添加记住我功能
- 记住我功能的基本原理
- 如何实现记住我的功能
- security记住我源码解析
记住我功能的基本原理
在security中认证过滤链中的 org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter 过滤器来实现的
当没有其他的认证过滤器处理的时候,记住我这个过滤器就尝试工作
如何实现记住我的功能
给默认登录页面增加选项
<!--名称是固定的-->
<input type="checkbox" value="true" name="remember-me">记住我
nam的名称是以下类中被定义
org.springframework.security.config.annotation.web.configurers.RememberMeConfigurer
private static final String DEFAULT_REMEMBER_ME_NAME = "remember-me";
配置:(补全的代码都是伪代码,只贴出来变化的部分)
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
// 数据源是需要在使用处配置数据源的信息
@Autowired
private DataSource dataSource;
@Autowired
private PersistentTokenRepository persistentTokenRepository;
// 之前已经写好的 MyUserDetailsService
@Autowired
private UserDetailsService userDetailsService;
@Bean
public PersistentTokenRepository persistentTokenRepository() {
// org.springframework.security.config.annotation.web.configurers.RememberMeConfigurer.tokenRepository
JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
jdbcTokenRepository.setDataSource(dataSource);
// 该对象里面有定义创建表的语句
// 可以设置让该类来创建表
// 但是该功能只用使用一次,如果数据库已经存在表则会报错
// jdbcTokenRepository.setCreateTableOnStartup(true);
return jdbcTokenRepository;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// 由源码得知,在最前面的是UsernamePasswordAuthenticationFilter
.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
// 定义表单登录 - 身份认证的方式
.formLogin()
.loginPage("/authentication/require")
.loginProcessingUrl("/authentication/form")
.successHandler(myAuthenticationSuccessHandler)
.failureHandler(myAuthenticationFailureHandler)
.and()
// 从这里开始配置记住我的功能
.rememberMe()
.tokenRepository(persistentTokenRepository)
// 新增过期配置,单位秒,默认配置写的60秒
.tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSeconds())
.tokenValiditySeconds(60 * 5)
// userDetailsService 是必须的。不然就报错
.userDetailsService(userDetailsService)
从数据库获取到记住我的token后,验证成功,则通过userDetailsService获取用户信息,然后在框架中写入认证信息,完成登录;
测试:
- 访问/user 肯定被拦截,无权限访问
- 访问标准登录页:
/imocc-signIn.html记住勾选记住我的选项 - 退出浏览器或则重启系统
- 直接访问 /user
在第4步的时候会明显的感觉到系统运行缓慢,这是因为需要从数据库获取信息
在登录成功的时候会往数据库插入一条数据
INSERT INTO `imooc-demo`.`persistent_logins` (`username`, `series`, `token`, `last_used`) VALUES ('admin', 'eBbVlKvXSseasbH6yVGozQ==', '72sHS9ifyza2yTN3h0Kq7A==', '2018-08-04 14:05:31');
登录一次则会插入一条;那什么时候被删除呢?
在源码中看到:
- 当携带的cookie和数据库中最后一次不匹配的时候,会删除所有与该用户相关的记录
- 当使用logout功能退出的时候
所以该地方可能会有一些小小的问题;但是可以自己去解决这个数据过多的情况;增加定时任务多长时间清理一次等方法
源码解析
登录在验证成功之后会调用该方法
org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#successfulAuthentication
然后委托了 org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices#onLoginSuccess
protected void onLoginSuccess(HttpServletRequest request,
HttpServletResponse response, Authentication successfulAuthentication) {
String username = successfulAuthentication.getName();
logger.debug("Creating new persistent login for user " + username);
PersistentRememberMeToken persistentToken = new PersistentRememberMeToken(
username, generateSeriesData(), generateTokenData(), new Date());
try {
tokenRepository.createNewToken(persistentToken);
addCookie(persistentToken, request, response);
}
catch (Exception e) {
logger.error("Failed to save persistent token ", e);
}
}
携带cookie访问的时候会触发这个方法
org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices#processAutoLoginCookie
里面有验证过期等的逻辑
Java 面试宝典是大明哥全力打造的 Java 精品面试题,它是一份靠谱、强大、详细、经典的 Java 后端面试宝典。它不仅仅只是一道道面试题,而是一套完整的 Java 知识体系,一套你 Java 知识点的扫盲贴。
它的内容包括:
- 大厂真题:Java 面试宝典里面的题目都是最近几年的高频的大厂面试真题。
- 原创内容:Java 面试宝典内容全部都是大明哥原创,内容全面且通俗易懂,回答部分可以直接作为面试回答内容。
- 持续更新:一次购买,永久有效。大明哥会持续更新 3+ 年,累计更新 1000+,宝典会不断迭代更新,保证最新、最全面。
- 覆盖全面:本宝典累计更新 1000+,从 Java 入门到 Java 架构的高频面试题,实现 360° 全覆盖。
- 不止面试:内容包含面试题解析、内容详解、知识扩展,它不仅仅只是一份面试题,更是一套完整的 Java 知识体系。
- 宝典详情:https://www.yuque.com/chenssy/sike-java/xvlo920axlp7sf4k
- 宝典总览:https://www.yuque.com/chenssy/sike-java/yogsehzntzgp4ly1
- 宝典进展:https://www.yuque.com/chenssy/sike-java/en9ned7loo47z5aw
目前 Java 面试宝典累计更新 400+ 道,总字数 42w+。大明哥还在持续更新中,下图是大明哥在 2024-12 月份的更新情况:
想了解详情的小伙伴,扫描下面二维码加大明哥微信【daming091】咨询
同时,大明哥也整理一套目前市面最常见的热点面试题。微信搜[大明哥聊 Java]或扫描下方二维码关注大明哥的原创公众号[大明哥聊 Java] ,回复【面试题】 即可免费领取。
