如何在 Spring Security 中使用自定义配置的 RememberMeAuthenticationFilter？

2024-05-24

我想在 spring security (3.1.0) 中使用稍微定制的 Rememberme 功能。

我这样声明 Rememberme 标签：

<security:remember-me key="JNJRMBM" user-service-ref="gymUserDetailService" />

因为我有自己的 Rememberme 服务，所以我需要将其注入到 RememberMeAuthenticationFilter 中，我定义如下：

<bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
    <property name="rememberMeServices" ref="gymRememberMeService"/>
    <property name="authenticationManager" ref="authenticationManager" />
</bean>

我在 web.xml 中以标准方式集成了 spring security：

<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

一切工作正常，除了 RememberMeAuthenticationFilter 使用标准 RememberMeService，所以我认为我定义的 RememberMeAuthenticationFilter 没有被使用。

我如何确保我的过滤器定义正在被使用？我需要创建自定义过滤器链吗？如果是这样，我如何查看当前的“隐式”过滤器链并确保使用除 RememberMeAuthenticationFilter 之外的相同过滤器链而不是默认过滤器链？

感谢您的任何建议和/或指示！

这里是完整的 spring-security.xml：

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-3.1.xsd">

<security:http pattern="/_ui/**" security="none" />
<!-- Default security config -->
<security:http disable-url-rewriting="true">
    <security:anonymous username="anonymous" granted-authority="ROLE_ANONYMOUS" />

    <!-- session stealing is prevented by using secure GUID cookie -->
    <security:session-management session-fixation-protection="none" />

    <!-- SSL / AUTHENTICATED pages -->
    <security:intercept-url pattern="/my-account*" access="ROLE_CUSTOMERGROUP" requires-channel="https" />
    <security:intercept-url pattern="/my-account/**" access="ROLE_CUSTOMERGROUP" requires-channel="https" />

    <!-- SSL / ANONYMOUS pages Login pages need to be SSL, but occur before authentication -->
    <security:intercept-url pattern="/login" requires-channel="https"  />
    <security:intercept-url pattern="/login/**" requires-channel="https" />
    <security:intercept-url pattern="/register" requires-channel="https" />
    <security:intercept-url pattern="/register/**" requires-channel="https" />
    <security:intercept-url pattern="/j_spring_security_check" requires-channel="https" />
    <security:intercept-url pattern="/logout" requires-channel="https" />

    <!-- MiniCart and CartPopup can occur on either secure or insecure pages -->
    <security:intercept-url pattern="/cart/rollover/*" requires-channel="any" />
    <security:intercept-url pattern="/cart/miniCart/*" requires-channel="any" />
    <security:intercept-url pattern="/cart/show" requires-channel="any" />
    <security:intercept-url pattern="/cart/lightboxmybag" requires-channel="any" />
    <security:intercept-url pattern="/cart/remove/*" requires-channel="any" />
    <security:intercept-url pattern="/cart/update/*" requires-channel="any" />
    <security:intercept-url pattern="/cart/getProductSizes/**" requires-channel="any" />
    <security:intercept-url pattern="/cart/getShippingMethods" requires-channel="any" />
    <security:intercept-url pattern="/cart/setShippingMethod" requires-channel="any" />     
    <security:intercept-url pattern="/cart/applyVoucherDiscount" requires-channel="any" />
    <security:intercept-url pattern="/cart/removeVoucherDiscount" requires-channel="any" />

    <security:intercept-url pattern="/checkout/**" requires-channel="https" />

    <!-- product suggest  -->
    <security:intercept-url pattern="/suggest*" requires-channel="any" />

    <!-- cybersource response  -->
    <security:intercept-url pattern="/cybersource/response" requires-channel="any" />
    <security:intercept-url pattern="/cybersource/csResponse" requires-channel="http" />

    <!--  regions -->
    <security:intercept-url pattern="/regions*" requires-channel="any" />
    <security:intercept-url pattern="/regions/*" requires-channel="any" />

    <!-- popup links -->
    <security:intercept-url pattern="/popupLink/*" requires-channel="any" />

    <!--  addresses -->
    <security:intercept-url pattern="/my-addresses*" requires-channel="any" />
    <security:intercept-url pattern="/my-addresses/**" requires-channel="any" />

    <security:intercept-url pattern="/search/autocompleteSecure/**" requires-channel="https" />

    <!-- OPEN / ANONYMOUS pages Run all other (public) pages openly. Note that while credentials are secure, the session id can be sniffed.
        If this is a security concern, then this line should be re-considered -->
    <security:intercept-url pattern="/**" requires-channel="any" method="POST" /> <!-- Allow posts on either secure or insecure -->
    <security:intercept-url pattern="/**" requires-channel="http" /> <!-- Everything else should be insecure -->

    <security:form-login
            login-page="/login"
            authentication-failure-handler-ref="loginAuthenticationFailureHandler" 
            authentication-success-handler-ref="loginGuidAuthenticationSuccessHandler"  />

    <security:logout logout-url="/logout" success-handler-ref="logoutSuccessHandler" />

    <security:port-mappings>
        <security:port-mapping http="#{configurationService.configuration.getProperty('tomcat.http.port')}"
            https="#{configurationService.configuration.getProperty('tomcat.ssl.port')}" />
        <security:port-mapping http="80" https="443" />
        <!--security:port-mapping http="#{configurationService.configuration.getProperty('proxy.http.port')}"
            https="#{configurationService.configuration.getProperty('proxy.ssl.port')}" /-->
    </security:port-mappings>

    <security:request-cache ref="httpSessionRequestCache" />

    <security:remember-me key="JNJRMBM" user-service-ref="gymUserDetailService" />
</security:http>

<security:authentication-manager alias="authenticationManager">
    <security:authentication-provider ref="acceleratorAuthenticationProvider" />
</security:authentication-manager>

<bean id="acceleratorAuthenticationProvider" class="org.jnj.storefront.security.AcceleratorAuthenticationProvider"
    scope="tenant">
    <property name="userDetailsService" ref="gymUserDetailService" />
    <property name="adminGroup" value="ROLE_ADMINGROUP"/>
    <property name="userService" ref="userService"/>
    <property name="gymCustomerLoginService" ref="defaultGymCustomerLoginService"/>
</bean>

<bean id="gymUserDetailService" class="org.jnj.storefront.security.services.impl.GymCoreUserDetailsService" scope="tenant">
    <property name="baseDao" ref="asyBaseDao" />
</bean>

<bean id="coreUserDetailsService" class="de.hybris.platform.spring.security.CoreUserDetailsService" scope="tenant" />

<bean id="guidCookieStrategy" class="org.jnj.storefront.security.impl.DefaultGUIDCookieStrategy"
    scope="tenant">
    <property name="cookieGenerator" ref="guidCookieGenerator" />       
</bean>

<alias name="defaultGuidCookieGenerator" alias="guidCookieGenerator"/>
<bean id="defaultGuidCookieGenerator" class="org.jnj.storefront.security.cookie.EnhancedCookieGenerator" scope="tenant">
    <property name="cookieSecure" value="true" />
    <property name="cookieName" value="acceleratorSecureGUID" />        
    <property name="httpOnly" value="false"/>
    <!-- if context allows a httpOnly adjust to true  -->
</bean>

<bean id="autoLoginStrategy" class="org.jnj.storefront.security.impl.DefaultAutoLoginStrategy" scope="tenant">
</bean>

<bean id="httpSessionRequestCache" class="org.jnj.storefront.security.impl.WebHttpSessionRequestCache"
    scope="tenant" />

<bean id="loginUserType" class="org.jnj.storefront.security.impl.LoginUserTypeBean" scope="tenant" />

<bean id="redirectStrategy" class="org.springframework.security.web.DefaultRedirectStrategy" scope="tenant" />

<!-- Login Success Handlers -->

<bean id="loginGuidAuthenticationSuccessHandler" class="org.jnj.storefront.security.GUIDAuthenticationSuccessHandler" scope="tenant">
    <property name="authenticationSuccessHandler" ref="loginAuthenticationSuccessHandler" />
    <property name="guidCookieStrategy" ref="guidCookieStrategy" />
</bean>

<bean id="loginAuthenticationSuccessHandler" class="org.jnj.storefront.security.StorefrontAuthenticationSuccessHandler" scope="tenant">
    <property name="customerFacade" ref="customerFacade" />
    <property name="defaultTargetUrl" value="/my-account"/>
    <property name="useReferer" value="true"/>
    <property name="alwaysUseDefaultTargetUrl" value="false"/>
    <property name="requestCache" ref="httpSessionRequestCache" />
</bean>

<bean id="loginCheckoutGuidAuthenticationSuccessHandler" class="org.jnj.storefront.security.GUIDAuthenticationSuccessHandler" scope="tenant">
    <property name="authenticationSuccessHandler" ref="loginCheckoutAuthenticationSuccessHandler" />
    <property name="guidCookieStrategy" ref="guidCookieStrategy" />
    <property name="defaultGymCartFacade" ref="gymCartFacade"/>
</bean>

<bean id="loginCheckoutAuthenticationSuccessHandler" class="org.jnj.storefront.security.StorefrontAuthenticationSuccessHandler" scope="tenant">
    <property name="customerFacade" ref="customerFacade" />
    <property name="defaultTargetUrl" value="/checkout/single/summary"/>
</bean>

<!-- Login Failure Handlers -->

<bean id="loginAuthenticationFailureHandler" class="org.jnj.storefront.security.LoginAuthenticationFailureHandler">
    <property name="defaultFailureUrl" value="/login?error=auth"/>
    <property name="accountBlockedUrl" value="/login?error=blocked"/>
    <property name="passwordMigrationUrl" value="/login?error=migration"/>
</bean>

<bean id="loginCheckoutAuthenticationFailureHandler" class="org.jnj.storefront.security.LoginAuthenticationFailureHandler">
    <property name="defaultFailureUrl" value="/login/checkout?error=auth"/>     
    <property name="accountBlockedUrl" value="/login/checkout?error=blocked"/>
    <property name="passwordMigrationUrl" value="/login/checkout?error=migration"/>     
</bean>


<!-- Logout Success Handler -->

<bean id="logoutSuccessHandler" class="org.jnj.storefront.security.StorefrontLogoutSuccessHandler" scope="tenant">
    <property name="defaultTargetUrl" value="/?logout=true"/>
    <property name="guidCookieStrategy" ref="guidCookieStrategy"/>
    <property name="cmsSiteService" ref="cmsSiteService"/>
</bean>

<bean id="gymRememberMeService" class="org.jnj.storefront.security.cookie.DefaultRememberMeService" scope="tenant">
    <property name="tokenService" ref="secureTokenService" />
    <property name="rememberMeCookieGenerator" ref="defaultRememberMeCookieGenerator" />
</bean>

<bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
    <property name="rememberMeServices" ref="gymRememberMeService"/>
    <property name="authenticationManager" ref="authenticationManager" />
</bean>

你有没有尝试看看这里（Spring 文档） http://static.springsource.org/spring-security/site/docs/3.1.x/reference/springsecurity-single.html#remember-me？他们说：

“不要忘记将 RememberMeServices 实现添加到您的 UsernamePasswordAuthenticationFilter.setRememberMeServices() 属性，将 RememberMeAuthenticationProvider 包含在您的 AuthenticationManager.setProviders() 列表，并添加 RememberMeAuthenticationFilter 到您的 FilterChainProxy 中（通常紧接在您的 UsernamePasswordAuthenticationFilter 之后）。”

在您的例子中，RememberMeServices 是gymRememberMeService；您有 RememberMeAuthenticationProvider 吗？

HTH

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

如何在 Spring Security 中使用自定义配置的 RememberMeAuthenticationFilter？的相关文章

Spring Security 的 AJAX 请求给出 403 Forbidden

我有一个基于spring boot spring security thymeleaf的网站在某些情况下我也使用ajax 问题我在 Spring Security 中使用表单登录安全性在浏览器中登录后我可以使用rest API GE
Spring Boot Oauth2 资源服务器 UserDetailsService

尝试让 UserDetailsS ervice 为我设置的 oauth2 资源服务器工作我能够成功验证 jwt 但我似乎没有做任何事情来让它调用 loadUserByUsername 方法最初使用 SAML 并且它可以工作但现在我已经
如何在 Spring Security 中使用自定义配置的 RememberMeAuthenticationFilter？

我想在 spring security 3 1 0 中使用稍微定制的 Rememberme 功能我这样声明 Rememberme 标签
在 Spring 和 Angular JS 之间处理 CORS 的最佳实践？

我们正在使用 Java Spring 来构建 REST API 我们使用 angularjs 作为前端其余 api 位于一个域中而 angularjs 位于另一域中最初当我尝试从 Angular 向其余 api 发出 POST 请求
springSecurityService.principal 在 tomcat 8.5 中部署为 WAR 时返回 Null

Preamble 我正在为 Grails 微服务联盟设计一个 API 网关这个问题似乎与此中已提交的一系列问题有关存储库 https github com grails plugins grails spring security cor
Spring Security：推迟使用 HTTP 基本身份验证之前的 IP 地址白名单

我有一个可通过 servlet 访问的 URL 我已使用 Spring Security 的 DaoAuthenticationProvider 锁定该 URL 我现在要求某些传入 IP 地址必须列入白名单因此不需要进行身份验证如果 I
Spring Security：将 OAuth2 声明与角色映射以保护资源服务器端点

我正在使用 Spring Boot 设置资源服务器并使用 Spring Security 提供的 OAuth2 来保护端点所以我使用 Spring Boot2 1 8 RELEASE例如使用 Spring Security5 1 6 R
Spring-Security + Angular 2 + CORS。无法重定向 Facebook 登录

我正在构建一个在前端使用 Angular 2 在后端使用 Spring Boot 的应用程序我正在使用 Spring Security 和 Spring Social 来允许通过 Facebook 登录我以为我已正确配置 CORS 但收
避免 @Secured 注释的重复值

我正在尝试使用以下方法来保护我的服务方法 Secured如下 public interface IUserService Secured ROLE ROLE1 ROLE ROLE2 ResponseEntity saveUser Creat
Jetty addFilter 使用 Spring Security 并且没有 web.xml

通常我会添加org springframework web filter DelegatingFilterProxy在 web xml 中添加这样的代码片段
本地 401 工作，临时服务器得到 302

我可能不会获得帮助第一次尝试所需的所有信息但我会尽我所能并在我们进行过程中对其进行编辑我有一个使用 Spring Security Core 插件的 Grails 1 3 7 应用程序我正在编写处理会话超时和 ajax 请求的代码
绕过 URL 的 Spring Security 过滤器

我修改了我的applicationContext security preauth xml目的是从特定 URL 中删除过滤器我在使用 spring security oauth 过滤器时遇到问题因此我想暂时避免使用此过滤器来处理特定请求
Spring boot 2 启用非安全 /health 端点

我有一个带有客户端和服务器身份验证的 Spring Boot 2 项目并且我试图仅公开 actuator health端点因此不需要任何身份验证我的初始WebSecurityConfigurerAdapter was EnableWe
浏览器刷新不起作用，spring boot + React

当我们点击浏览器刷新时它会返回403 我正在尝试使用 WebMvcConfigurer addViewControllers 进行修复我们正在使用 React 并更改 url 例如在浏览器中 http localhost 8080 a
如何在 Spring Security 中创建自定义身份验证过滤器？

我正在尝试创建一个自定义 Spring Security 身份验证过滤器以实现自定义身份验证方案我花了几个小时阅读 Spring Security 但我找到的所有指南都解释了如何配置基本设置我正在尝试编写自定义设置但无法找到有关如何执
Grails Spring Security Core 插件 - 将 flash 消息添加到登录页面

我正在使用 Grails Spring Security Core Plugin 使用以下注释来保护特定操作 Secured IS AUTHENTICATED REMEMBERED 如果用户未登录这会导致操作重定向到我的登录页面登录后
Spring Security SAXParseException

我正在 Spring 中开发 HelloWorld 应用程序它工作正常当我添加弹簧安全性时问题就出现了我正在通过 Spring Security 3 这本书来指导自己部署时删除它 abr 26 2014 2 41 35 PM or
Spring OAuth 和引导集成测试

针对 OAuth 资源服务器配置的 Web 应用程序运行 Spring Boot 集成测试的最佳方法是什么我可以想到两种理论方法模拟资源服务器中的安全上下文而不实际调用授权服务器将授权服务器嵌入作为测试的一部分并将身份验证重定向到
Spring security 3.1.4 和 ShaPasswordEncoder 弃用

今天我将我正在开发的应用程序的 spring security 版本从 3 1 3 升级到 3 1 4 并且我注意到了一个弃用警告org springframework security authentication encoding S
将 Azure AD 高级自定义角色与 Spring Security 结合使用以进行基于角色的访问

我创建了一个演示 Spring Boot 应用程序我想在其中使用 AD 身份验证和授权并使用 AD 和 Spring Security 查看 Azure 文档我执行了以下操作 package com myapp contactdb c

随机推荐

%*.*d 在 printf() 中如何工作？

include
更改服务的启动类型 (Windows)

我正在寻找更改 Windows 服务启动类型的方法我发现有两种方法可以做到这一点通过编辑注册表 http www techbytes ca techbyte74 html Or 通过使用 WMI 类 http www codeproje
在 WordPress 中使用 jquery 日期选择器

我想要在我的 WordPress 模板页面的表单中使用日期选择器但它不起作用这是我的子主题functions php的代码 function modify jquery if is admin comment out the next
在 mutate pipeline 中按组获取唯一 ID [重复]

这个问题在这里已经有答案了自从新的 dplyr v1 0 0 更新发布以来我注意到该功能group indices 有已弃用我在工作中经常使用这个功能并且我喜欢在mutate 例如使用dplyr v0 8 3我能够非常轻松地做这样
实例化 UISegementedControl 的子类时，对类使用未实现的初始化程序“init(frame:)”

当我尝试使用以下实例时出现以下错误MySegmentControl在下面的代码中该错误发生在应用程序启动后知道我错过了什么吗致命错误对类 TestingSubclassing MySegmentControl 使用未实现的初始化程
Access 2013 - 使用包含 50000 个条目的 ConcatRelated 查询永远需要时间

我有一个下面的 sql 查询通过连接相似的条目将包含 600000 个条目的 3 列表转换为 50000 个条目 SELECT Users ConcatRelated Locations Report Users Report Users
如果 git 凭证管理器显示令牌，它如何安全

I have credential helper manager core 这是 Windows 凭据管理器的新助手我不明白如果你可以让 git 显示你的凭据它如何安全git credential fill 重现步骤通过执行命令确认凭
jQuery Mobile - 让 showPageLoadingMsg 与 pagebeforeshow 或 pagebeforeceate 一起使用时出现问题

我正在第二周尝试解决此问题以正确显示加载消息我只是很难让 pagebeforecreate 或 pagebeforeshow 事件触发 mobile showPageLoadingMsg 这是 jsfiddle 上示例的链接 http
如何在AChartEngine中绘制两个不同缩放比例的Y轴

我在 AChartEngine 中绘制具有不同缩放比例的两个 Y 轴一个在右侧一个在左侧时遇到问题我希望左侧从 0 缩放到 40 这是正确的但右侧缩放不是所需的缩放应该是 10 到 100 请帮助我我的源代码看起来像这样公共
无法添加对.net core类库asp.net core rc2的引用

我是 ASP NET 网络核心世界的新手我正在努力添加一个简单的 ref 我收到一个错误 Steps 1 创建了一个 Asp net Core Web应用程序 Net Framework RC2 2 添加了一个名为 ClassLibrar
React Native 模块中的 EADemo 永远不会收到委托方法handleEvent NSStreamEventOpenCompleted？

我希望我有一个反应本机桥接模块 https facebook github io react native docs native modules ios html 线程委托或生命周期问题我不明白这些问题正在阻止接收委托方法调用我需要
XMLHttpRequest 打开并发送：如何判断它是否有效

正如标题所示我的问题是是否可以判断 XMLhttpRequest 的 open 和 send 方法是否真正有效有什么指标吗示例代码 cli new XMLHttpRequest cli open GET http example o
Azure Devops 反应脚本测试永远挂起

我正在尝试在 Azure Dev Ops 中运行我的 React 应用程序的测试但我不知道如何在测试运行后停止执行它只是挂在那里使管道永远处于运行模式这是一个简单的 create react app 应用程序有几个测试以下是我的
ASP.NET Core 日志记录在 2 个不同的文件中

当使用默认的 ASP NET core 日志记录与 Serilog 结合使用时是否可以将错误写入errors log并将信息写入informations log using Microsoft Extensions Logging usi
考虑到我的图像链接存储在MySQL数据库中，如何通过php显示存储在文件夹中的图像

作为良好的做法我只将图像链接存储在数据库中问题是我应该如何存储图像的链接假设它在 c 上 c image jpg 我应该使用哪段 PHP 代码来显示该图像我只显示路径我该怎么做才能显示图像我可以用这个吗 query SELEC
Agda 中的类型层次结构

我试图弄清楚类型层次结构在 Agda 中是如何工作的假设我定义了一个集合类型X X Set 然后继续构建归纳类型 data Y X gt Set where 是什么类型的X gt Set 是设置还是类型谢谢你那么为什么不问问 Agd
如果添加了工具箱中的参数，Microsoft 报表查看器定义从 2008 年更改为 2016 年

我有vs2017 我同事有vs2015 他通过 vs studio 安装程序安装了报告查看器当他创建新的报告 rdlc 文件时我们正在处理同一个项目他的报告架构定义网址如下
Android UI 示例 [关闭]

Closed 此问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我是 Android UI 新手正在寻找一些有关设计 UI 最佳实践的资源 UI 元素示例教程等我
如何获取 GROUP_BY 子句中的值列表？

如果我的表中有这样的数据 id data 1 1 1 2 1 3 2 4 2 5 3 6 3 4 如何在查询在 sybase 服务器上中获得这样的结果 id data 1 1 2 3 2 4 5 3 6 4 在mysql中使用 SEL
如何在 Spring Security 中使用自定义配置的 RememberMeAuthenticationFilter？

我想在 spring security 3 1 0 中使用稍微定制的 Rememberme 功能我这样声明 Rememberme 标签

如何在 Spring Security 中使用自定义配置的 RememberMeAuthenticationFilter？

如何在 Spring Security 中使用自定义配置的 RememberMeAuthenticationFilter？ 的相关文章

随机推荐

热门标签

如何在 Spring Security 中使用自定义配置的 RememberMeAuthenticationFilter？的相关文章