Spring security3.x 自定义验证Filter

最新推荐文章于 2022-03-26 10:00:29 发布
最新推荐文章于 2022-03-26 10:00:29 发布
阅读量2.7k 收藏 2
点赞数 1
分类专栏: Java 文章标签: spring security filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmppok/article/details/44833545
版权

原创文章,欢迎转载!转载时务必保留:作者:jmppok ;出处http://blog.csdn.net/jmppok/article/details/44833545



1.applicationContext-secrity.xml配置

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security-3.2.xsd">
        
        
        
        
	<!-- 自动配置模式,拦截所有请求,有ROLE_USER才可以通过  -->
	<http auto-config="true"  >
	
		
	
		<intercept-url pattern="/login**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
		<intercept-url pattern="/js/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
		<intercept-url pattern="/images/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />

		<intercept-url pattern="/**" access="ROLE_USER" /> 

		<form-login login-page="/login.html" authentication-failure-url ="/loginfailure" default-target-url="/loginsuccess"/>
		<logout invalidate-session="true" logout-success-url="/login.html" logout-url="/j_spring_security_logout"/>
		
		
		
		<access-denied-handler ref="myAuthenticationFailureHandler"/>
		<custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="myFilter"  />
		

	</http>
	

	
    <beans:bean id="myAuthenticationFailureHandler" class="com.lenovo.itcloud.api.base.MyAuthenticationFailureHandler" />
	
	<!-- 一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,
    我们的所有控制将在这三个类中实现,解释详见具体配置 -->
    <beans:bean id="myFilter" class="com.lenovo.itcloud.api.base.MyFilterSecurityInterceptor">
        <beans:property name="authenticationManager"  ref="authenticationManager" />
        <beans:property name="accessDecisionManager"  ref="myAccessDecisionManagerBean" />
        <beans:property name="securityMetadataSource"  ref="securityMetadataSource" />
    </beans:bean>
	
	<!-- 认证管理器。用户名密码都集成在配置文件中 -->
	<authentication-manager  alias="authenticationManager">
		
		<authentication-provider
            user-service-ref="myUserDetailService" />
            <!--  
		<authentication-provider>
			<user-service>
				<user name="admin" password="admin" authorities="ROLE_USER" />
				
			</user-service>
		</authentication-provider>
		-->
	</authentication-manager>

 <beans:bean id="myUserDetailService"
        class="com.lenovo.itcloud.api.base.MyUserDetailService" />
	
	
	<!-- 访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->
    <beans:bean id="myAccessDecisionManagerBean"
        class="com.lenovo.itcloud.api.base.MyAccessDecisionManager">
    </beans:bean>
	
	<!-- 资源源数据定义,即定义某一资源可以被哪些角色访问 -->
    <beans:bean id="securityMetadataSource" 
        class="com.lenovo.itcloud.api.base.MyInvocationSecurityMetadataSource" />
	
	
</beans:beans>


 

 

 

 

 

 

 

一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,同时authenticationManager中需要包含一个用户验证服务UserDetailServie。
 


 
 

2.Filter---------------------MyFilterSecurityInterceptor
 

 

/**
 * 类 MyFilterSecurityInterceptor 的实现描述:TODO 类实现描述
 * 
 * @author ligh4 2015年3月31日下午4:58:57
 */
public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {

    private FilterInvocationSecurityMetadataSource securityMetadataSource;

    /**
     * @author ligh4 2015年3月31日下午5:03:16
     */
    @Override
    public void destroy() {
        // TODO Auto-generated method stub

    }

    /**
     * @author ligh4 2015年3月31日下午5:03:16
     */
    @Override
    public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)
            throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(arg0, arg1, arg2);
        invoke(fi);

    }

    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }

    public FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

    public void setSecurityMetadataSource(FilterInvocationSecurityMetadataSource newSource) {
        this.securityMetadataSource = newSource;
    }

    /**
     * @author ligh4 2015年3月31日下午5:03:16
     */
    @Override
    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub

    }

    /**
     * @author ligh4 2015年3月31日下午5:03:16
     */
    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    /**
     * @author ligh4 2015年3月31日下午5:03:16
     */
    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }

}
 

 

 

3.用户验证 服务 ---------- MyUserDetialService
 

 


 
 

 

/**
 * 类 MyUserDetailService 的实现描述:TODO 类实现描述
 * 
 * @author ligh4 2015年3月31日下午5:08:27
 */
@SuppressWarnings("deprecation")
public class MyUserDetailService implements UserDetailsService {

    /**
     * @author ligh4 2015年3月31日下午5:10:54
     */
    @Override
    public UserDetails loadUserByUsername(String arg0) throws UsernameNotFoundException {

        if (arg0.equals("admin")) {
            Collection<GrantedAuthority> auths = new ArrayList<GrantedAuthority>();
            GrantedAuthorityImpl auth2 = new GrantedAuthorityImpl("ROLE_USER");
            auths.add(auth2);

            //    User(String username, String password, boolean enabled, boolean accountNonExpired,
            //                boolean credentialsNonExpired, boolean accountNonLocked, Collection<GrantedAuthority> authorities) {
            User user = new User(arg0, "admin", true, true, true, true, auths);
            return user;
        } else {
            throw new UsernameNotFoundException(arg0);
        }

    }

}
 

 

 

 

4. 资源及权限定义  --------------- MyInvocationSecurityMetadataSource
 


 
 

 

/**
 * 类 MyInvocationSecurityMetadataSource 的实现描述:TODO 类实现描述
 * 
 * @author ligh4 2015年3月31日下午5:01:54
 */
public class MyInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {

    Collection<ConfigAttribute> role_user      = new ArrayList<ConfigAttribute>();
    Collection<ConfigAttribute> role_anonymous = new ArrayList<ConfigAttribute>();

    public MyInvocationSecurityMetadataSource() {
        role_user.add(new SecurityConfig("ROLE_USER"));

        role_anonymous.add(new SecurityConfig("IS_AUTHENTICATED_ANONYMOUSLY"));
        role_anonymous.add(new SecurityConfig("ROLE_ANONYMOUS"));
        role_anonymous.add(new SecurityConfig("ROLE_USER"));

    }

    /**
     * @author ligh4 2015年3月31日下午5:17:14
     */
    @Override
    public Collection<ConfigAttribute> getAttributes(Object arg0) throws IllegalArgumentException {
        // guess object is a URL.
        String url = ((FilterInvocation) arg0).getRequestUrl();
        if (url.startsWith("/V1") || url.startsWith("/index**")) {
            return role_user;
        } else {
            return role_anonymous;
        }

    }

    /**
     * @author ligh4 2015年3月31日下午5:17:14
     */
    @Override
    public boolean supports(Class<?> arg0) {
        // TODO Auto-generated method stub
        return true;
    }

    /**
     * @author ligh4 2015年3月31日下午5:17:14
     */
    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        // TODO Auto-generated method stub
        return null;
    }
}
 

 

5. 访问决策 ------------------------- MyAccessDecisionManager
 
 

 

/**
 * 类 MyAccessDecisionManager 的实现描述:TODO 类实现描述
 * 
 * @author ligh4 2015年3月31日下午5:01:04
 */
public class MyAccessDecisionManager implements AccessDecisionManager {

    /**
     * @author ligh4 2015年3月31日下午5:28:21
     */
    @Override
    public void decide(Authentication arg0, Object arg1, Collection<ConfigAttribute> arg2)
            throws AccessDeniedException {

        if (arg2 == null) {
            return;
        }
        LogHelper.debug(this, arg1.toString()); //object is a URL.
        Iterator<ConfigAttribute> ite = arg2.iterator();
        while (ite.hasNext()) {
            ConfigAttribute ca = ite.next();
            String needRole = ((SecurityConfig) ca).getAttribute();
            for (GrantedAuthority ga : arg0.getAuthorities()) {
                if (needRole.equals(ga.getAuthority())) { //ga is user's role.
                    return;
                }
            }
        }
        LogHelper.warn(this, "No right of url:" + arg1.toString());
        throw new AccessDeniedException("no right");

    }

    /**
     * @author ligh4 2015年3月31日下午5:28:21
     */
    @Override
    public boolean supports(ConfigAttribute arg0) {
        // TODO Auto-generated method stub
        return true;
    }

    /**
     * @author ligh4 2015年3月31日下午5:28:21
     */
    @Override
    public boolean supports(Class<?> arg0) {
        // TODO Auto-generated method stub
        return true;
    }

}
 

 

 

 

6. 拒绝访问的处理 -------------  MyAuthenticationFailureHandler
 
 

 

/**
 * 类 MyAuthenticationFailureHandler 的实现描述:TODO 类实现描述
 * 
 * @author ligh4 2015年3月31日下午4:04:40
 */
public class MyAuthenticationFailureHandler implements AccessDeniedHandler {

    /**
     * @author ligh4 2015年3月31日下午4:15:59
     */
    @Override
    public void handle(HttpServletRequest arg0, HttpServletResponse arg1, AccessDeniedException arg2)
            throws IOException, ServletException {

        LogHelper.debug(this, "handler AccessDeniedException...");

        HttpServletRequest httpRequest = arg0;
        // is ajax request?
        if ("XMLHttpRequest".equals(httpRequest.getHeader("X-Requested-With"))) {
            String msg = "{\"success\" : false, \"message\" : \"authentication-failure\"}";

            arg1.setContentType("json");
            OutputStream outputStream = arg1.getOutputStream();
            outputStream.write(msg.getBytes());
            outputStream.flush();
        }
    }

}
 

 

注意只有拒绝访问才会执行.如果是未登陆或Session超时,会跳转到登陆页面。参考我的另一篇博客。
 


 

                

        

        

    




    

      

        

            

              
                
                  jmppok
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】

				
			

			

				

					02-16
				

			

		

		

			
				
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证

			
		

	



                

              
                



	

		

			

				
					
9. Spring Security Filter

				
			

			

				

					一个人的人生
				

				

					11-29
					
					773
					
				

			

		

		

			
				
Filter
目录
1.1     Filter顺序
1.2     添加FilterFilterChain
1.3     DelegatingFilterProxy
1.4     FilterChainProxy
1.5     Spring Security定义好的核心Filter
1.5.1    FilterSecurityInterceptor
1.5.2    E

			
		

	



                


  
              

                


	

		

			

				
					
SpringSecurity-----登录用户权限验证demo

				
			

			

				

					weixin_30655219的博客
				

				

					07-21
					
					211
					
				

			

		

		

			
				
准备:
  1、Spring Security需要自定义一个继承至AbstractSecurityInterceptor的Filter,该抽象类包含了AccessDecisionManager(决策管理器)、AuthenticationManager(身份认证管理器)的setter, 可以通过Spring自动注入,另外,资源角色授权器需要单独自定义注入
  2、AccessDecisionMa...

			
		

	





	

		

			

				
					
spring security标准过滤器以及排序

				
			

			

				

					johnhuster的专栏
				

				

					08-10
					
					1570
					
				

			

		

		

			
				
spring security标准过滤器以及排序

			
		

	



		

			
		



	

		

			

				
					
Spring Security3边学边写(N)会话管理和并行控制

				
			

			

				

					sb33060418的专栏
				

				

					10-09
					
					350
					
				

			

		

		

			
				
在开发系统认证授权时,经常会碰到需要控制单个用户重复登录次数或者手动踢掉登录用户的需求。如果使用Spring Security 3.1.x该如何实现呢?

Spring Security中可以使用session management进行会话管理,设置concurrency control控制单个用户并行会话数量,并且可以通过代码将用户的某个会话置为失效状态以达到踢用户下线的效果。

本次实...

			
		

	





	

		

			

				
					
spring security custom-filter with java configuration 验证验证

				
			

			

				

					weixin_34104341的博客
				

				

					03-27
					
					229
					
				

			

		

		

			
				
Spring Security 本身的UsernamePasswordAuthenticationFilter 只支持 账号与密码的验证,如果需要加入诸如验证码等其它条件时,可以通过继承UsernamePasswordAuthenticationFilter 并重写其中的方法 attemptAuthentication来实现。
java代码如下

public class Validate...

			
		

	





	

		

			

				
					
SpringSecurity 3.0.1.RELEASE.CHM

				
			

			

				

					03-21
				

			

		

		

			
				
5.5. Spring Security中的访问控制(验证)  5.5.1. 安全和AOP建议  5.5.2. 安全对象和AbstractSecurityInterceptor  5.5.2.1. 配置属性是什么?  5.5.2.2. RunAsManager  5.5.2.3. AfterInvocationManager  5.5.2.4...

			
		

	





	

		

			

				
					
Spring Security 中文教程.pdf

				
			

			

				

					12-06
				

			

		

		

			
				
5.5. Spring Security中的访问控制(验证)   5.5.1. 安全和AOP建议   5.5.2. 安全对象和AbstractSecurityInterceptor   5.5.2.1. 配置属性是什么?   5.5.2.2. RunAsManager   5.5.2.3. AfterInvocationManager   ...

			
		

	





	

		

			

				
					
spring security 参考手册中文版

				
			

			

				

					02-01
				

			

		

		

			
				
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...

			
		

	





	

		

			

				
					
Spring Security-3.0.1中文官方文档(翻译版)

				
			

			

				

					03-08
				

			

		

		

			
				
5.5. Spring Security 中的访问控制(验证)   5.5.1. 安全和AOP 建议   5.5.2. 安全对象和AbstractSecurityInterceptor   5.5.2.1. 配置属性是什么?   5.5.2.2. RunAsManager   5.5.2.3. AfterInvocationManager  ...

			
		

	





	

		

			

				
					
全面解析Spring Security 内置 Filter

				
			

			

				

					08-18
				

			

		

		

			
				
主要介绍了Spring Security 内置 Filter的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

			
		

	





	

		

			

				
					
Spring Security控制只能有一个用户在线

				
			

			

				

					freelyeagle的博客
				

				

					01-09
					
					1635
					
				

			

		

		

			
				
在最近的一个项目中需要用到同时只能允许一个用户在线,该系统是一个线上考试系统,要求同一个考生在不同的浏览器上同时只能有一个在线。框架用的Spring SecuritySpring Security本身时有关于Session控制的,只需要在配置文件中进行配置就可以实现。

第一步需要在web.xml里配置HttpSessionEventPublisher,如下所示,只要在web.xml文件里加上这...

			
		

	





	

		

			

				
					
Spring Security学习笔记之整体配置

				
			

			

				

					py_xin的博客
				

				

					09-22
					
					2万+
					
				

			

		

		

			
				
第一部分: web.xml的配置
使用过SpringSecurity的朋友都知道,首先需要在web.xml进行以下配置: 

  springSecurityFilterChain
  org.springframework.web.filter.DelegatingFilterProxy 



  springSecurityFilterChain
  /*

从这个配置中, 可能会给我

			
		

	





	

		

			

				
					
Spring Security 入门(四):自定义-Filter

				
			

			

				

					程序猿DD
				

				

					01-18
					
					1万+
					
				

			

		

		

			
				
前文导读- Spring Security入门(一):登录与退出- Spring Security入门(二):基于数据库验证Spring Security入门(三):密码加密本文解决问题将自定义Filter 加入到 Spring Security 中的 Filter 链中的指定位置。Spring Security 默认的过滤器链官网位置:http://docs.spring.io/spri

			
		

	





	

		

			

				
					
spring filter  

				
			

			

				

					李永
				

				

					03-19
					
					216
					
				

			

		

		

			
				

Table 2.1. Standard Filter Aliases and Ordering








Alias
Filter Class
Namespace Element or Attribute



CHANNEL_FILTER
ChannelProcessingFilter
http/intercept-url@requires-channel


SECURIT...

			
		

	





	

		

			

				
					
Spring Security Filter详解

					
热门推荐

				
			

			

				

					icarusliu的专栏
				

				

					12-06
					
					2万+
					
				

			

		

		

			
				
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题:
默认Filter的作用及配置
默认Filter的配置及生效示例分析

			
		

	





	

		

			

				
					
SpringSecurity权限管理框架系列(七)-SpringSecurity定义配置类中自定义Filter的使用详解

				
			

			

				

					最爱嫣夜来
				

				

					03-26
					
					3954
					
				

			

		

		

			
				
1、Filter请求过滤器
filter请求过滤器可以帮助我们进行HttpServletRequest请求和HttpServletResponse响应的过滤
在自定义Filter过滤器中我们可以对我们的请求进行过滤, 同时也可以对返回的相应进行处理,在方法中实现我们自定义的业务逻辑处理,这是很常见的需求,下面说说spring security框架中怎么是怎么搭配自定义Filter过滤器来使用的。
2、自定义Spring Security配置类中添加自定义Filter
2.1 自定义Filter类

pac

			
		

	





	

		

			

				
					
springsecurity定义filter

					
最新发布

				
			

			

				

					03-16
				

			

		

		

			
				
要自定义过滤器,我们需要实现Filter接口或继承AbstractAuthenticationProcessingFilter类,并将其添加到Spring Security过滤器链中。在自定义过滤器中,我们可以访问请求和响应对象,以及Spring Security上下文中的...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值