文档章节

Spring Seucrity 之 Remember Me

华哥_
 华哥_
发布于 2013/08/08 13:35
字数 574
阅读 92
收藏 0
点赞 0
评论 0

Spring Security 提供了Remember-me机制用来实现记录用户的登录状态。方便用户下

次自动登录。Spring Security 对此操作提供了必要的钩子,remember-me有两个固定的实现

一个是使用把用户登录信息加密以cookie的方式保存到客户端。一是用户可以把用户信息

持久化到服务端的数据库中。

   注意:这两种实现都必须有一个 UserDetailsService实现。如果你使用一个没有使用

UserDetailsService的验证提供者,Remember-me将不会工作,除非你在应用的上下文中

有一个UserDetailsService对象。

一、基本的Hash保存到客户端的Cookie中。

     直接在命名空间<http>中加入<remember-me />元素,就可以使用本方法。但要注意的

是在你的。此时系统会自动为你生成UserDetailsService对象(如果你在配置文件中定义了此

对象必须在<remember-me />使用user-service-ref指定)。本策略使用的为

[java]  view plain copy
  1. org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices  

此策略会在客户端生成一个名称为SPRING_SECURITY_REMEMBER_ME_COOKIE,值进

行加密后的Cookie

二、持久化到服务器端的服务器中

     如果想使用本策略,你需要在命名空间的配置中提供一个datasource引用:

 

[html]  view plain copy
  1. <http>  
  2.     ....  
  3.    <remember-me data-source-ref="someDataSource" />  
  4.  </http>  

数据库中还必须包含一个名为persistent_logins的表,表结构使用一下SQL语句创建(或者是等价的)

  
[sql]  view plain copy
  1. create table persistent_logins (  
  2.   username varchar(64) not null,  
  3.   series varchar(64) primary key,  
  4.   token varchar(64) not null,  
  5.   last_used timestamp not null)  


   由于以上两种策略对应的实现类都的父类(org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices)实现了LogoutHandler接口。

   在AbstractRememberMeServices类中的 logout(...)方法中清楚了Cookie。如下所示:

         

[java]  view plain copy
  1. public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {  
  2.         if (logger.isDebugEnabled()) {  
  3.             logger.debug( "Logout of user "  
  4.                     + (authentication == null ? "Unknown" : authentication.getName()));  
  5.         }  
  6.         cancelCookie(request, response);  
  7.     }  
 ...
[java]  view plain copy
  1. /** 
  2.      * Sets a "cancel cookie" (with maxAge = 0) on the response to disable persistent logins. 
  3.      * 
  4.      * @param request 
  5.      * @param response 
  6.      */  
  7.     protected void cancelCookie(HttpServletRequest request, HttpServletResponse response) {  
  8.         logger.debug("Cancelling cookie");  
  9.         Cookie cookie = new Cookie(cookieName, null);  
  10.         cookie.setMaxAge(0);  
  11.         cookie.setPath(getCookiePath(request));  
  12.   
  13.         response.addCookie(cookie);  
  14.     }  

......

如果想在用户安全退出后不删除Cookie, 可以自己实现类,实现类可以继承org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices 或

 org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices。在自定义类中只重写org.springframework.security.web.authentication.rememberme.AbstractRememberMeServices

类中的logout(...)方法即可。(但是这样 就失去了安全退出的意义了。哈哈)

本文转载自:http://blog.csdn.net/small_love/article/details/6641316

共有 人打赏支持
华哥_
粉丝 4
博文 122
码字总数 67861
作品 0
虹口
Spring Security——session管理

Spring Security通过http元素下的子元素session-management提供了对Http Session管理的支持。 1.1 检测session超时 Spring Security可以在用户使用已经超时的sessionId进行请求时将用户引导到...

引鸩怼孑
2015/05/05
0
0
Spring Security 退出

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...

李玉长
05/05
0
0
SpringSecurity3.X--remember-me

http://blog.sina.com.cn/s/blog_8020e411010155lf.html SpringSecurity3.X--remember-me (2012-04-20 15:03:14) 转载▼ 标签: it 分类: javaEE 在SpringSecurity中配置remember-me时,遇到......

nibilly
2015/11/03
0
0
利用Spring Security 3.2的remember-me搭建SSO

回顾 在上一篇文章,我实现了Spring Security3.2搭建的第一个网站应用firstWeb. 进阶-使用Spring Security3.2搭建LDAP认证授权和Remember-me。 而在更早的时候,我有使用Apache+tomcat搭建c...

xpbug
2014/02/26
0
0
spring security2.X 添加验证码

ps:这个是spring security 2.x适用! 如何搭建struts2+hibernate+spring+spring security ,可以看我以前写的一篇文章:http://my.oschina.net/BeyondBit/blog/64465 今天我们来介绍一下sprin...

Beyond-Bit
2013/02/18
0
0
让Spring Security 来保护你的Spring Boot项目吧

参考资料: 书籍:Spring实战(第4版) 第9章和第14章 Spring Security 参考手册 初识 Spring Security 程序猿DD的Spring Security学习笔记 Spring Security 简介 Spring Security是一个能够为...

潇潇漓燃
05/19
0
0
敬献Spring Security-3.x官方文档中文版

因机房被封,网站暂时无法访问,请耐心等待,诚心祷告早日恢复。 Spring Security-3.x新近发布,整体的项目结构和包名都出现了天翻地覆的变化,与此同时,Spring Security-3.x中也提供了ses...

hans汉斯
2010/01/21
0
0
敬献Spring Security-3.x官方文档中文版

因机房被封,网站暂时无法访问,请耐心等待,诚心祷告早日恢复。 Spring Security-3.x新近发布,整体的项目结构和包名都出现了天翻地覆的变化,与此同时,Spring Security-3.x中也提供了ses...

hans汉斯
2010/01/21
0
1
《Spring Security3》第四章第四部分翻译(Remember me后台存储和SSL)

将Remember me功能迁移至数据库 现在你可能会意识到我们remember me功能的实现,能够在应用重启前很好的使用,但在应用重启时用户的session会被丢失。这对用户来说会不太便利,他们不应该关心...

heroShane
2014/02/08
0
0
springboot+security整合1

说明springboot版本2.0.3 一、 介绍   Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的B...

烦嚣的人
昨天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

回想过往,分析当下,着眼未来

好久没有真正的在纸质笔记本上写过东西了,感觉都快不会写字了,笔画都不知道怎么写了。接下来就说说咱们的正事。 2018年7月22日,我做了一个决定,那就是去参加安全培训(可能是我职业生涯中...

yeahlife
25分钟前
1
0
关于工作中的人际交往

关于工作中的人际交往 Intro 写了篇发泄情绪的博客,但不会发布出来。 大概就是,要么忍,要么滚。 以及一些不那么符合社会主义核心价值观,不满于大资本家与小资本家剥削的废话。

uniqptr
30分钟前
0
0
springMVC的流程

1.用户发送请求至前端控制器DispatcherServlet 2.DispatcherServlet收到请求调用HandlerMapping处理器映射器。 3.处理器映射器根据请求url找到具体的处理器,生成处理器对象及处理器拦截器(...

JavaSon712
46分钟前
0
0
大数据教程(3.2):Linux系统软件安装之自动化脚本

博主前面文章有介绍过软件的安装,可以帮助IT人员顺利的完成功能软件安装;但是,对于我们运维人员或者需要管理软件安装的项目经理来说,有些应用一次行需要搭建很多台相同的软件环境(如tom...

em_aaron
今天
0
0
Spring Boot 2.0.3 JDBC整合Oracle 12

整合步骤 1. Oracle驱动引入 Oracle驱动一般不能通过maven仓库直接下载得到,需自行下载并导入到项目的lib目录下,建议通过如下pom依赖引入下载的Oracle驱动 <!-- Oracle 驱动 -->...

OSC_fly
今天
0
0
java 8 并行流 - 1

下面创建一个并行流,与顺序流 //顺序流Stream.iterate(0L, i -> i + 1) .limit(Integer.MAX_VALUE) .reduce(0L, Long::sum);//并行流Stream.iterate(0L, i -> i......

Canaan_
今天
0
0
数据结构与算法5

二分法采用向下取整的方法 使用有序数组的好处是查找的速度比无序数组快的多,不好的方面是因为要将所有靠后的数据移开,所以速度较慢,有序数组和无序数组的删除操作都很慢。 有序数组在查找...

沉迷于编程的小菜菜
昨天
1
1
SpringBoot | 第十一章:Redis的集成和简单使用

前言 上几节讲了利用Mybatis-Plus这个第三方的ORM框架进行数据库访问,在实际工作中,在存储一些非结构化或者缓存一些临时数据及热点数据时,一般上都会用上mongodb和redis进行这方面的需求。...

oKong
昨天
5
0
对基于深度神经网络的Auto Encoder用于异常检测的一些思考

一、前言 现实中,大部分数据都是无标签的,人和动物多数情况下都是通过无监督学习获取概念,故而无监督学习拥有广阔的业务场景。举几个场景:网络流量是正常流量还是攻击流量、视频中的人的...

冷血狂魔
昨天
0
0
并发设计之A系统调用B系统

A-->B A在发送请求之前,用乐观锁,减少对B的重复调用,这样一定程度上是幂等性。 比如A系统支付功能,要调用B系统进行支付操作,但是前端对"支付"按钮不进行控制,即用户会不断多次点击支付...

汉斯-冯-拉特
昨天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部