Spring security 4 之 SSO+Form两种登录方式

最新推荐文章于 2024-08-12 11:01:48 发布
最新推荐文章于 2024-08-12 11:01:48 发布
阅读量4k 收藏 3
点赞数
分类专栏: Java 文章标签: SSO和Form两种验证 Spring security 4 多种 authenticationManage authentication-provi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crazystone4/article/details/51864802
版权

前一遍讲的是SSO的简单配置,项目中有时会用到SSO+LoginFrom 两种登录方式的情况,

Spring security同样可以实现,在之前SSO的基础上加入FORM_LOGIN_FILTER过滤器即可

上配置:

<security:http auto-config="false" use-expressions="false" entry-point-ref="ssoAuthenticationEntryPoint">

	<security:custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="metadataSourceFilter"  />

	<security:access-denied-handler error-page="/ssoLogin.jsp"/>

	<security:custom-filter position="PRE_AUTH_FILTER" ref="ssoAuthenticatedFilter" />

	<security:custom-filter position="LOGOUT_FILTER" ref="ssoLogoutFilter" />

	<span style="color:#ff6666;"><security:custom-filter ref="usernamePasswordFilter" position="FORM_LOGIN_FILTER" /></span>

	<security:csrf disabled="true"/>  <!-- token-repository-ref="csrfTokenRepository" request-matcher-ref="csrfRequiresMatcher"-->
	<security:headers>
		<security:frame-options disabled="true" />  <!--policy="SAMEORIGIN"  iframe安全等级-->
	</security:headers>
</security:http>

<!--SSO验证入口-->
<bean id="ssoAuthenticationEntryPoint" class="com.XX.eip.saif.security.SSOAuthenticationEntryPoint">
	<property name="loginUrl" value="/ssoLogin.jsp" /> <!-- //SSO登录地址 -->
</bean>

<!--SSO认证过滤器-->
<bean id="ssoAuthenticatedFilter" class="com.XX.eip.saif.security.SSOAuthenticatedFilter">
	<property name="securityKey" value="Hqsn/qU5iYY=" />
	<property name="securityIV" value="Q9TMVAdPK0k=" />
	<property name="authenticationManager" ref="authenticationManager" />
</bean>

<!--验证管理器 只能定义一个-->
<security:authentication-manager alias="authenticationManager" >       <!--erase-credentials="false" -->
	<!--SSO验证管理器-->
	<security:authentication-provider ref="authenticationProvider"/>
	<!--用户密码验证管理器-->
	<span style="color:#ff0000;"><security:authentication-provider ref="userPasswordAuthenticationProvider"/></span>
</security:authentication-manager>

<!--SSO用户验证器-->
<bean id="authenticationProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
	<property name="preAuthenticatedUserDetailsService" ref="authenticationUserDetailsService"/>
</bean>
<bean id="authenticationUserDetailsService" class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
	<property name="userDetailsService" ref="userDetailsServiceImpl"/>
</bean>
<bean id="userDetailsServiceImpl" class="com.XX.platform.security.UserDetailsServiceImpl"/>

<!--sso登出拦截器-->
<bean id="ssoLogoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">
	<constructor-arg value="/ssoLogout.jsp"/>
	<constructor-arg>
		<bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/>
	</constructor-arg>
</bean>


<!-- 用户名密码登录拦截器 -->
<bean id="usernamePasswordFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
	<property name="authenticationManager" ref="authenticationManager" />
	<property name="authenticationSuccessHandler">
		<bean class=" com.XX.platform.security.SavedRequestAwareAuthenticationSuccessHandler">
			<property name="defaultTargetUrl" value="/" />
			<property name="alwaysUseDefaultTargetUrl" value="true"/>
		</bean>
	</property>
	<property name="authenticationFailureHandler">
		<bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
			<property name="defaultFailureUrl" value="/login.jsp?error=1" />
		</bean>
	</property>
</bean>

<!--用户密码验证器-->
<bean id="userPasswordAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
	<property name="hideUserNotFoundExceptions" value="false" />
	<property name="userDetailsService" ref="userDetailsServiceImpl" />
	<property name="passwordEncoder" ref="passwordEncoder" />
	<property name="saltSource" ref="saltSource" />
</bean>
<bean id="passwordEncoder" class="com.XX.platform.security.Md5PasswordEncoder" />
<bean id="saltSource" class="org.springframework.security.authentication.dao.ReflectionSaltSource">
	<property name="userPropertyToUse" value="username"/>
</bean>


<!--intercept-url过滤器-->
<bean id="metadataSourceFilter" class="com.XX.platform.security.MetadataSourceSecurityInterceptor">
	<property name="authenticationManager" ref="authenticationManager" />
	<property name="accessDecisionManager" ref="accessDecisionManager" />
	<property name="securityMetadataSource" ref="metadataSource" />
</bean>
<bean id="accessDecisionManager" class="com.XX.platform.security.AccessDecisionManager"/>
<bean id="metadataSource" init-method="loadResourceConfig" class="com.XX.platform.security.MetadataSource"/>


<bean id="csrfTokenRepository" class="org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository" />
<bean id="csrfRequiresMatcher" class="com.XX.platform.security.CsrfRequiresMatcher" />

<bean id="messageSource" class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
	<property name="basename" value="classpath:config/messages-security" />
</bean>
这里容易遇到的问题是 authentication-manager的配置, 这个不能配置两个,只会有一个生效,

但是里面的子节点authentication-provider却是可以配置多个的, 查看源代码 org.springframework.security.authentication.ProviderManager,

public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Class toTest = authentication.getClass();
        Object lastException = null;
        Authentication result = null;
        boolean debug = logger.isDebugEnabled();
        Iterator e = this.getProviders().iterator();

        while(e.hasNext()) {
            AuthenticationProvider provider = (AuthenticationProvider)e.next();
            if(provider.supports(toTest)) {
                if(debug) {
                    logger.debug("Authentication attempt using " + provider.getClass().getName());
                }

                try {
                    result = provider.authenticate(authentication);
                    if(result != null) {
                        this.copyDetails(authentication, result);
                        break;
                    }
                } catch (AccountStatusException var11) {
                    this.prepareException(var11, authentication);
                    throw var11;
                } catch (InternalAuthenticationServiceException var12) {
                    this.prepareException(var12, authentication);
                    throw var12;
                } catch (AuthenticationException var13) {
                    lastException = var13;
                }
            }
        }

        。。。。。。。。
    }
从while循环就可以明白原理了, 实际上是循环配置的 authentication-provider, 逐个验证,遇到验证通过的即终止break, 所以集成两个登录方式在这里就可以实现各自的验证了

天外非
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security 中定义多种登录方式,比如邮箱、手机验证登录
xxxzzzqqq_的博客
03-21 3631
自定义认证方式总体来说还是很简单的;需要从头重写的也就三个类,然后就是将其配置到Spring Security 中。如果需要再自定义手机号验证登录,按照上述流程再走一遍就行。其实也是 copy 一份,然后进行小幅度的修改即可。
Spring Security4 SSOForm两种认证配置
07-09
前一遍讲的是SSO的简单配置,项目中有时会用到SSO+LoginFrom 两种登录方式的情况, spring security同样可以实现,在之前SSO的基础上加入FORM_LOGIN_FILTER过滤器即可 ...
Spring Security实现多种登录方式
最新发布
eugene03的博客
08-12 506
依赖导入<parent></parent>1.自定义MyUsernamePasswordFilter/*** 10:30*/@Slf4j// 自定拦截路由} else {// 获取登录表单= null?= null?@Nullable@Nullable/*** 获取登录用户信息* @return*/try {throw new NullPointerException("获取不到登录信息");
(新)Spring Security如何实现登录认证(实战篇)
weixin_55772633的博客
06-15 2583
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
SpringSecurity自定义多重登录方式
头发茂密的假程序猿
12-27 5467
前后分离项目,SpringSecurity自定义多重登录方式,通过自定义AuthenticationProvider实现,同时自定义过滤器进行登录验证
SpringSecurity配置多种登录方式
qq_53318060的博客
10-13 4100
SpringSecurity配置多种登陆方式
SpringSecurity6.x 多种登录方式配置
qq_32681671的博客
11-29 1239
4. 配置SecurityConfiguration,把上边的两个 登录过滤器加到过滤器链中。在编写多种登录方式的时候,网上大多是5.x的,很多类都没了。以下是SpringSecurity6.x多种登录方式的写法。SpringSecurity6.x变了很多写法。2. 编写第二种登录方式-手机验证登录。3. 编写验证登录处理器。
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
OAM与springform方式SSO
03-17
Spring Form方式SSO主要依赖于Spring Security模块,通过实现Remember-Me服务来实现持久化的会话。用户首次登录后,系统会生成一个包含加密信息的cookie存储在客户端。再次访问时,系统会检查这个cookie,如果有效...
spring-boot集成spring-security的oauth2实现github登录网站的示例
08-28
Spring Boot 集成 Spring Security 的 OAuth2 实现 GitHub 登录网站的示例 本篇文章主要介绍了 Spring Boot 集成 Spring Security 的 OAuth2 实现 GitHub 登录网站的示例,非常具有实用价值,需要的朋友可以参考下...
SpringBoot + Spring Security多种登录方式:账号+微信网页授权登录
Java知音
04-02 5370
一、概述实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号、密码。二、准备工作要实现该功能,首先需要掌握Spring Security框架和微信扫码登录接口相关技术,如果对这两块还不太熟悉,可以参考:1、Springboot + Spring Security实现前后端分离登录认证及权...
spring security 4 多点登录
01-23
最近看了spring security 4的开发文档,登录权限拦截封装的相当好!!! 附件为简单的多点登录demo,给开发前后台的朋友们做参考,其中authentication-provider为框架自带的user-service,后续会在整个自定义user-service和AccessDecisionManager、SecurityMetadataSource的demo。 demo放在web服务器根目录(不带项目名)。 后台登录路径为http://localhost:8080/loginAdmin.html 后台登录后首页为http://localhost:8080/admin/home.html 账号密码为 admin:123456 前台登录路劲为http://localhost:8080/loginUser.html 后台登录后首页为http://localhost:8080/user/home.html 账号密码为 user:123456 希望对大家有帮助。
Spring Security 3多用户登录实现一
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1722261
spring security + spring oauth2 +spring mvc SSO单点登录需要的最小jar包集合
06-14
实现功能需要的最小jar集合,其中lib文件夹是导出的jar,maven pom文件夹是maven组织的pom.xml文件。二选一。
spring+springMvc简单实现SSO单点登录
03-02
利用springMvc 实现的简单的单点登录Demo,内含三个小Mavn项目分别是 1、认证中心SSOServer 2、子系统1SSOClient1 3、子系统2SSOClient2 文章请参考 http://blog.csdn.net/qq_31183297/article/details/79419222
基于oauth2+security实现的SSO单点登录案例
10-14
基于spring security oauth2 实现的SSO单点登录案例,本案例非常完整,值得用于参考学习spring+security+oauth2
认证流程分析及多方式登录认证实践
07-21 586
认证流程分析及多方式登录认证实践
【工作记录】基于springboot3+springsecurity6实现多种登录方式(一)
泽济天下的专栏
01-17 3220
本文针对基于springboot3和springsecurity实现用户登录认证访问以及异常处理做个记录总结,也希望能帮助到需要的朋友。
spring security4 之 SSO
07-09 2389
Spring security 集成单独登录常见的CAS,  这在后面的博客中再写,这里记录一下简单的单点登录的Client处理 这里我们要用到PRE_AUTH_FILTER这个过滤器,扩展AbstractPreAuthenticatedProcessingFilter实现自己的登录验证; 验证管理器要用到 PreAuthenticatedAuthenticationProvider 上配置
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值