Spring Security如何实现自动登陆功能

Spring Security如何实现自动登陆功能

这篇文章主要介绍Spring Security如何实现自动登陆功能，文中介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们一定要看完！

当我们在登录像QQ邮箱这种大多数的网站，往往在登录按键上会有下次自动登录这个选项，勾选后登录成功，在一段时间内，即便退出浏览器或者服务器重启，再次访问不需要用户输入账号密码进行登录，这也解决了用户每次输入账号密码的麻烦。

接下来实现自动登陆。

applicatio.properties配置用户名密码

spring.security.user.name=javaspring.security.user.password=java

controller层实现

@RestControllerpublicclassHelloController{@GetMapping("/hello")publicStringhello(){return"hello";}}

配置类实现

@ConfigurationpublicclassSecurityConfigextendsWebSecurityConfigurerAdapter{@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{http.formLogin().and().authorizeRequests().anyRequest().authenticated().and().rememberMe().and().csrf().disable();}

访问http://localhost:8080/hello，此时系统会重定向到登录页面。

二话不说，输入账号密码，开搞！

此时看到了登录数据remember-me的值为on，当自定义登陆框的时候应该知道如何定义key了吧。

在hello接口，可以很清楚的看到cookie里保存了一个remember-me的令牌，这个就是自动登录的关键所在。

至于令牌是怎么生成的，先看一段源码。核心处理类TokenBasedRememberMeServices->onLoginSuccess

publicvoidonLoginSuccess(HttpServletRequestrequest,HttpServletResponseresponse,AuthenticationsuccessfulAuthentication){//拿到用户名和密码Stringusername=this.retrieveUserName(successfulAuthentication);Stringpassword=this.retrievePassword(successfulAuthentication);//用户名为空打印日志if(!StringUtils.hasLength(username)){this.logger.debug("Unabletoretrieveusername");}else{//密码为空通过用户名再去查询if(!StringUtils.hasLength(password)){UserDetailsuser=this.getUserDetailsService().loadUserByUsername(username);password=user.getPassword();//查到的密码还为空打印日志结束if(!StringUtils.hasLength(password)){this.logger.debug("Unabletoobtainpasswordforuser:"+username);return;}}//令牌有效期的生成1209600是两周也就是说令牌有效期14天inttokenLifetime=this.calculateLoginLifetime(request,successfulAuthentication);longexpiryTime=System.currentTimeMillis();expiryTime+=1000L*(long)(tokenLifetime<0?1209600:tokenLifetime);//生成签名signatureStringsignatureValue=this.makeTokenSignature(expiryTime,username,password);//设置cookiethis.setCookie(newString[]{username,Long.toString(expiryTime),signatureValue},tokenLifetime,request,response);if(this.logger.isDebugEnabled()){this.logger.debug("Addedremember-mecookieforuser'"+username+"',expiry:'"+newDate(expiryTime)+"'");}}}//使用MD5加密通过用户名、令牌有效期、密码和key生成rememberMe的令牌这里的key也就是加密的盐值protectedStringmakeTokenSignature(longtokenExpiryTime,Stringusername,Stringpassword){Stringdata=username+":"+tokenExpiryTime+":"+password+":"+this.getKey();try{MessageDigestdigest=MessageDigest.getInstance("MD5");returnnewString(Hex.encode(digest.digest(data.getBytes())));}catch(NoSuchAlgorithmExceptionvar7){thrownewIllegalStateException("NoMD5algorithmavailable!");}}

看完了核心的源码，也就知道了令牌的生成规则：username + “:” + tokenExpiryTime + “:” + password + “:” + key（key 是一个散列盐值，可以用来防治令牌被修改，通过MD5散列函数生成。），然后通过Base64编码。

取出刚才的remember-me=amF2YToxNjM3MTI2MDk1OTMxOmQ5OGI3OTY5OTE4ZmQwMzE3ZWUyY2U4Y2MzMjQxZGQ0进行下验证。

解码后是java:1637126095931:d98b7969918fd0317ee2ce8cc3241dd4，很明显java是username，1637126095931是两周后的tokenExpiryTime，d98b7969918fd0317ee2ce8cc3241dd4是password和key值的MD5加密生成的。

需要注意的是key值是通过UUID随机生成的，当重启服务器时，UUID的变化会导致自动登录失败，所以为了避免之前生成的令牌失效，可以在配置中定义key值。

@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{http.formLogin().and().authorizeRequests().anyRequest().authenticated().and().rememberMe().key("HelloWorld").and().csrf().disable();}

在Spring Security—登陆流程分析曾经说到 Spring Security中的认证授权都是通过过滤器来实现的。RememberMeAuthenticationFilter 是自动登录的核心过滤器。

publicclassRememberMeAuthenticationFilterextendsGenericFilterBeanimplementsApplicationEventPublisherAware{privatevoiddoFilter(HttpServletRequestrequest,HttpServletResponseresponse,FilterChainchain)throwsIOException,ServletException{//获取当前用户实例继续过滤校验if(SecurityContextHolder.getContext().getAuthentication()!=null){this.logger.debug(LogMessage.of(()->"SecurityContextHoldernotpopulatedwithremember-metoken,asitalreadycontained:'"+SecurityContextHolder.getContext().getAuthentication()+"'"));chain.doFilter(request,response);return;}//登录获取AuthAuthenticationrememberMeAuth=this.rememberMeServices.autoLogin(request,response);if(rememberMeAuth!=null){//AttemptauthenticatonviaAuthenticationManagertry{//进行remember-me校验rememberMeAuth=this.authenticationManager.authenticate(rememberMeAuth);//StoretoSecurityContextHolder//保存用户实例SecurityContextHolder.getContext().setAuthentication(rememberMeAuth);//成功页面跳转onSuccessfulAuthentication(request,response,rememberMeAuth);this.logger.debug(LogMessage.of(()->"SecurityContextHolderpopulatedwithremember-metoken:'"+SecurityContextHolder.getContext().getAuthentication()+"'"));if(this.eventPublisher!=null){this.eventPublisher.publishEvent(newInteractiveAuthenticationSuccessEvent(SecurityContextHolder.getContext().getAuthentication(),this.getClass()));}if(this.successHandler!=null){this.successHandler.onAuthenticationSuccess(request,response,rememberMeAuth);return;}}catch(AuthenticationExceptionex){this.logger.debug(LogMessage.format("SecurityContextHoldernotpopulatedwithremember-metoken,asAuthenticationManager"+"rejectedAuthenticationreturnedbyRememberMeServices:'%s';"+"invalidatingremember-metoken",rememberMeAuth),ex);this.rememberMeServices.loginFail(request,response);//失败页面跳转onUnsuccessfulAuthentication(request,response,ex);}}chain.doFilter(request,response);}}

@OverridepublicfinalAuthenticationautoLogin(HttpServletRequestrequest,HttpServletResponseresponse){//获取cookieStringrememberMeCookie=extractRememberMeCookie(request);if(rememberMeCookie==null){returnnull;}this.logger.debug("Remember-mecookiedetected");if(rememberMeCookie.length()==0){this.logger.debug("Cookiewasempty");cancelCookie(request,response);returnnull;}try{//解码cookie拿到令牌String[]cookieTokens=decodeCookie(rememberMeCookie);//通过令牌获取UserdDetailsUserDetailsuser=processAutoLoginCookie(cookieTokens,request,response);this.userDetailsChecker.check(user);this.logger.debug("Remember-mecookieaccepted");returncreateSuccessfulAuthentication(request,user);}catch(CookieTheftExceptionex){cancelCookie(request,response);throwex;}catch(UsernameNotFoundExceptionex){this.logger.debug("Remember-meloginwasvalidbutcorrespondingusernotfound.",ex);}catch(InvalidCookieExceptionex){this.logger.debug("Invalidremember-mecookie:"+ex.getMessage());}catch(AccountStatusExceptionex){this.logger.debug("InvalidUserDetails:"+ex.getMessage());}catch(RememberMeAuthenticationExceptionex){this.logger.debug(ex.getMessage());}cancelCookie(request,response);returnnull;}

大致整体流程就是如果拿不到实例，则进行remember-me验证，通过autoLogin方法里获取cookie，解析令牌，拿到Auth，最后进行校验。之后剩下的和登陆流程分析的差不多。

以上是“Spring Security如何实现自动登陆功能”这篇文章的所有内容，感谢各位的阅读！希望分享的内容对大家有帮助，更多相关知识，欢迎关注恰卡编程网行业资讯频道！