今天改了下Ss3ex中Spring Security2的COOKIE的保存时间设置,取消了原来的两周默认值,改为用户自定义期限,粘贴相关代码如下:
<http auto-config="true" access-denied-page="/common/403.htm">
<intercept-url pattern="/login.**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<form-login login-page="/login.jsp" default-target-url="/demo/success.action" authentication-failure-url="/login.jsp?error=1" />
<logout logout-success-url="/login.jsp" invalidate-session="true"/>
<remember-me key="e37f4b31-0c45-11dd-bd0b-0800200c9a66" services-ref="rememberMeServices"/>
<concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false" expired-url="/login.jsp?error=3"/>
</http>
<!-- cookie认证过滤器 -->
<beans:bean id="rememberMeProcessingFilter"
class="org.springframework.security.ui.rememberme.RememberMeProcessingFilter">
<beans:property name="authenticationManager"
ref="authenticationManager">
</beans:property>
<beans:property name="rememberMeServices"
ref="rememberMeServices">
</beans:property>
</beans:bean>
<beans:bean id="rememberMeServices"
class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices">
<beans:property name="userDetailsService" ref="userDetailsService"></beans:property>
<!-- cookie中的键值, 防止保存到客户端的cookie中的加密串被恶意篡改 -->
<beans:property name="key" value="e37f4b31-0c45-11dd-bd0b-0800200c9a66"></beans:property>
<!-- cookie有效时间, 单位为秒, 这里设定为5天内不用再登陆 -->
<beans:property name="tokenValiditySeconds" value="432000"></beans:property>
</beans:bean>
也许还有更好的实现,下面附上源代码,SVN中已经更新了。
分享到:
相关推荐
Spring Security 是一个强大的安全框架,用于Java和Spring应用程序。它为Web应用提供了全面的安全解决...在实际开发中,结合文件"springsecurity"中的示例代码,可以更好地理解和实践Spring Security的Cookie认证功能。
这三份资料——"实战Spring Security 3.x.pdf"、"Spring Security 3.pdf" 和 "Spring Security使用手册.pdf" 将深入探讨这些概念,并提供实践指导,帮助读者掌握如何在实际项目中应用Spring Security。通过学习这些...
Spring Security支持基于表单的身份验证,也支持OAuth2和其他现代认证协议。 免登录功能,即Remember-Me服务,允许用户在一段时间内无须反复登录。这通过RememberMeServices接口实现,通常使用Token-Based策略,将...
在 `HelloSpringSecurity` 文件中,你可能看到以下关键代码: - **WebSecurityConfigurerAdapter** 类:这是 Spring Security 提供的配置适配器,可以覆盖其方法来定制安全规则。 - `configure(HttpSecurity http)...
在学习Spring Security 2.0.4的过程中,你可以通过实例教材中的例子来实践以下操作: - 创建简单的认证和授权流程 - 配置基于角色的访问控制 - 实现记住我(Remember Me)功能 - 处理安全异常 - 自定义认证提供者和...
通过这个"SpringSecurity+MVC入门Demo",初学者可以了解如何在Spring MVC应用中集成Spring Security,实现用户认证和授权的基本流程,为后续深入学习和实践打下基础。这个Demo应该包含了配置文件、控制器、视图和...
Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用中。在Spring Security 3.1版本中,它提供了一套全面的安全解决方案,涵盖了从用户认证到权限控制等多个层面。本文将...
2. 配置Spring Security的XML或Java配置,包括安全拦截规则、LDAP设置和Remember-me配置。 3. 编写自定义的`LdapAuthoritiesPopulator`,以处理角色映射。 4. 测试认证和授权流程,确保用户能正确登录,并在下次访问...
Spring Security 在 logout 过程中默认执行了以下动作: 1. 当前 session 失效,即:logout 的核心需求,session 失效就是访问权限的回收。 2. 删除当前用户的 remember-me “记住我”功能信息。 3. 清除当前的 ...
1. 用户认证与授权:在SpringSecurity中,认证过程是识别用户身份,而授权则是确定用户是否有执行特定操作的权限。SpringSecurity提供了多种认证方式,如基于内存的用户细节服务、数据库连接的用户细节服务等。授权...
这个压缩包文件"springsecurity"很可能包含了一个Spring Security的示例项目,让我们来深入探讨一下Spring Security的相关知识点。 1. **Spring Security架构**: Spring Security的核心组件包括过滤器链、安全性...
在提供的压缩包文件"springsecurity_database"中,可能包含了示例代码、配置文件和其他相关资源,可以帮助你理解和实现上述功能。在实际项目中,你需要根据自己的需求调整和扩展这些示例,以构建一个符合业务场景的...
2. **授权(Authorization)**:Spring Security的访问控制允许开发人员精细地定义哪些用户或角色可以访问特定的资源。它支持基于URL的访问控制、方法级安全以及表达式语言(如SpEL)进行复杂的访问决策。 3. **...
SpringSecurity是Spring生态体系中的一个核心组件,专为Java应用设计的安全框架,它提供了一整套强大且灵活的机制来处理应用程序的安全需求。这个框架主要用于实现用户认证(Authentication)和授权(Authorization...
在"SpringSecurity素材.zip"中,可能包含的资料有:教程文档、示例代码、配置示例、问题解决方案、最佳实践指导等,这些都是学习和掌握SpringSecurity的重要资源。通过深入学习和实践,你可以构建起一套强大而灵活的...
通过这个入门教程,你可以学习到如何在 Spring 应用程序中设置和配置 Spring Security,确保你的应用具备安全的用户认证和访问控制机制。无论是初学者还是有经验的开发者,都能从中获益,提升对 Spring Security 的...
2. **配置Spring Security** - **WebSecurityConfigurerAdapter**:Spring Security的配置类,通过继承该类并覆盖其方法来定制安全规则。 - **httpSecurity() 方法**:配置HTTP安全,包括访问控制、登录页面、注销...
Spring Security是Java领域中一个强大的安全框架,用于处理应用程序的安全性。在“Spring Security 3多用户登录实现之九 基于持久化存储的自动登录”这一主题中,我们将探讨如何利用Spring Security来实现多用户登录...