Spring Security多种登录方式

最新推荐文章于 2025-04-14 15:55:13 发布
最新推荐文章于 2025-04-14 15:55:13 发布
阅读量5.3k 收藏 38
点赞数 4
分类专栏: Spring 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dnf9906/article/details/113571941
版权

目录

不用过滤器(使用json传参方式登录)

SecurityConfig配置

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * spring security配置
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /** 认证失败 处理类 */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;
    /** 退出 处理类 */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;
    /** jwt token认证过滤器 */
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    /** 手机验证码 认证器 */
    @Autowired
    private CaptchaAuthenticationProvider captchaAuthenticationProvider;
    /** 账号密码 认证器*/
    @Autowired
    private UserNameAuthenticationProvider userNameAuthenticationProvider;

    /**
     * 认证管理 AuthenticationManager
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.csrf().disable()
                .cors()
                .and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler)
                .and()
                // 过滤请求
                .authorizeRequests()
                // 允许匿名访问
                .antMatchers(antMatchersAnonymous()).anonymous()
                .antMatchers(HttpMethod.GET, antMatchersPermitAll()).permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();

        // 退出处理
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter(必须配置与UsernamePasswordAuthenticationFilter之前)
        httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }

    // 允许匿名访问url
    private String[] antMatchersAnonymous() {
        return new String[]{"/login"  };
    }

    // 不需要任何限制url(静态资源)
    private String[] antMatchersPermitAll() {
        return new String[]{"/*.html"};
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 添加认证器
        // 新增短信验证码验证
        auth.authenticationProvider(captchaAuthenticationProvider);
        // 账号密码登录验证
        auth.authenticationProvider(userNameAuthenticationProvider);
    }

    /**
     * 密码加密规则 强散列哈希加密实现(密码加密算法)
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

账号密码

UserNameAuthenticationProvider 账号密码认证器

import java.util.Collections;
import java.util.Objects;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

/**
 * 用户名密码认证器
 */
@Slf4j
@Component
public class UserNameAuthenticationProvider implements AuthenticationProvider {
	/** 进行账号认证实现 */
    @Autowired
    private UserDetailsService userDetailsService;
    /** 密码加密规则 */
    @Autowired
    private PasswordEncoder bCryptPasswordEncoder;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        long time = System.currentTimeMillis();
        log.info("用户名/密码 开始登录验证 time:{}", time);
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        // 1、去调用自己实现的UserDetailsService,返回UserDetails
        UserDetails userDetails = userDetailsService.loadUserByUsername(username);
        // 2、密码进行检查,这里调用了PasswordEncoder,检查 UserDetails 是否可用。
        if (Objects.isNull(userDetails) || !bCryptPasswordEncoder.matches(password, userDetails.getPassword())) {
            throw new BadCredentialsException("账号或密码错误");
        }
        // 3、返回经过认证的Authentication
        UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(userDetails, null, Collections.emptyList());
        result.setDetails(authentication.getDetails());
        log.info("用户名/密码 登录验证完成 time:{}, existTime:{}", time, (System.currentTimeMillis() - time));
        return result;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        boolean res = UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
        log.info("用户名/密码 是否进行登录验证 res:{}", res);
        return res;
    }
}

手机号验证码

CaptchaAuthenticationToken 短信验证码认证凭证

import java.util.Collection;
import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.SpringSecurityCoreVersion;

/**
 * 短信验证码认证凭证
 */
public class CaptchaAuthenticationToken extends AbstractAuthenticationToken {

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    private final Object principal; // 手机号
    private String captcha;         // 验证码

    /**
     * 此构造函数用来初始化未授信凭据.
     *
     * @param principal
     * @param captcha
     */
    public CaptchaAuthenticationToken(Object principal, String captcha) {
        super(null);
        this.principal = principal;
        this.captcha = captcha;
        setAuthenticated(false);
    }

    /**
     * 此构造函数用来初始化授信凭据.
     *
     * @param principal
     * @param captcha
     * @param authorities
     */
    public CaptchaAuthenticationToken(Object principal, String captcha, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.captcha = captcha;
        super.setAuthenticated(true);
    }

    public Object getCredentials() {
        return this.captcha;
    }

    public Object getPrincipal() {
        return this.principal;
    }

    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException(
                    "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        }
        super.setAuthenticated(false);
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
        captcha = null;
    }
}

CaptchaAuthenticationProvider 短信验证码认证器

import java.util.Collections;
import java.util.Objects;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.stereotype.Component;

/**
 * 短信验证码认证器
 */
@Slf4j
@Component
public class CaptchaAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private UserDetailsService userDetailsService;
    /** 验证码验证服务 */
    @Autowired
    private ICaptchaService captchaService;

    /**
     * 进行验证码认证
     *
     * @param authentication
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        long time = System.currentTimeMillis();
        log.info("手机验证码 开始登录验证 time:{}", time);

        String phone = authentication.getName();
        String rawCode = authentication.getCredentials().toString();
        // 1. 手机验证码验证
        captchaService.validate("admin:account:login:key:", phone, rawCode);
        // 1.根据手机号获取用户信息
        UserDetails userDetails = userDetailsService.loadUserByUsername(phone);
        if (Objects.isNull(userDetails)) {
            throw new BadCredentialsException("当前手机号不存在");
        }
        // 3、返回经过认证的Authentication
        CaptchaAuthenticationToken result = new CaptchaAuthenticationToken(userDetails, null, Collections.emptyList());
        result.setDetails(authentication.getDetails());
        log.info("手机验证码 登录验证完成 time:{}, existTime:{}", time, (System.currentTimeMillis() - time));
        return result;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        boolean res = CaptchaAuthenticationToken.class.isAssignableFrom(authentication);
        log.info("手机验证码 是否进行登录验证 res:{}", res);
        return res;
    }
}

ICaptchaService

/**
 * 验证码
 */
public interface ICaptchaService {

    /**
     * 缓存验证码
     *
     * @param key 缓存前缀key
     * @param phone
     * @param code
     */
    public void setCaptcha(String key, String phone, String code);

    /**
     * 验证验证码
     *
     * @param key 缓存前缀key
     * @param phone
     * @param code 
     * CustomException 自定义异常
     */
    public boolean validate(String key, String phone, String code) throws CustomException;

}

CaptchaServiceImpl 实现类

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

/**
 * 验证码
 */
@Component
public class CaptchaServiceImpl implements ICaptchaService {

    @Autowired
    private RedisUtil redisUtil;

    @Override
    public void setCaptcha(String key, String phone, String code) {
        // 有效期5分钟
        redisUtil.set(key + phone, code, 300);
    }

    @Override
    public boolean validate(String key, String phone, String code) throws CustomException {
        if (StrUtils.isBlank(phone) || StrUtils.isBlank(code)) {
            throw new CustomException("验证验证码参数为空", 300);
        }
        // 获取缓存数据
        Object v = redisUtil.get(key + phone);
        if (null == v) {
            throw new CustomException("验证码过期,请重新获取", 300);
        }
        // 验证是否正确
        if (!code.equalsIgnoreCase(String.valueOf(v))) {
            throw new CustomException("验证码错误", 300);
        }
        // 验证通过 清除缓存
        redisUtil.delete(key + phone);
        return true;
    }
}

使用

下面为简版登录 具体写法以公司为准

@Slf4j
@RestController
public class LoginController {
    /**
     * 用户名密码 登录 
     * LoginBody 实体字段 (username)用户名, (password)用户密码/验证码, (type)登录类型 1-密码登录, 2-短信验证码登录 默认1
     */
    @PostMapping("/login")
    public Boolean login(@RequestBody LoginBody loginBody) {
        loginService.login(loginBody.getUsername(), loginBody.getPassword(), loginBody.getType());
        return true;
    }
}

LoginService

import javax.annotation.Resource;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Component;

/**
 * 登录校验方法
 *
 */
@Slf4j
@Component
public class SysLoginService {

    @Resource
    private AuthenticationManager authenticationManager;


    /**
     * 登录验证
     *
     * @param username 用户名
     * @param password 密码
     * @param type     登录类型 1-密码登录, 2-短信验证码登录 默认1
     * @return 结果
     */
    public String login(String username, String password, Integer type) {
        // 用户验证
        Authentication authentication = null;
        try {
            if (null == type || type == 1) {
                // 密码登录
                authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
            } else {
                // 短信验证码登录
                authentication = authenticationManager.authenticate(new CaptchaAuthenticationToken(username, password));
            }
        } catch (Exception e) {
            log.error("登录验证异常", e);
            // 登录异常 自己处理业务逻辑
        }
        return null;
    }
}

使用过滤器实现(使用form表单传参方式登录)

推荐看这篇文章 https://www.felord.cn/captchaAuthenticationFilter.html

主要是自己实现过滤器 过滤器继承AbstractAuthenticationProcessingFilter

Spring Security实现多种登录方式
eugene03的博客
08-12 1514
依赖导入<parent></parent>1.自定义MyUsernamePasswordFilter/*** 10:30*/@Slf4j// 自定拦截路由} else {// 获取登录表单= null?= null?@Nullable@Nullable/*** 获取登录用户信息* @return*/try {throw new NullPointerException("获取不到登录信息");
SpringSecurity6.x 多种登录方式配置
qq_32681671的博客
11-29 2368
4. 配置SecurityConfiguration,把上边的两个 登录过滤器加到过滤器链中。在编写多种登录方式的时候,网上大多是5.x的,很多类都没了。以下是SpringSecurity6.x多种登录方式的写法。SpringSecurity6.x变了很多写法。2. 编写第二种登录方式-手机验证码登录。3. 编写验证码登录处理器。
SpringSecurity基于内存的多个登录用户支持
pan_junbiao的博客
11-22 1150
Spring Security 支持各种来源的用户数据,包括内存、数据库、LDAP 等,它们被抽象为一个 UserDetailsService 接口,任何实现了 UserDetailsService 接口的对象都可以作为认证数据源。在这种设计模式下,Spring Security 显得尤为灵活。通过覆盖 configure(AuthenticationManagerBuilder auth) 方法,并使用 inMemoryAuthentication() 方法来配置基于内存的用户存储。
spring security+jwt实现登录认证
最新发布
2302_77124303的博客
04-14 754
setExpiration(new Date(System.currentTimeMillis() + expiration)) // 过期时间。res.getWriter().write("{\"code\":403, \"msg\":\"权限不足\"}");res.getWriter().write("{\"code\":401, \"msg\":\"未认证\"}");.setIssuedAt(new Date(System.currentTimeMillis())) // 签发时间。
SpringSecurity配置多种登录方式
qq_53318060的博客
10-13 4255
SpringSecurity配置多种登陆方式
SpringBoot + Spring Security多种登录方式:账号+微信网页授权登录
程序员闪充宝
04-05 3683
大家好,我是宝哥!一、概述实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号、密码。二、准备工作要实现该功能,首先需要掌握Spring Security框架和微信扫码登录接口相关技术,如果对这两块还不太熟悉,可以参考:1、Springboot + Spring Security实现前后...
Spring Security 中定义多种登录方式,比如邮箱、手机验证码登录
xxxzzzqqq_的博客
03-21 4062
自定义认证方式总体来说还是很简单的;需要从头重写的也就三个类,然后就是将其配置到Spring Security 中。如果需要再自定义手机号验证码登录,按照上述流程再走一遍就行。其实也是 copy 一份,然后进行小幅度的修改即可。
Spring Security 认证流程分析及多方式登录认证实践
07-22 1198
在项目开发过程中,会涉及到安全框架的配置。其中常用的就是shiro和, 在本文中将介绍的工作流程和实践应用,并基于此总结其使用心得和项目配置关键。本文主要介绍了登录相关的核心配置,以及验证码方式登录的实践,作为系统开发中常用的权限认证框架,在此基础上拓展了项目的多种登录方式,即手机验证码和邮箱验证码的方式,同时也介绍了前后端分离与不分离情况下的差异。本文总结了常用的使用方式,可以很好的为后续开发提供借鉴。所涉及的代码已经上传至gitee项目gitee地址。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity以及OAuth2源码分析——实现多登录方式
a602389093的博客
07-25 1897
版权声明:本文为博主ExcelMann的原创文章,未经博主允许不得转载。 作者:ExcelMann,转载需注明。 SpringSecurity的Oauth2源码分析 我们先来看下通过Oauth2获取token的源码流程: 一、获取token的接口是/oauth/token,在TokenEndpoint类中 public class TokenEndpoint extends AbstractEndpoint { @RequestMapping(value = "/oauth/token", meth
spring-security登录页面配置
09-17
spring-security登录页面配置,包括前台和后台分开登录界面,注销登录返回不同的界面等。
Spring Security 3多用户登录实现一
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1722261
spring security 4 多点登录
01-23
最近看了spring security 4的开发文档,登录权限拦截封装的相当好!!! 附件为简单的多点登录demo,给开发前后台的朋友们做参考,其中authentication-provider为框架自带的user-service,后续会在整个自定义user-service和AccessDecisionManager、SecurityMetadataSource的demo。 demo放在web服务器根目录(不带项目名)。 后台登录路径为http://localhost:8080/loginAdmin.html 后台登录后首页为http://localhost:8080/admin/home.html 账号密码为 admin:123456 前台登录路劲为http://localhost:8080/loginUser.html 后台登录后首页为http://localhost:8080/user/home.html 账号密码为 user:123456 希望对大家有帮助。
SpringSecurity自定义多重登录方式
头发茂密的假程序猿
12-27 6558
前后分离项目,SpringSecurity自定义多重登录方式,通过自定义AuthenticationProvider实现,同时自定义过滤器进行登录验证
Springboot + Spring Security多种登录方式:账号用户名登录+微信网页授权登录
热门推荐
xue317378914的专栏
03-31 1万+
概述 实现账号用户名+微信网页授权登录集成在Spring Security的思路 实现前后端分离登录认证及权限控制 实现微信登录 实现账号用户名+微信网页授权登录集成在Spring Security
SpringSecurity+OAUTH2集成多种登录方式
无望丶
04-11 3915
Authorization Code(授权码模式):授权码模式, 通过授权码获取token进行资源访问。Implicit(简化模式):用于移动应用程序或 Web 应用程序,这种模式比授权码模式少了code环节,回调url直接附带token。Resource Owner Password Credentials(密码模式):资源所有者和客户端之间具有高度信任时(例如,客户端是设备的操作系统的一部分,或者是一个高度特权应用程序, 比如APP, 自研终端等),因为client可能存储用户密码。
【工作记录】基于springboot3+springsecurity6实现多种登录方式(一)
泽济天下的专栏
01-17 4645
本文针对基于springboot3和springsecurity实现用户登录认证访问以及异常处理做个记录总结,也希望能帮助到需要的朋友。
Spring Boot Security 多种登录方式集成配置思路及方法 账号用户名登录+微信网页授权登录
醉陌浮生,乱谜浊
02-17 1万+
概述 实现账号用户名+微信网页授权登录集成在Spring Security的思路 前情提要 本思路完全抛弃Spring Security的配置式账号密码登录模式,采用完全独立的Filter、Provider、Details Service、Handler来分别配置方式。避免奇奇怪怪的坑爹问题发生。 PS:本文仅提供实现思路和配置方式,具体实现代码请自行处理,谢谢。 ————————————————...
springsecurity多种登录方式
09-19
Spring Security提供了多种登录方式,包括: 1. 基于表单的登录:用户通过输入用户名和密码进行登录。 2. 基于HTTP Basic认证的登录:用户通过在请求头中加入Authorization字段,携带Base64编码后的用户名和密码...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值