分类：Security

2020
10-08

Spring Security学习之rememberMe自动登录的实现

前言自动登录是将用户的登录信息保存在用户浏览器的cookie中，当用户下次访问时，自动实现校验并建立登录态的一种机制。SpringSecurity提供了两种非常好的令牌：散列算法加密用户必要的登录信息并生成令牌数据库等持久性数据存储机制用的持久化令牌散列加密方案在SpringSecurity中加入自动登录的功能非常简单：@Overrideprotectedvoidconfigure(HttpSecurityhttp)throwsException{http.authorizeRequests().antMa... 继续阅读 >

2020
10-08

Spring security认证两类用户代码实例

向容器中添加一个自定义的认证类实现UserDetailsService在这个类里面就可以进行用户类型的判断，包括三类用户（管理员使用内存认证，老师和学生都使用数据库认证）然后在然后在configure里面设置认证的类和密码的加密方式以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持自学编程网。... 继续阅读 >

2020
10-08

如何基于spring security实现在线用户统计

1.修改web.xml，需要在web.xml描述文件中配置中使得o.s.s.web.session.HttpSessionEventPublisher生效，这样servelt容器将会通知SpringSecuritysession生命周期的事件（通过HttpSessionEventPublisher）<listener><listener-class>org.springframework.web.context.ContextLoaderListener</listener-class></listener><listener><listener-class>org.springframework.security.web.session.HttpSessionEven... 继续阅读 >

2020
09-29

Spring Security 实现短信验证码登录功能

之前文章都是基于用户名密码登录，第六章图形验证码登录其实还是用户名密码登录，只不过多了一层图形验证码校验而已；SpringSecurity默认提供的认证流程就是用户名密码登录，整个流程都已经固定了，虽然提供了一些接口扩展，但是有些时候我们就需要有自己特殊的身份认证逻辑，比如用短信验证码登录，它和用户名密码登录的逻辑是不一样的，这时候就需要重新写一套身份认证逻辑。开发短信验证码接口获取验证码短信验证码的发送获取... 继续阅读 >

2020
09-28

Spring Security 自动踢掉前一个登录用户的实现代码

登录成功后，自动踢掉前一个登录用户，松哥第一次见到这个功能，就是在扣扣里边见到的，当时觉得挺好玩的。自己做开发后，也遇到过一模一样的需求，正好最近的SpringSecurity系列正在连载，就结合SpringSecurity来和大家聊一聊这个功能如何实现。本文是本系列的第十三篇，阅读前面文章有助于更好的理解本文：挖一个大坑，SpringSecurity开搞！松哥手把手带你入门SpringSecurity，别再问密码怎么解密了手把手教你定... 继续阅读 >

2020
09-28

Spring Security OAuth2 实现登录互踢的示例代码

本文主要介绍了SpringSecurityOAuth2实现登录互踢的示例代码，分享给大家，具体如下：背景说明一个账号只能一处登录，类似的业务需求在现有后管类系统是非常常见的。但在原有的springsecurityoauth2令牌方法流程（所谓的登录）无法满足类似的需求。我们先来看TokenEndpoint的方法流程客户端带参访问/oauth/token接口，最后去调用TokenGranterTokenGranter根据不同的授权类型，获取用户认证信息并去调用TokenServic... 继续阅读 >

2020
09-28

Spring Security如何在Servlet中执行

SpringSecurity是一个强大的认证和授权框架，它的使用方式也非常简单，但是要想真正理解它就需要花一时间来学习了，最近在学习SpringSecurity时有一些新的理解，特意记录下来防止知识忘记的太快，毕竟好记性不如烂笔关，也给即将准备学习SpringSecurity的同志做一个参考。由于我在学习和使用是基于ServletApplications的，所以文中的大部分都与Servlet相关，当然SpringSecurity还支持ReactiveApplications功能... 继续阅读 >

2020
09-27

Spring security密码加密实现代码实例

xml配置如下<dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-core</artifactId><version>3.2.3.RELEASE</version></dependency>BCryptPasswordEncoder相关知识：用户表的密码通常使用MD5等不可逆算法加密后存储，为防止彩虹表破解更会先使用一个特定的字符串（如域名）加密，然后再使用一个随机的salt（盐值）加密。特定字符串是程序代码中固定的，salt是每个密码单独随机，一般给... 继续阅读 >

2020
09-25

Spring security登录过程逻辑详解

1.新建项目引入web和security包完整的pom.xml文件如下<?xmlversion="1.0"encoding="UTF-8"?><projectxmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0https://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><parent><groupId>org.springframework.boot</groupId>... 继续阅读 >

2020
09-24

Spring Security如何基于Authentication获取用户信息

SpringSecurity使用一个Authentication对象来描述当前用户的相关信息。SecurityContextHolder中持有的是当前用户的SecurityContext，而SecurityContext持有的是代表当前用户相关信息的Authentication的引用。这个Authentication对象不需要我们自己去创建，在与系统交互的过程中，SpringSecurity会自动为我们创建相应的Authentication对象，然后赋值给当前的SecurityContext。但是往往我们需要在程序中获取当前用户的相关信息，比... 继续阅读 >

2020
09-24

Spring security自定义用户认证流程详解

1.自定义登录页面（1）首先在static目录下面创建login.html注意：springboot项目默认可以访问resources/resources,resources/staic,resources/public目录下面的静态文件<!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8"><title>登录页面</title></head><body><formaction="/auth/login"method="post">用户名:<inputtype="text"name="username"><br/>密&emsp;码:<inputtype="password"name="passwor... 继续阅读 >

2020
09-24

Spring security基于数据库中账户密码认证

一、原理分析前台的登录请求发送到后端后会由springsecurity进行拦截，即controller层由框架自己提供。这样用户名和密码的认证就需要在service层完成,所以框架需要在service层获取到我们自己的数据库账号信息。springsecurity提供了一个接口UserDetailsService来让用户提供账号和密码,其内容如下publicinterfaceUserDetailsService{UserDetailsloadUserByUsername(Stringusername)throwsUsernameNotFoundException;}... 继续阅读 >

2020
09-24

Spring security实现记住我下次自动登录功能过程详解

一、原理分析第一次登陆时，如果用户勾选了readme选项,登陆成功后springsecurity会生成一个cookie返回给浏览器端，浏览器下次访问时如果携带了这个cookie,springsecurity就会放行这次访问。二、实现方式2.1简单实现方式(1)在springsecurity的配置文件中,http节点下增加一个remember-me配置<security:httpauto-config="true"use-expressions="false"><!--配置链接地址，表示任意路径都需要ROLE_USER权限,这里可以配置... 继续阅读 >

2020
09-24

Spring security如何实现记录用户登录时间功能

一、原理分析springsecurity提供了一个接口AuthenticationSuccessHandler,该接口中只有一个方法，用来进行登录成功后的操作publicinterfaceAuthenticationSuccessHandler{/***Calledwhenauserhasbeensuccessfullyauthenticated.**@paramrequesttherequestwhichcausedthesuccessfulauthentication*@paramresponsetheresponse*@paramauthenticationthe<tt>Authentication</tt>objec... 继续阅读 >

2020
09-24

Spring security实现对账户进行加密

一、原理分析1.1加密原理首先前端页面发送注册的账户信息到controller层,然后依次经过service层和dao层，最后入库。其中对密码的加密应该放在service层进行，加密后再入库。springsecurity中有一个加密类BCryptPasswordEncoder可以用来对密码进行加密,调用其中的encode方法返回一个加密后的字符串publicStringencode(CharSequencerawPassword){Stringsalt;if(strength>0){if(random!=null){sa... 继续阅读 >

2020
09-24

Spring security BCryptPasswordEncoder密码验证原理详解

一、加密算法和hash算法的区别加密算法是一种可逆的算法，基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码为“密文”，但在用相应的密钥进行操作之后就可以得到原来的内容。哈希算法是一种不可逆的算法，是把任意长度的输入通过散列算法变换成固定长度的输出,输出就是散列值，不同的输入可能会散列成相同的输出，所以不可能从散列值来确定唯一的输入值。二、源码解析BCryptPasswordEncoder类... 继续阅读 >