthentication(authResult);    // 登錄成功后，調(diào)用RememberMeServices保存Token相關(guān)信息    rememberMeServices.loginSuccess(request, response, authResult);    // ...  }

2、調(diào)用AbstractRememberMeServices的loginSuccess方法。

可以看到如果request中name為"remember-me"為true時(shí)，才會(huì)調(diào)用下面的onLoginSuccess()方法。這也是為什么上面登錄頁(yè)中的表單，name必須是"remember-me"的原因：

3、在Security中配置了rememberMe()之后， 會(huì)由PersistentTokenBasedRememberMeServices去實(shí)現(xiàn)父類(lèi)AbstractRememberMeServices中的抽象方法。

在PersistentTokenBasedRememberMeServices中，有一個(gè)PersistentTokenRepository，會(huì)生成一個(gè)Token，并將這個(gè)Token寫(xiě)到cookie里面返回瀏覽器。PersistentTokenRepository的默認(rèn)實(shí)現(xiàn)類(lèi)是InMemoryTokenRepositoryImpl，該默認(rèn)實(shí)現(xiàn)類(lèi)會(huì)將token保存到內(nèi)存中。這里我們配置了它的另一個(gè)實(shí)現(xiàn)類(lèi)JdbcTokenRepositoryImpl，該類(lèi)會(huì)將Token持久化到數(shù)據(jù)庫(kù)中

// ...  private PersistentTokenRepository tokenRepository = new InMemoryTokenRepositoryImpl();  protected void onLoginSuccess(HttpServletRequest request,      HttpServletResponse response, Authentication successfulAuthentication) {    String username = successfulAuthentication.getName();    logger.debug("Creating new persistent login for user " + username);    // 創(chuàng)建一個(gè)PersistentRememberMeToken    PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(        username, generateSeriesData(), generateTokenData(), new Date());    try {      // 保存Token      tokenRepository.createNewToken(persistentToken);      // 將Token寫(xiě)到Cookie中      addCookie(persistentToken, request, response);    }    catch (Exception e) {      logger.error("Failed to save persistent token ", e);    }  }

4、JdbcTokenRepositoryImpl將Token持久化到數(shù)據(jù)庫(kù)

/** The default SQL used by <tt>createNewToken</tt> */  public static final String DEF_INSERT_TOKEN_SQL = "insert into persistent_logins (username, series, token, last_used) values(?,?,?,?)";  public void createNewToken(PersistentRememberMeToken token) {    getJdbcTemplate().update(insertTokenSql, token.getUsername(), token.getSeries(),        token.getTokenValue(), token.getDate());  }

查看數(shù)據(jù)庫(kù)，可以看到往persistent_logins 中插入了一條數(shù)據(jù)：

5、重啟服務(wù)，發(fā)送第二次認(rèn)證請(qǐng)求，只會(huì)攜帶Cookie。

所以直接會(huì)被RememberMeAuthenticationFilter攔截，并且此時(shí)內(nèi)存中沒(méi)有認(rèn)證信息。

可以看到，此時(shí)的RememberMeServices是由PersistentTokenBasedRememberMeServices實(shí)現(xiàn)

6、在PersistentTokenBasedRememberMeServices中，調(diào)用processAutoLoginCookie方法，獲取用戶(hù)相關(guān)信息

protected UserDetails processAutoLoginCookie(String[] cookieTokens,      HttpServletRequest request, HttpServletResponse response) {    if (cookieTokens.length != 2) {      throw new InvalidCookieException("Cookie token did not contain " + 2          + " tokens, but contained '" + Arrays.asList(cookieTokens) + "'");    }    // 從Cookie中獲取Series和Token    final String presentedSeries = cookieTokens[0];    final String presentedToken = cookieTokens[1];     //在數(shù)據(jù)庫(kù)中，通過(guò)Series查詢(xún)PersistentRememberMeToken    PersistentRememberMeToken token = tokenRepository        .getTokenForSeries(presentedSeries);    if (token == null) {      throw new RememberMeAuthenticationException(          "No persistent token found for series id: " + presentedSeries);    }    // 校驗(yàn)數(shù)據(jù)庫(kù)中Token和Cookie中的Token是否相同    if (!presentedToken.equals(token.getTokenValue())) {      tokenRepository.removeUserTokens(token.getUsername());      throw new CookieTheftException(          messages.getMessage(              "PersistentTokenBasedRememberMeServices.cookieStolen",              "Invalid remember-me token (Series/token) mismatch. Implies previous cookie theft attack."));    }    // 判斷Token是否超時(shí)    if (token.getDate().getTime() + getTokenValiditySeconds() * 1000L < System        .currentTimeMillis()) {      throw new RememberMeAuthenticationException("Remember-me login has expired");    }    if (logger.isDebugEnabled()) {      logger.debug("Refreshing persistent login token for user '"          + token.getUsername() + "', series '" + token.getSeries() + "'");    }        // 創(chuàng)建一個(gè)新的PersistentRememberMeToken    PersistentRememberMeToken newToken = new PersistentRememberMeToken(        token.getUsername(), token.getSeries(), generateTokenData(), new Date());    try {      //更新數(shù)據(jù)庫(kù)中Token      tokenRepository.updateToken(newToken.getSeries(), newToken.getTokenValue(),          newToken.getDate());      //重新寫(xiě)到Cookie      addCookie(newToken, request, response);    }    catch (Exception e) {      logger.error("Failed to update token: ", e);      throw new RememberMeAuthenticationException(          "Autologin failed due to data access problem");    }    //調(diào)用UserDetailsService獲取用戶(hù)信息    return getUserDetailsService().loadUserByUsername(token.getUsername());  }

7、獲取用戶(hù)相關(guān)信息后，再調(diào)用AuthenticationManager去認(rèn)證授權(quán)

關(guān)于SpringSecurityRememberme使用及原理是什么問(wèn)題的解答就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，如果你還有很多疑惑沒(méi)有解開(kāi)，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)。