当前位置：首页 > news >正文

记录SSM项目集成Spring Security 4.X版本之加密验证和记住我功能

news 2026/4/8 2:03:40

前言

一、用户登录密码加密认证

二、记住我功能

前言

本次笔记的记录是接SSM项目集成Spring Security 4.X版本之加入DWZ,J-UI框架实现登录和主页菜单显示-CSDN博客https://blog.csdn.net/u011529483/article/details/136255768?spm=1001.2014.3001.5502

文章之后补全spring-security登录时用户认证进行密码加密验证和实现记住我功能。

一、用户登录密码加密认证

1. 修改上一篇文章中的项目wqdemotwo的spring-security.xml配置文件

打开如下标红的两处配置：

什么意思呢？

<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></bean> 是在配置文件中声明一个bean，实现BCryptPasswordEncoder类。

<security:password-encoder ref="passwordEncoder"/> 是将声明的bean “passwordEncoder” 注入到 authentication-provider 中去。对应的 AuthenticationProvider 类是认证提供者。此处指定了myUserDetailsService 服务类（获取用户详情，如用户名，密码等）

2. 生成加密后的密码，实现登录认证

进入加密算法实现类：BCryptPasswordEncoder

进入接口：PasswordEncoder

encode()方法对明文密码进行加密。我们调用这个方法对数据库中的密码进行加密：

此处我随意找一个类生成加密密码：就 LoginController 类吧

运行项目生成加密密码：$2a$10$n/q4O15Lg9d1WvelfRu9i.qrgE5iVjTeD4.hXAqsLZaGRmTKoGxtK录入到数据库中。

完成，现在重新启动项目查看登录效果：用户：zhangsan，密码：123456

系统登录成功：

执行loadUserByUsername查询用户详情方法后，后台打印结果，密码加密了。

3. 补充说明

总结一下：整个登录认证过程中我们并没有做密码的对比校验，但是密码输入错误是无法登录认证成功的。这是因为密码比对交由 SpringSecurity 处理了，登录页面传入用户名通过详情查询方法loadUserByUsername 获取了UserDetails（得到了数据库中的用户名和密码）然后返回给了SpringSecurity 进行密码校验。

spring-security.xml 配置文件中注入了AuthenticationManager 身份验证管理器类，AuthenticationProvider认证提供者类，PasswordEncoder接口的实现类等。执行时会执行一系列相关类（源码就不研究了，有情怀的小伙伴可以试试）。最终完成用户登录认证。而 密码的校验是由BCryptPasswordEncoder类通过实现PasswordEncoder接口的matches方法来完成。

我们可以来验证一下。将数据库中用户zhangsan的密码改回明文123456。此时运行项目进行登录，结果是登录失败了：

后台打印数据库获取的密码是123456明文，小伙伴注意到下图最后一行的红字。

BCryptPasswordEncoder.matches Encoded password does not look like BCrypt：什么意思呢？就是BCryptPasswordEncode类的matches方法中报出了密码不属于自己（BCrypt）的编码格式，下图：

matches方法中如果通过了编码格式校验则进入checkpw(rawPassword.toString(), encodedPassword)方法，rawPassword登录页面传入的，encodedPassword数据库中存储的。所以密码的校验是由BCryptPasswordEncoder类通过实现PasswordEncoder接口的matches方法来完成。

二、记住我功能

1. 将上篇文章项目wqdemotwo的spring-security.xml配置文件，打开如下两处配置

说明：token-validity-seconds="300" 属性指定免登录访问资源的维持时间，超过这个时间没有任何资源请求，便需要重新登录。

及

注意：第一次运行项目时要将 配置打开，createTableOnStartup属性是当项目启动时，springSecurity创建表存储remember me相关信息，第二次启动时要注释这个属性。

说明：<property name="dataSource" ref="dataSource"/>指定数据库数据源，如oracle。ref="dataSource"注入的是applicationContext.xml配置文件中的数据源，如下图：

2. 修改登录页面

增加记住我复选框，如图：

到此记住我功能配置完成，打开spring-security.xml文件的createTableOnStartup属性运行项目，按预期设想应该在数据库生成表PERSISTENT_LOGINS：

-- Create table
create table PERSISTENT_LOGINS
(username  VARCHAR2(64) not null,series    VARCHAR2(64) not null,token     VARCHAR2(64) not null,last_used TIMESTAMP(6) not null
);
-- Create/Recreate primary, unique and foreign key constraints 
alter table PERSISTENT_LOGINSadd primary key (SERIES)

登录页面选择 记住我登录成功后，关闭浏览器可以实现免登录再次访问资源。

选择 记住我 进行登录，成功登录了。此时我打开oracle数据库生成了PERSISTENT_LOGINS表

页面也成功访问到资源：

此时关闭浏览器，再次打开浏览器因该可以不用登录就可以直接访问主页面。但是我的想法是美好的，事实却是访问 http://localhost:8080/wqdemotwo_war/system/index 跳转到了登录页面，经过努力查找原因是：spring-security.xml文件的 <security:intercept-url pattern="/**" access="isFullyAuthenticated()"/> 配置导致，需要改成 <security:intercept-url pattern="/**" access="isAuthenticated()"/> 这个。

isAuthenticated()：Returns true if the user is not anonymous(如果用户不是匿名的，则返回true)

isFullyAuthenticated()： Returns true if the user is not an anonymous or a remember-me user(如果用户不是匿名用户或记住我的用户，则返回true)

修改后再次运行项目，便可以实现记住我功能，即：登录成功后关闭浏览器，再次打开浏览器访问资源可以免登录访问。（记住注释掉spring-security.xml文件的属性）

好了，今天的记录到此结束。

记录SSM项目集成Spring Security 4.X版本之加密验证和记住我功能

前言

一、用户登录密码加密认证

二、记住我功能

相关文章：

记录SSM项目集成Spring Security 4.X版本之加密验证和记住我功能

[AutoSar]BSW_Com09 CAN driver 模块FULL（BASIC）CAN、FIFO选择

WPF真入门教程30--顺风物流单据管理系统

Elasticsearch：向量相似度计算 - 可笑的速度

两数相加的问题

微信小程序的单位

软考通过率真的低吗？

国际视频编解码标准提案下载地址

程序员是如何看待“祖传代码”的？

Python爬虫之爬取并下载哔哩哔哩视频

python 脚本设置输出颜色

安卓websocket（客服端和服务端写在app端）案例

C++面试宝典第34题：整数反序

微信商城小程序设计

如何合理布局子图--确定MATLAB的subplot子图位置参数

【MySQL】基于Docker搭建MySQL一主二从集群

k8s 集群调度，标签，亲和性和反亲和性，污点和容忍，pod启动状态排错详解

Idea 启动报错 failed to create jvm:jvm path url

20款Visual Studio实用插件推荐

基于SpringBoot的在线拍卖系统

C语言goto语句的争议与现代替代方案

AI批量生成正在悄悄改变我们的日常

10个必备的Tsuru插件：扩展PaaS平台功能的完整指南

避坑指南：Pandas处理NaN时90%人会犯的5个错误（附正确用法）

别再让大模型瞎猜了！用这个提示词模板，轻松搞定多跳问题检索（附Qwen2.5-7B实测效果）

Java 设计模式最佳实践：构建可维护的应用

基于STM32LXXX的数字电位器（DS3502U+TR）驱动应用程序设计

Quartus生成JIC文件常见问题及解决方案

OpenClaw安全指南：Qwen3.5-9B模型下的权限管控实践

黑豹X2（Panther-x2）刷机实战：Armbian系统部署与Jellyfin硬件加速配置