记录SSM项目集成Spring Security 4.X版本之加密验证和记住我功能

news2024/9/25 21:24:07

前言

一、用户登录密码加密认证

二、记住我功能

前言

本次笔记的记录是接SSM项目集成Spring Security 4.X版本之加入DWZ,J-UI框架实现登录和主页菜单显示-CSDN博客https://blog.csdn.net/u011529483/article/details/136255768?spm=1001.2014.3001.5502

文章之后补全spring-security登录时用户认证进行密码加密验证和实现记住我功能。

一、用户登录密码加密认证

1. 修改上一篇文章中的项目wqdemotwo的spring-security.xml配置文件

打开如下标红的两处配置：

什么意思呢？

<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></bean> 是在配置文件中声明一个bean，实现BCryptPasswordEncoder类。

<security:password-encoder ref="passwordEncoder"/> 是将声明的bean “passwordEncoder” 注入到 authentication-provider 中去。对应的 AuthenticationProvider 类是认证提供者。此处指定了myUserDetailsService 服务类（获取用户详情，如用户名，密码等）

2. 生成加密后的密码，实现登录认证

进入加密算法实现类：BCryptPasswordEncoder

进入接口：PasswordEncoder

encode()方法对明文密码进行加密。我们调用这个方法对数据库中的密码进行加密：

此处我随意找一个类生成加密密码：就 LoginController 类吧

运行项目生成加密密码：$2a$10$n/q4O15Lg9d1WvelfRu9i.qrgE5iVjTeD4.hXAqsLZaGRmTKoGxtK录入到数据库中。

完成，现在重新启动项目查看登录效果：用户：zhangsan，密码：123456

系统登录成功：

执行loadUserByUsername查询用户详情方法后，后台打印结果，密码加密了。

3. 补充说明

总结一下：整个登录认证过程中我们并没有做密码的对比校验，但是密码输入错误是无法登录认证成功的。这是因为密码比对交由 SpringSecurity 处理了，登录页面传入用户名通过详情查询方法loadUserByUsername 获取了UserDetails（得到了数据库中的用户名和密码）然后返回给了SpringSecurity 进行密码校验。

spring-security.xml 配置文件中注入了AuthenticationManager 身份验证管理器类，AuthenticationProvider认证提供者类，PasswordEncoder接口的实现类等。执行时会执行一系列相关类（源码就不研究了，有情怀的小伙伴可以试试）。最终完成用户登录认证。而 密码的校验是由BCryptPasswordEncoder类通过实现PasswordEncoder接口的matches方法来完成。

我们可以来验证一下。将数据库中用户zhangsan的密码改回明文123456。此时运行项目进行登录，结果是登录失败了：

后台打印数据库获取的密码是123456明文，小伙伴注意到下图最后一行的红字。

BCryptPasswordEncoder.matches Encoded password does not look like BCrypt：什么意思呢？就是BCryptPasswordEncode类的matches方法中报出了密码不属于自己（BCrypt）的编码格式，下图：

matches方法中如果通过了编码格式校验则进入checkpw(rawPassword.toString(), encodedPassword)方法，rawPassword登录页面传入的，encodedPassword数据库中存储的。所以密码的校验是由BCryptPasswordEncoder类通过实现PasswordEncoder接口的matches方法来完成。

二、记住我功能

1. 将上篇文章项目wqdemotwo的spring-security.xml配置文件，打开如下两处配置

说明：token-validity-seconds="300" 属性指定免登录访问资源的维持时间，超过这个时间没有任何资源请求，便需要重新登录。

及

注意：第一次运行项目时要将 配置打开，createTableOnStartup属性是当项目启动时，springSecurity创建表存储remember me相关信息，第二次启动时要注释这个属性。

说明：<property name="dataSource" ref="dataSource"/>指定数据库数据源，如oracle。ref="dataSource"注入的是applicationContext.xml配置文件中的数据源，如下图：

2. 修改登录页面

增加记住我复选框，如图：

到此记住我功能配置完成，打开spring-security.xml文件的createTableOnStartup属性运行项目，按预期设想应该在数据库生成表PERSISTENT_LOGINS：

-- Create table
create table PERSISTENT_LOGINS
(
  username  VARCHAR2(64) not null,
  series    VARCHAR2(64) not null,
  token     VARCHAR2(64) not null,
  last_used TIMESTAMP(6) not null
);
-- Create/Recreate primary, unique and foreign key constraints 
alter table PERSISTENT_LOGINS
  add primary key (SERIES)

登录页面选择 记住我登录成功后，关闭浏览器可以实现免登录再次访问资源。

选择 记住我 进行登录，成功登录了。此时我打开oracle数据库生成了PERSISTENT_LOGINS表

页面也成功访问到资源：

此时关闭浏览器，再次打开浏览器因该可以不用登录就可以直接访问主页面。但是我的想法是美好的，事实却是访问 http://localhost:8080/wqdemotwo_war/system/index 跳转到了登录页面，经过努力查找原因是：spring-security.xml文件的 <security:intercept-url pattern="/**" access="isFullyAuthenticated()"/> 配置导致，需要改成 <security:intercept-url pattern="/**" access="isAuthenticated()"/> 这个。

isAuthenticated()：Returns true if the user is not anonymous(如果用户不是匿名的，则返回true)

isFullyAuthenticated()： Returns true if the user is not an anonymous or a remember-me user(如果用户不是匿名用户或记住我的用户，则返回true)

修改后再次运行项目，便可以实现记住我功能，即：登录成功后关闭浏览器，再次打开浏览器访问资源可以免登录访问。（记住注释掉spring-security.xml文件的属性）

好了，今天的记录到此结束。