• Spring Security(5)


    您好,我是湘王,这是我的博客园,欢迎您来,欢迎您再来~

     

    经常上网的人都应该有这样的体验:很多网站或者APP只需要第一次登录时输入用户名和密码之后,后面很长一段时间内就不需要再次输入密码了。这确实是一个非常好的体验,不然每次都让人输用户名和密码就太麻烦了。

    Spring Security也提供了这样的功能,也就是Remember-Me(记住我)。

    要实现这个功能也异常简单:只需要稍稍修改一下WebSecurityConfiguration即可:

    复制代码
    // 控制逻辑
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                // 设置自定义认证成功、失败及登出处理器
                .and().formLogin().loginPage("/login")
                .successHandler(successHandler).failureHandler(failureHandler).permitAll()
                .and().logout().logoutUrl("/logout").deleteCookies("JSESSIONID")
                .logoutSuccessHandler(logoutSuccessHandler).permitAll()
                // 配置无权访问的自定义处理器
                .and().exceptionHandling().accessDeniedHandler(accessDeniedHandler)
                // 记住我
                .and().rememberMe()
                .and()
                .cors().and().csrf().disable();
    }
    复制代码

     

     

    postman的参数中增加remember-me参数,并设为true再访问就行了:

     

     

     

     

    结果也很清楚:

     

     

     

     

     

    虽然用cookie实现记住我很方便,但是如果涉及到敏感信息的话,cookie太过简单满足不了需求。所以,Spring Security提供了另外一种实现机制:保存到数据库中。也就是自动登录时,用cookie中的加密串到数据库中验证,如果通过,自动登录才算成功。使用这种方式实现remember-me很简单,只需要在WebSecurityConfiguration中增加一段代码就行了:

    复制代码
    // 控制逻辑
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                // 设置自定义认证成功、失败及登出处理器
                .and().formLogin().loginPage("/login")
                .successHandler(successHandler).failureHandler(failureHandler).permitAll()
                .and().logout().logoutUrl("/logout").deleteCookies("JSESSIONID")
                .logoutSuccessHandler(logoutSuccessHandler).permitAll()
                // 配置无权访问的自定义处理器
                .and().exceptionHandling().accessDeniedHandler(accessDeniedHandler)
                // 记住我
                .and().rememberMe()
                // 数据库保存,这种方式在关闭服务之后仍然有效
                .tokenRepository(persistentTokenRepository())
                // 默认的失效时间会从用户最后一次操作开始计算过期时间,过期时间最小值就是60秒,
                // 如果设置的值小于60秒,也会被更改为60秒
                .tokenValiditySeconds(30 * 24 * 60 * 60)
                .and()
                .cors().and().csrf().disable();
    }
    复制代码

     

     

    因为需要在数据库中保存,那么自然就需要创建相应的数据库表:

     

     

     

    同样,在WebSecurityConfiguration中再加入如下代码(需要注意的是,datasource是不能够通过连接池得到的,这里连接池注入的是javax.sql.DataSource):

    复制代码
    // 如果使用hikariCP这里就无法注入DataSource
    @Autowired
    private DataSource dataSource;
    
    // MySQL方式实现记住我
    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        // mysql方式
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        // 需要给JdbcTokenRepositoryImpl注入一个数据源,实现CRUD
        tokenRepository.setDataSource(dataSource);
        return tokenRepository;
    }
    复制代码

     

     

    这样就可以了,然后运行postman进行测试。

    可以看到,由于是60秒失效,因此在第一次访问60秒后,再调用同样的接口时,名称为remember-me的cookie消失了。数据库的persistent_logins表中也多了一条用户访问记录。

    失效规律:

    1、过期时间的最小值是60秒,如果设置的值小于60秒,也会被更改为60秒;

    2、默认的失效时间会从用户最后一次操作开始计算过期时间。

     

    MySQL虽然方便,但是一般MySQL是用来保存主要业务数据的,这种技术性的数据最好不要和业务混在一起。所以,下一次就来说说怎么用NoSQL实现记住我。

     

     


     

     

    感谢您的大驾光临!咨询技术、产品、运营和管理相关问题,请关注后留言。欢迎骚扰,不胜荣幸~

     

  • 相关阅读:
    Scaling Up Your Kernels to 31x31: Revisiting Large Kernel Design in CNNs笔记
    【Azure】浅析 Azure 交互工具:Azure 门户、Azure Cloud Shell、 Azure CLI 和 Azure PowerShell | 文末送书
    Epoll 与 Select
    如何高效运用《霍格沃茨之遗》风灵月影修改器:全面教程与技巧
    【在线聊天】原来微信小程序也能回复Facebook主页消息!
    【docker】dockerfile构建镜像
    不专业面试官的经验总结
    云畅科技携手飞腾打造智慧园区信创低代码综合解决方案
    动手学Avalonia:基于SemanticKernel与硅基流动构建AI聊天与翻译工具
    电脑桌面文件不见了怎么恢复?
  • 原文地址:https://www.cnblogs.com/xiangwang1111/p/16923330.html