Spring Security功能實現及源碼分析
環境:Spring Boot 2.2.11.RELEASE
請先閱讀《Spring Boot Security防重登錄及在線總數 》,《Springboot Security 基礎應用 (1) 》
相關配置
- Security配置
- @Resource
- private DataSource dataSource ;
- // 這里配置持久化登錄token
- @Bean
- public PersistentTokenRepository persistentTokenRepository() {
- JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
- tokenRepository.setDataSource(dataSource) ;
- return tokenRepository;
- }
- SQL腳本
進入JdbcTokenRepositoryImpl中將其中的CREATE_TABLE_SQL語句復制出來執行下。
- HttpSecurity配置
- http.rememberMe()
- .tokenRepository(persistentTokenRepository())
- .userDetailsService(userDetailsService()) // 記住我功能有效期內,用來查詢用戶詳細信息的UserDetailsService
- .tokenValiditySeconds(1800) ; // token有效期
登錄頁面
- <div class="c-row" style="height: auto;">
- <input type="checkbox" class="checkbox-control" id="remember-me" name="remember-me"/><label for="remember-me">記住我</label>
- </div>
注意這里的checkbox的name屬性值必須是“remember-me”。
這樣就可以實現記住我功能了。只要在token有效期內,每次打開頁面都不需要重新登錄了。
- 測試
登錄后,關閉瀏覽器重寫再打開頁面不需要重新登錄,同時查看數據表如下:
源碼分析
我們從第一次登錄開始
1.1 首先進入的
UsernamePasswordAuthenticationFilter過濾器,進入父類(AbstractAuthenticationProcessingFilter)的doFilter方法中。
直接進入登錄成功的方法
1.2 執行successfulAuthentication方法
- successfulAuthentication(request, response, chain, authResult);
1.3 進入loginSuccess方法
進入
AbstractRememberMeServices類中的loginSuccess方法
1.4 執行子類
PersistentTokenBasedRememberMeServices中的onLoginSuccess方法。
這里的tokenRepository就是我們上面配置的
接著我們看再次打開瀏覽器后是如何實現免登錄的。
1.1 首先執行
RememberMeAuthenticationFilter的doFilter方法
這個過濾器是只有你開啟了記住我功能才會生效的。
從當前Security上下文中獲取對象,獲取不到通過remeberMeService自動登錄
1.2 執行
AbstractRememberMeServices中的autoLogin方法
執行extractRememberMeCookie方法獲取cookie中的remember-me信息
1.3 執行processAutoLoginCookie方法
這里解析出來的信息已經和數據庫中對應上了。這樣就可以拿到username了。
1.4 接下來執行一些判斷token是否過期和更新token有效期
驗證是否過期
更新token有效期
1.5 根據查詢出來的username查詢用戶信息
- return getUserDetailsService().loadUserByUsername(token.getUsername());
1.6 最后將用戶信息存儲到Security的上下文中
完畢!!!
