很多网站登陆的时候都会提供“记住我”或者“记住我&&周”的选项,spring security 3也提供了此功能,本人写了两个demo,一个是基于cookie来实现免登陆,一个是基于数据库的:
1 基于cookie的remember-me
spring security的配置如下:
<b:beans xmlns="http://www.springframework.org/schema/security" xmlns:b="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd"> <http auto-config="false" access-denied-page="/accessDenied.jsp"> <!-- 不要过滤图片等静态资源,其中**代表可以跨越目录,*不可以跨越目录。 <intercept-url pattern="/**/*.jpg" filters="none" /> <intercept-url pattern="/**/*.png" filters="none" /> <intercept-url pattern="/**/*.gif" filters="none" /> <intercept-url pattern="/**/*.css" filters="none" /> <intercept-url pattern="/**/*.js" filters="none" /> --> <!-- 登录页面和忘记密码页面不过滤 --> <intercept-url pattern="/login.jsp" filters="none" /> <intercept-url pattern="/jsp/forgotpassword.jsp" filters="none" /> <!-- ROLE_ENTER_ORDINARY_PAGE, --> <intercept-url pattern="/index.jsp" access="ROLE_ENTER_ORDINARY_PAGE, ROLE_ENTER_HIGH_LEVEL_PAGE" /> <!-- 检测失效的sessionId,超时时定位到另外一个URL, 防止固化session攻击 --> <session-management invalid-session-url="/timeout.jsp" session-fixation-protection="migrateSession"> <concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/> </session-management> <form-login login-page="/login.jsp" authentication-failure-url="/loginError.jsp" default-target-url="/index.jsp"/> <logout invalidate-session="true" logout-success-url="/login.jsp"/> <http-basic/> <!-- 使用cookie来记录登陆 --> <remember-me user-service-ref="userService" use-secure-cookie="true"/> <anonymous/> </http> <!-- 注意能够为authentication-manager 设置alias别名 --> <authentication-manager alias="authenticationManager"> <!-- <authentication-provider user-service-ref="userDetailsManager"> --> <authentication-provider user-service-ref="userService"> <password-encoder hash="md5"> <salt-source user-property="username"/> </password-encoder> <!-- <password-encoder ref="passwordEncoder"> --> <!-- 用户名做为盐值 --> <!--<salt-source user-property="username" /> </password-encoder>--> </authentication-provider> </authentication-manager> </b:beans>
2 基于数据库的rember-me
首先要建一张表记录登陆:
create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)
然后spring security的配置与第一种配置不一样的地方在<rember-me>
<remember-me user-service-ref="userService" data-source-ref="myDataSource"/>
此处的myDataSource要在spring的配置文件中配置:
<!-- 数据源 --> <bean id="myDataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close"> <property name="driverClassName" value="${JDBC.DRIVERNAME}"/> <property name="url" value="${JDBC.URL}"/> <property name="username" value="${JDBC.USERNAME}"/> <property name="password" value="${JDBC.PASSWORD}"/> </bean>
测试,jsp登陆代码如下:
<form action="/spring_security/j_spring_security_check" method="post"> Account:<Input name="j_username"/><br/> Password:<input name="j_password" type="password"/><br/> <input type='checkbox' name='_spring_security_remember_me'/>记住我<br/> <input value="submit" type="submit"/> <br/> </form>
验证是否记住用户的页面为index.jsp,页面代码为:
<body> <form action=""> <sec:authorize ifAllGranted="ROLE_ENTER_ORDINARY_PAGE" > <input type="button" value="普通用户点击 "/><br/> </sec:authorize> <sec:authorize ifAllGranted="ROLE_ENTER_HIGH_LEVEL_PAGE"> <input type="button" value="高级用户点击 "/><br/> </sec:authorize> 用户名称:<sec:authentication property="principal.username"></sec:authentication><br/> <a href="<%= request.getContextPath() %>/j_spring_security_logout"> <input type="button" value="退出"/> </a> </form> </body>
如果用户登陆就会显示登陆用户的名称,
使用第一种配置登陆后,可以在浏览器中查看cookie,
此时关掉浏览器,重新打开浏览器访问http://localhost:8080/spring_security/index.jsp,页面显示为:
使用第二种配置登陆后,数据库中的数据,
此时关掉浏览器,重新打开浏览器访问http://localhost:8080/spring_security/index.jsp
页面显示为:
相关推荐
5. **Remember Me**:Spring Security还提供了记住我(Remember-Me)服务,使用户在关闭浏览器后仍然可以在一段时间内保持登录状态。 6. **表达式式访问控制(Expression-Based Access Control, EBAC)**:通过使用...
在本项目"SpringSecurity3.0 Demo"中,我们将深入探讨SpringSecurity 3.0版本的功能和用法。 首先,SpringSecurity的核心功能包括用户认证(Authentication)和权限授权(Authorization)。在3.0版本中,它引入了更...
《Spring 3.0 + Spring Security 3.1.4 API 中文版》是一份集成了Spring框架3.0和Spring Security 3.1.4的中文帮助文档,旨在为开发者提供详尽的API参考和指导。这两个核心组件在企业级Java应用开发中扮演着至关重要...
在Spring Security 3.0版本中,这个框架进行了大量的改进和增强,以适应不断变化的安全需求。 Spring Security的核心概念包括: 1. **过滤器链**:这是Spring Security的主要执行机制,它通过一系列自定义的过滤器...
- **实现免登录验证 (Remember-Me 验证)**:允许用户在一定时间内无需重复登录。 - **提供一系列标签库进行页面元素的安全控制**:如`<sec:authorize>`、`<sec:authentication>`等标签,可以轻松控制页面元素的显示...
在这两个版本中,Spring Security 提供了Remember Me服务,允许用户在登录后的一段时间内无需再次输入凭证。这提高了用户体验,但同时也需要谨慎处理,防止安全漏洞。 4. **Filter Chain**: Spring Security ...
《Spring Security 3.0 GA 入门与深入解析》 Spring Security 是一款强大的安全框架,广泛应用于Java Web 应用程序的安全管理。在3.0 GA版本中,该框架进一步提升了性能,优化了API,并增加了许多新特性,使得安全...
《SpringSecurity_3.0》是一本面向Java Web开发初学者和中级程序员的教程,它深入浅出地介绍了Spring Security这一强大的安全框架。Spring Security是一个为Java应用提供身份验证和授权服务的开源项目,它旨在保护...
Spring Security 3.0.1 是在 Spring Security 3.0 的基础上进行的一次 bug 修复版本,主要针对先前版本中存在的问题进行了修正。此次版本未引入新的功能,但修正了一些已知的问题,增强了稳定性。 ##### 1.4 获取 ...
《spring-security3.0.rar》是一个包含Spring Security 3.0版本库的压缩文件,用户可以将其解压到项目的lib目录下,以便在项目中引用。3.0版本虽然较旧,但仍能提供基本的安全功能,如HTTP安全、基于角色的访问控制...
本文档所指的版本为 Spring Security 3.0.1,这是一个 bug fix 版本,主要针对 3.0 版本中存在的问题进行修复,确保开发者能够获取更稳定可靠的 Spring Security 库。 **1.4 获取 Spring Security** - **项目模块*...
springsecurity3.0.5简单例子 当用firefox访问时产生的临时cookie,在下次访问中还存在的话,获取的session还是原来的session(user验证信息不变),如果把那个临时cookie删除的话,则springsecuriyt生成新的session...
Spring Security 3.0.1 是基于 Spring Security 3.0 的一个 bug fix 版本,主要修复了 3.0 中已知的问题,并对文档中的一些拼写错误进行了修正。 ##### 1.4 如何获取 Spring Security - **项目模块**:Spring ...
1. **Remember Me服务增强**:提供了更多的选项来管理“记住我”功能,增强了安全性,如使用更安全的令牌存储方式。 2. **XML配置简化**:通过使用更简洁的命名空间和元素,使得Spring Security的XML配置更加清晰易...
《Spring Security 3.x 官方文档》是Java开发者学习Spring Security框架的重要参考资料,它以中文版的形式提供了全面且深入的指南。这份文档主要涵盖了Spring Security的核心概念、配置和使用方法,旨在帮助开发者...