最近在项目中用到了Spring Security 2
为了实现自己的一些逻辑,所以粗略的读了一次他的代码,和文档。
文档中介绍了Spring Security 的大体框架和原理。
但是对于如何扩展Spring Security,使它更适合自己的项目并没有详细的介绍,这点比较遗憾。
所以硬着头皮,大致过了一次他的代码。
以下是我扩展的需求:
1、用户登录是判断用户登录错误次数是否超过指定次数,如三次,若超过则锁定用户
2、登录成功更新用户的信息,如最后登录时间,登录IP等,并保存到数据库。
3、登录失败则增加用户登录失败的次数。
对于上面的这些需求,读了源代码之后,你会发现Spring Security的框架十分灵活。
代码也很清晰。
首先,用户登录时,经过了一系列的过滤器,他的过滤器使用Spring来管理的。
其中一个名为AuthenticationProcessFilter的过滤器,专门为网页验证提供。
跟了一下这个过滤器,发现他继承的抽象类AbstractProcessingFilter中有几个可以扩展的方法:
protected void onPreAuthentication(HttpServletRequest request,HttpServletResponse response) throws AuthenticationException, IOException {
}
protected void onSuccessfulAuthentication(HttpServletRequest request,HttpServletResponse response,Authentication authResult) throws IOException {
}
protected void onUnsuccessfulAuthentication(HttpServletRequest request,HttpServletResponse response,
AuthenticationException failed) throws IOException {
}
看方法名大家应该能想到他的用处,就是在验证前,验证成功后,验证失败后,提供扩展的逻辑操作。
所以我们可以通过继承AuthenticationProcessFilter并重写这几个方法来增加自己的逻辑。
重新实现了过滤器之后要重新设置Spring Security 2的过滤器链,而且原来的auto-config也不能使用。否则将无效
配置如下:
<http entry-point-ref="authenticationEntryPoint"> <intercept-url pattern="/js/*" filters="none" /> <intercept-url pattern="/styles/*" filters="none" /> <intercept-url pattern="/images/*" filters="none" /> <intercept-url pattern="/login" filters="none" /> <intercept-url pattern="/reg" filters="none" /> <intercept-url pattern="/" filters="none" /> <intercept-url pattern="/registerMember" filters="none" /> <intercept-url pattern="/index.jsp" access="ROLE_USER" /> <intercept-url pattern="/member/*" access="ROLE_USER" /> <!-- <form-login login-processing-url="/checkMember" login-page="/login" authentication-failure-url="/login?error=true" default-target-url="/" /> --> <anonymous /> <logout logout-url="/logout" logout-success-url="/" /> <remember-me key="e37f4b31-0c45-11dd-bd0b-0800200c9a66" /> </http> <authentication-manager alias="authenticationManager"/> <beans:bean class="com.mysport.security.filter.EnhanceAuthenticationProcessFilter"> <custom-filter position="AUTHENTICATION_PROCESSING_FILTER" /> <beans:property name="authenticationManager" ref="authenticationManager" /> <beans:property name="authenticationFailureUrl" value="/login?error=true" /> <beans:property name="defaultTargetUrl" value="/" /> <beans:property name="filterProcessesUrl" value="/checkMember" /> <beans:property name="memberService" ref="memberService" /> </beans:bean> <beans:bean id="authenticationEntryPoint" class="org.springframework.security.ui. webapp.AuthenticationProcessingFilterEntryPoint"> <beans:property name="loginFormUrl" value="/login" /> </beans:bean>
如果使用Remember Me则要以类似的方式实现RememberMeProcessingFilter
1、要去掉http中的
<remember-me key="yourkey" />
2、实现rememberMeService
<beans:bean id="rememberMeServices" class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices" > <beans:property name="key" value="yourkey" /> <beans:property name="userDetailsService" ref="securityManager" /> </beans:bean>
3、实现自己的RememberMeProcessingFilter
<beans:bean class="com.mysport.security.filter.EnhanceRememberMeProcessingFilter"> <custom-filter position="REMEMBER_ME_FILTER" /> <beans:property name="authenticationManager" ref="authenticationManager" /> <beans:property name="rememberMeServices" ref="rememberMeServices" /> <beans:property name="memberService" ref="memberService" /> </beans:bean>
4、最重要的,重新将rememberMeAuthenticationProvider添加到providers中,主要是设置对应的key,否则cookie在解密时无法正确解出内容
<beans:bean id="rememberMeAuthenticationProvider" class="org.springframework.security.providers.rememberme.RememberMeAuthenticationProvider"> <custom-authentication-provider /> <beans:property name="key" value="yourkey" /> </beans:bean>