spring-security-oauth2(十二 ) 注册逻辑

最新推荐文章于 2022-12-25 12:16:12 发布
最新推荐文章于 2022-12-25 12:16:12 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: spring-security-oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahcr1026212/article/details/86062025
版权

为何跳转signup

在上一章结尾中,扫码登录后就会调到就跳到signup注册页面,这是怎么回事呢?我们来跟下源码。

org.springframework.social.security.SocialAuthenticationProvider#authenticate 

org.springframework.social.security.SocialAuthenticationFilter#doAuthentication

默认注册界面

 分析可知:用户首次进行社交登录,社交用户和系统用户还没有进行绑定,所有会调到social默认的注册界面signup ,但是这个路径我们在浏览器权限配置中没有放行,所以才会又跳到我们的认证地址。

修改默认注册界面

就是把默认的/signup路径修改成我们自己的路径,这个注册界面通常应该是在我们的demo项目中处理

主要添加这一行

在权限配置类中要放行这个路径:

在配置文件类中添加注册路径

 配置文件中添加demo-signup.html

 demo注册界面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>demo注册界面</title>
</head>
<body>
<h2>demo注册界面</h2>
<h3>表单注册</h3>
<form action="/user/regist" method="post">
    <table>
        <tr>
            <td>用户名:</td>
            <td><input type="text" name="username"></td>
        </tr>
        <tr>
            <td>密码:</td>
            <td><input type="password" name="password"></td>
        </tr>
        <tr>
            <td colspan="2">
                <button type="submit" value="bind">绑定</button>
                <button type="submit" value="regist">注册</button>
            </td>
        </tr>
    </table>
</form>
</body>
</html>

ok 我们来测试下 看是否可以跳到我们的自定义界面

注册:社交用户首次登陆,系统中还没有用户信息。

绑定:将社交信息和系统中已有的用户信息进行绑定。

 social与注册互动

1.通常在注册或绑定逻辑执行之前(/uesr/regist),注册界面会显示一些社交用户信息如昵称图像并提示用户进行注册动作,怎么拿到用户信息呢。

2.还有怎么将系统用户信息和social互动?也就是要把关联信息插入到表UserConnection中

关键工具:org.springframework.social.connect.web.ProviderSignInUtils  

配置 ProviderSignInUtils 

com.rui.tiger.auth.core.social.SocialConfig#providerSignInUtils

/**
 * social和注册互动工具类
 * @return
 */
@Bean
public ProviderSignInUtils providerSignInUtils(ConnectionFactoryLocator connectionFactoryLocator){
    return new ProviderSignInUtils(connectionFactoryLocator,getUsersConnectionRepository(connectionFactoryLocator));
}
SocialUserInfo 定义社交用户信息,可以给前台注册界面进行展示
package com.rui.tiger.auth.browser.support;

import lombok.Data;

/**
 * 社交用户信息封装
 * @author CaiRui
 * @date 2019-01-09 18:24
 */
@Data
public class SocialUserInfo {

	private String providerId;//供应商ID

	private String providerUserId;//供应商用户ID 即openID

	private String nickName;//昵称

	private String headImg;//图像地址

}

BrowserRequireController 浏览器控制类新增获取社交用户信息
package com.rui.tiger.auth.browser.controller;

import com.rui.tiger.auth.browser.support.SocialUserInfo;
import com.rui.tiger.auth.core.properties.SecurityProperties;
import com.rui.tiger.auth.core.support.SimpleResponse;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.security.web.DefaultRedirectStrategy;
import org.springframework.security.web.RedirectStrategy;
import org.springframework.security.web.savedrequest.HttpSessionRequestCache;
import org.springframework.security.web.savedrequest.RequestCache;
import org.springframework.security.web.savedrequest.SavedRequest;
import org.springframework.social.connect.Connection;
import org.springframework.social.connect.web.ProviderSignInUtils;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseStatus;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.context.request.ServletWebRequest;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 用户登录认证控制器
 *
 * @author CaiRui
 * @date 2018-12-5 12:44
 */
@RestController
@Slf4j
public class BrowserRequireController {

	//封装了引发跳转请求的工具类  https://blog.csdn.net/honghailiang888/article/details/53671108
	private RequestCache requestCache = new HttpSessionRequestCache();
	// spring的工具类:封装了所有跳转行为策略类
	private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

	@Autowired
	private SecurityProperties securityProperties;

	private static final String HTML_SUFFIX = ".html";

	@Autowired
	private ProviderSignInUtils providerSignInUtils;



	/**
	 * 当需要进行身份认证的时候跳转到此方法
	 *
	 * @param request  请求
	 * @param response 响应
	 * @return 将信息以JSON形式返回给前端
	 */
	@RequestMapping("/authentication/require")
	@ResponseStatus(code = HttpStatus.UNAUTHORIZED)
	public SimpleResponse requireAuthentication(HttpServletRequest request, HttpServletResponse response) throws IOException {
		log.info("BrowserRequireController进来了 啦啦啦");
		// 从session缓存中获取引发跳转的请求
		SavedRequest savedRequest = requestCache.getRequest(request, response);
		if (null != savedRequest) {
			String redirectUrl = savedRequest.getRedirectUrl();
			log.info("引发跳转的请求是:{}", redirectUrl);
			if (StringUtils.endsWithIgnoreCase(redirectUrl, HTML_SUFFIX)) {
				// 如果是HTML请求,那么就直接跳转到HTML,不再执行后面的代码
				redirectStrategy.sendRedirect(request, response, securityProperties.getBrowser().getLoginPage());
			}
		}
		return new SimpleResponse("访问的服务需要身份认证,请引导用户到登录页面");
	}

	/**
	 * 获取社交用户信息  用于注册界面显示用户信息
	 *
	 * @param request
	 * @return
	 */
	@GetMapping("/social/user")
	public SocialUserInfo getSocialUserInfo(HttpServletRequest request) {
		SocialUserInfo socialUserInfo = new SocialUserInfo();
		//通过工具类获取社交用户信息
		Connection<?> connection = providerSignInUtils.getConnectionFromSession(new ServletWebRequest(request));

		socialUserInfo.setProviderId(connection.getKey().getProviderId());
		socialUserInfo.setProviderUserId(connection.getKey().getProviderUserId());
		socialUserInfo.setNickName(connection.getDisplayName());
		socialUserInfo.setHeadImg(connection.getImageUrl());
		return socialUserInfo;

	}


}

下面我们来让注册和social互动,注册这个逻辑应该是在第三方系统中实现的,所以我们放在demo项目中

package com.rui.tiger.auth.demo.controller;

import com.rui.tiger.auth.demo.vo.UserVo;
import org.apache.catalina.servlet4preview.http.HttpServletRequest;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.social.connect.web.ProviderSignInUtils;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.context.request.ServletWebRequest;

/**
 * 用户控制器
 *
 * @author CaiRui
 * @date 2018-12-6 8:16
 */
@RestController
@RequestMapping("/user")
public class UserController {

	@Autowired
	private ProviderSignInUtils providerSignInUtils;

	@RequestMapping("/hello")
	public String hello() {
		return "Hello,World";
	}

	/**
	 * 获取用户认证信息
	 *
	 * @return
	 */
	@GetMapping("authentication")
	public Authentication getCurrentAuthentication() {
		return SecurityContextHolder.getContext().getAuthentication();
	}

	/**
	 * 获取用户认证信息
	 * 同getCurrentAuthentication spring 会帮我们注入
	 *
	 * @param authentication
	 * @return
	 */
	@GetMapping("authentication/auto")
	public Authentication getCurrentAuthentication2(Authentication authentication) {
		return authentication;
	}

	/**
	 * 社交注册
	 */
	@PostMapping("/regist")
	public void regist(UserVo user, HttpServletRequest request){

		 // 不管是注册用户还是绑定用户,都会拿到一个用户唯一标识
		 String username=user.getUsername();
		//这里处理绑定或注册用户逻辑

		//进行系统用户和社交用户入库动作
		providerSignInUtils.doPostSignUp(username,new ServletWebRequest(request));
	}


}

别忘了对/user/regist 进行放行  com.rui.tiger.auth.browser.config.BrowserSecurityConfig#configure

ok 下面我们来测试下注册逻辑,扫码登录后跳到我们的注册界面 

点击绑定或注册看看,发送  post请求: /user/regist

同时我们的数据库中也有这条记录绑定了

这里要注意的是这里只是绑定了 ,并没有进入认证。可以访问/user/hello 试试

 要返回登录界面再次点击qq社交登录,根据前面的源码分析 由于我们的库中已经有记录的,不会跳到注册界面,同时会完成认证。

ok 注册成功完成。

 直接绑定社交账户

如何做到社交账户首次登录,不用注册,我们后台直接给注册呢? 还是来分析源码,看看有没有解决办法。

org.springframework.social.connect.jdbc.JdbcUsersConnectionRepository#findUserIdsWithConnection

  所以我们要 实现这个接口 ConnectionSignUp ,放在我们的第三方系统中

package com.rui.tiger.auth.demo.security;

import lombok.extern.slf4j.Slf4j;
import org.springframework.social.connect.Connection;
import org.springframework.social.connect.ConnectionSignUp;
import org.springframework.stereotype.Component;

/**
 * 第三方应用登录 默认注册用户
 * @author CaiRui
 * @date 2019-01-10 18:20
 */
@Component
@Slf4j
public class DemoConnectionSignUp implements ConnectionSignUp {

	/**
	 * 根据社交用户信息默认创建用户并返回用户唯一标识
	 * @param connection
	 * @return
	 */
	@Override
	public String execute(Connection<?> connection) {
		log.info("根据社交用户信息默认创建用户并返回用户唯一标识");
		//系统业务逻辑处理  目前直接以昵称作为唯一标识  这里 可以调用注册逻辑
		return connection.getDisplayName();
	}
}

com.rui.tiger.auth.core.social.SocialConfig#getUsersConnectionRepository 也同步调整

 /**
     * 业务系统用户和服务提供商用户对应关系,保存在表UserConnection
     * JdbcUsersConnectionRepository.sql 中有建表语句
     * userId 业务系统Id
     * providerId 服务提供商的Id
     * providerUserId  同openId
     * Encryptors  加密策略 这里不加密
     *
     * @param connectionFactoryLocator
     * @return
     */
    @Override
    public UsersConnectionRepository getUsersConnectionRepository(ConnectionFactoryLocator connectionFactoryLocator) {
        JdbcUsersConnectionRepository jdbcUsersConnectionRepository = new JdbcUsersConnectionRepository(dataSource, connectionFactoryLocator, Encryptors.noOpText());
        //设定表UserConnection的前缀 表名不可以改变
        //jdbcUsersConnectionRepository.setTablePrefix("tiger_");
        if(connectionSignUp!=null){
            jdbcUsersConnectionRepository.setConnectionSignUp(connectionSignUp);
        }
        return jdbcUsersConnectionRepository;
    }

ok 测试之前先删除前面注册已经入库的记录

 怎么设置登录成功后的默认界面呢  defaultSuccessUrl("/index.html")  就是这么简单 跟shiro差不多

package com.rui.tiger.auth.core.config;

import com.rui.tiger.auth.core.properties.SecurityConstants;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

/**
 * 密码登录的通用安全配置
 * @author CaiRui
 * @date 2018-12-26 18:11
 */
public class AbstractChannelSecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	private AuthenticationSuccessHandler tigerAuthenticationSuccessHandler;
	@Autowired
	private AuthenticationFailureHandler tigerAuthenticationFailureHandler;

	/**
	 * 密码登录配置
	 * @param http
	 * @throws Exception
	 */
	protected void 	applyPasswordAuthenticationConfig(HttpSecurity http) throws Exception {
		http.formLogin()
				.loginPage(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL)
				.loginProcessingUrl(SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_FORM)//
				.defaultSuccessUrl("/index.html")
				.successHandler(tigerAuthenticationSuccessHandler)
				.failureHandler(tigerAuthenticationFailureHandler);
	}


}

ok 到此qq登录完成 ,下一章我们将开发微信社交登录。

codeing-tiger
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security新人使用关键-简单地完成注册、登陆、JWT令牌访问
nsplnpbjy的博客
06-27 691
在这里,我们往返回体response里塞了一些状态码和用户信息,注意这里我们用JwtUtils来生成了一个令牌,也塞了进去,这个JwtUtils令牌我们会在后面介绍,它的主要作用就是让前端在登陆成功以后,每个请求都带上令牌来,就不用再重新登陆了,验证令牌就行了。,我们将刚刚的拦截器放在里面,这里加入的拦截器会在验证用户名密码之前执行,所以我们的自制拦截器就会首先被执行,如果令牌对了,就放行。这一句,是加上了一个JWT令牌的过滤器,这个过滤器会在检查登陆状态之前执行,也是需要我们自己做的,我们会在后面介绍。
spring-security-oauth2(二十二) 重构注册逻辑
codeing-tiger
04-30 607
浏览器注册模式 前面的我们社交登录都是基于用户的社交信息都已经存在于数据库中了,如果用户首次登录该怎么办呢?回顾下我们的浏览器注册逻辑。 具体详细步骤社交注册 1.当第一次用社交用户信息登录,会默认跳到我们自定义的注册界面 2.在跳到注册页之前,会把第三方用户信息放到session中 3.默认提供一个 /social/user 请求可以拿到我们的用户信息展示用户,注册或绑定后会...
Spring Security 的注册过程
白石的专栏
12-25 1134
在本文中,我们演示了使用 Spring Security 和 Spring MVC 实现的完整且几乎可用于**生产的注册过程。**接下来,我们将讨论通过验证新用户的电子邮件来激活新注册帐户的过程。
微信登录的方式
richpersion的博客
05-27 344
登录和注册的controller层 @ApiOperation(value = "登录") @PostMapping("/login") public Msg login(@RequestBody UcenterMember member){ String token =ucenterMemberService.login(member); return Msg.success().data("token",token); } @ApiOpe
Springboot 使用Security完成注册
我是一只蘑菇17的博客
11-02 739
只支持这些Attributes: id, parameterType, parameterMap, flushCache, timeout, statementType, useGeneratedKeys, keyProperty, keyColumn, databaseId。enabled表示用户是否过期,locked表示用户是否被锁。2.新建三张表 用户表 角色表 用户角色关系表。* 获取当前用户对象具有的角色信息。* 获取当前用户的用户名。* 获取当前用户的密码。* 当前用户是否未过期。
spring-security-oauth2文档
最新发布
03-26
在选择使用`spring-security-oauth2`和`spring-security-oauth2-autoconfigure`之前,建议先查看Spring Security的新特性矩阵,以确认这些工具是否能满足需求,或者是否有更适合的方案,如Spring Security 5中对...
spring-security-oauth2
03-17
《Spring Security OAuth2详解》 在当今的互联网时代,安全是任何应用程序不可或缺的一部分。Spring Security作为Java领域中广泛使用的安全框架,提供了强大的访问控制和身份验证功能。而OAuth2则是授权框架的行业...
spring-boot spring-security-oauth2 完整demo
11-22
《Spring Boot、Spring Security与OAuth2的完整示例解析》 在现代Web开发中,安全性是不可忽视的重要一环。Spring Boot、Spring Security和OAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕...
spring-Security-oauth2.zip
05-26
Spring Security OAuth2 允许开发者自定义认证和授权逻辑,例如自定义用户信息端点、令牌增强器、权限分配等。 8. **JWT令牌** 使用JSON Web Token (JWT)作为访问令牌可以减少服务器之间的通信开销,因为JWT包含...
spring-security-oauth2-authorization-server.zip
08-25
本项目“spring-security-oauth2-authorization-server”将带你深入理解如何利用Spring Security OAuth2构建一个授权服务器,以保护你的API并提供安全的访问控制。 OAuth2是一种开放标准,用于授权第三方应用访问...
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录 示例代码
spring security 用户注册后,直接登录
china_bobo的专栏
05-26 612
问题描述:用户注册后,包装了User对象,也set进去,但系统还是无法获取用户已经登录的信息 解决方法:用户注册提交的action,在security配置文件里,不能用filters="none",因为none表示不记录任何安全信息,所以得改成 的方式...
oauth2自定义登录和授权页面
热门推荐
一个正在崛起的小码农
12-26 2万+
文章目录介绍实现功能系统环境配置开发步骤引入jar包定义登录和授权页面定义一个关于登录和授权的控制器配置页面授权测试项目源码 介绍 在上一章节中,https://blog.csdn.net/baidu_34389984/article/details/85249733。我们是实现了简单的oauth2服务提供商。但还不能满足现实需要,在现实中,我们需要定制特质的登录和授权页面。下面将讲解如何自定义。...
Spring Security OAuth2登录
new_ord的博客
07-25 3914
OAuth 2.0 进行扩展,使得授权服务器和受保护资源发出的信息能够传达与用户以及他们的身份认证上下文有关的信息,我们就可以为客户端提供用于用户安全登录的所有信息。
oauth2一直弹认证框
qq_42533633的博客
09-18 2643
oauth2一真弹认证框时
SpringBoot整合SpringSecurityOAuth2后产生的登录、授权、鉴权一系列问题
程序员劝退师的博客
12-10 5543
最近这段时间一直在潜心研究安全这一块,从单纯的整合SpringSecurity到整合SpringSecurityOAuth,再到SSO单点登陆这几部分简单实用确实不难,但是想要真的搞懂然后在整合到自己的知识体系中来还是需要花一定的时间的!这里有同感的朋友给本文点个赞! 这篇文张会先说明登录问题,搭建问题,授权问题,鉴权问题、拦截路由配置,一些特殊的解决方案,以及最近这段时间整个这些东西的一些心得!希望对各位同行有所帮助!开发不易,但不要忘记前行! 1.问题铺垫以及产生问题的原因 在写SpringSecuri
Springboot + Oauth2 单点登录-配置篇
qq_39749620的博客
05-25 2161
1. 授权中心配置 所需依赖 <!-- spring security oauth2 开放授权 --> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.5.RELEASE</version>
Spring Security+Oauth2+JWT实现用户登录逻辑,以及使用login接口登录成功返回token获取
z132411的博客
05-07 4606
目录 pom引入 配置Spring Security 1.实现UserDetailsService接口 2.登录成功处理 3.登录失败处理 4.登出处理 5.没有权限处理设置 6.匿名用户访问处理 7.指定加密方式 8.WebSecurityConfig配置 oauth2处理 配置授权服务器 配置资源服务器 jwt配置 jwt转换器 jwt扩展存储 本文整合了前两篇文章,再结合Oauth2实现了单点登录的基本处理。 之前的文章: SpringBoot整合Spring
从无到有的小小白注册OAuth 2. token 过程
weixin_45820961的博客
09-08 292
获取OAuth2的token access码
spring-security-oauth2升级
09-15
对于Spring Security OAuth2的升级,可以尝试以下步骤: 1. 首先,确保您使用的是最新版本的Spring Security和Spring Security OAuth2。可以查看Spring官方文档或者Maven仓库来获取最新版本的信息。 2. 在进行升级...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值