spring Security4 和 oauth2整合 注解+xml混合使用(验证码等额外数据验证)

最新推荐文章于 2022-06-06 19:50:01 发布
最新推荐文章于 2022-06-06 19:50:01 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: spring oauth2 文章标签: spring spring security oauth 验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feiyangtianyao/article/details/78728147
版权

spring Security4 和 oauth2整合(验证码等额外数据验证)

上一篇写的自定义用户名密码验证,这里写验证码的验证,或者其他信息的验证。

git地址:https://gitee.com/ffch/OauthUmp

spring Security4 和 oauth2整合 注解+xml混合使用(基础运行篇)
spring Security4 和 oauth2整合 注解+xml混合使用(进阶篇)
spring Security4 和 oauth2整合 注解+xml混合使用(授权码篇)
spring Security4 和 oauth2整合 注解+xml混合使用(注意事项篇)
spring Security4 和 oauth2整合 注解+xml混合使用(替换6位的授权码)
spring Security4 和 oauth2整合 注解+xml混合使用(替换用户名密码认证)
spring Security4 和 oauth2整合 注解+xml混合使用(验证码等额外数据验证)

验证码等额外数据获取逻辑

新增OauthAddUserDetails继承WebAuthenticationDetails,这里从request里拿到额外的参数。对比验证码,我们需要有一个接口去更新验证码,更新完放到session里,只有这个地方可以拿到request,所以我就在这里把session里的验证码也拿出来。

package com.ump.oauth.detail;

import java.util.Collection;

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.WebAuthenticationDetails;

import com.ump.domain.AppUser;

public class OauthAddUserDetails extends WebAuthenticationDetails{
	 /**
     * 
     */
    private static final long serialVersionUID = 6975601077710753878L;
    private final String token;
    private final String sessionToken;

    public OauthAddUserDetails(HttpServletRequest request) {
        super(request);
        token = request.getParameter("imgtoken");
        sessionToken = (String) request.getSession().getAttribute("imgtoken");
    }

    public String getToken() {
        return token;
    }

    public String getSessionToken() {
		return sessionToken;
	}

	@Override
    public String toString() {
        StringBuilder sb = new StringBuilder();
        sb.append(super.toString()).append("; Token: ").append(this.getToken());
        return sb.toString();
    }

}

增加AuthenticationDetailsSource

AuthenticationDetailsSource是需要配置在spring security里的WebSecurityConfigurerAdapter子类里。

package com.ump.oauth.part;

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.authentication.AuthenticationDetailsSource;
import org.springframework.security.web.authentication.WebAuthenticationDetails;
import org.springframework.stereotype.Component;

import com.ump.oauth.detail.OauthAddUserDetails;

@Component("oauthAuthenticationDetailsSource")
public class OauthAuthenticationDetailsSource implements AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> {

    @Override
    public WebAuthenticationDetails buildDetails(HttpServletRequest context) {
        return new OauthAddUserDetails(context);
    }


}

AuthenticationProvider的认证逻辑增加验证码处理

对比验证码,这里我们做验证码的对比工作。部分代码是上一篇讲到的,按照自己逻辑删减即可。

package com.ump.oauth.part;

import java.util.Collection;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Component;

import com.ump.oauth.detail.OauthAddUserDetails;
import com.ump.oauth.detail.OauthUserDetails;

@Component
public class OauthAuthenticationProvider implements AuthenticationProvider {
	@Autowired
	private OauthUserDetailsService oauthUserDetailsService;

	/**
	 * 自定义验证方式
	 */
	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		//验证码等校验
		OauthAddUserDetails details = (OauthAddUserDetails) authentication.getDetails();

		System.out.println(details.getToken() + "+++++++++++++++++" + details.getSessionToken());
		if (!details.getToken().equalsIgnoreCase(details.getSessionToken())) {
			throw new BadCredentialsException("验证码错误。");
		}
		
		//用户名密码校验
		OauthUserDetails oauthUserDetails = (OauthUserDetails) oauthUserDetailsService
				.loadUserByUsername(authentication.getName());
		System.out.println(authentication.getName() + "+++++++++++++++++" + authentication.getCredentials());
		if (!oauthUserDetails.getUserName().equals(authentication.getName())
				|| !oauthUserDetails.getPassword().equals(authentication.getCredentials())) {
			throw new BadCredentialsException("用户名或密码错误。");
		}
		Collection<? extends GrantedAuthority> authorities = oauthUserDetails.getAuthorities();
		return new UsernamePasswordAuthenticationToken(oauthUserDetails.getUsername(), oauthUserDetails.getPassword(),
				authorities);
	}

	@Override
	public boolean supports(Class<?> arg0) {
		return true;
	}
}

配置authenticationDetailsSource

只需要一个autowired和HttpSecurity一个.authenticationDetailsSource(authenticationDetailsSource)即可。我这里代码多,删减即可。

package com.ump.oauth.config;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationDetailsSource;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.oauth2.provider.ClientDetailsService;
import org.springframework.security.oauth2.provider.approval.ApprovalStore;
import org.springframework.security.oauth2.provider.approval.TokenApprovalStore;
import org.springframework.security.oauth2.provider.approval.TokenStoreUserApprovalHandler;
import org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint;
import org.springframework.security.oauth2.provider.request.DefaultOAuth2RequestFactory;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.authentication.WebAuthenticationDetails;

import com.ump.oauth.part.OauthAuthenticationProvider;

@Configuration
@EnableWebSecurity
public class OAuth2SecurityConfiguration extends WebSecurityConfigurerAdapter {

	@Autowired
	@Qualifier("myClientDetailsService")
	private ClientDetailsService clientDetailsService;

	@Autowired
    private OauthAuthenticationProvider oauthAuthenticationProvider; 
	
	@Autowired
	@Qualifier("oauthAuthenticationDetailsSource")
	private AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> authenticationDetailsSource;

	@Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(oauthAuthenticationProvider);
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
    	SimpleUrlAuthenticationFailureHandler hander = new SimpleUrlAuthenticationFailureHandler();
    	hander.setUseForward(true);
    	hander.setDefaultFailureUrl("/authlogin.jsp");
    	
		http
		.csrf().disable()
	  	.authorizeRequests()
	  	.antMatchers("/oauth/token")
	  	.permitAll().and()
	  	.formLogin().loginPage("/authlogin.jsp")
	  	.usernameParameter("userName").passwordParameter("userPwd")
	  	.authenticationDetailsSource(authenticationDetailsSource)
//	  	.loginProcessingUrl("/login").failureUrl("/index1.jsp")
	  	.loginProcessingUrl("/login").failureHandler(hander)
	  	.and().logout().logoutUrl("/logout");
		http.authorizeRequests().antMatchers("/user/**").authenticated();
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

	@Bean
	@Autowired
	public TokenStoreUserApprovalHandler userApprovalHandler(TokenStore tokenStore){
		TokenStoreUserApprovalHandler handler = new TokenStoreUserApprovalHandler();
		handler.setTokenStore(tokenStore);
		handler.setRequestFactory(new DefaultOAuth2RequestFactory(clientDetailsService));
		handler.setClientDetailsService(clientDetailsService);
		return handler;
	}
	
	@Bean
	@Autowired
	public ApprovalStore approvalStore(TokenStore tokenStore) throws Exception {
		TokenApprovalStore store = new TokenApprovalStore();
		store.setTokenStore(tokenStore);
		return store;
	}
	
}

这样就可以了,需要其他信息验证,我们就从request里面拿东西就是了。

逍遥天扬
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
一篇文章带你搞定 SpringSecurityOAuth2 的结合使用
南淮北安的博客
10-02 3188
前面我们已经学习了 OAuth 具体的知识:OAuth 学习 ,所以本篇文章我们具体学下 OAuth2 和 SpringSecurity 的结合使用 本篇主要针对的是前后端分离,也就是 Oauth 的密码式登录 文章目录一、前期准备二、Config1. 首先定义授权服务器2. 资源服务器3. SecurityConfig三、测试1. 定义 Controller 一、前期准备 添加依赖: 添加 oauth2 依赖和 redis 依赖,由于 oauth2 依赖是在 security 基础上添加的,所以需要先
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (六)OAuth2经典场景~授权码模式
最新发布
06-25 1184
2024 最新 SpringSecurity OAuth2 授权码模式完成示例! JDK17spring-security-oauth2-authorization-server 1.3.0 以上spring-boot-starter-oauth2-client 3.3.0 以上Spring Boot 3.3.0 以上修改 C:\Windows\System32\drivers\etc\hosts文件。(如果授权服务器和客户端在不同的域名下,就不用修改了)
spring Security4 和 oauth2整合 注解+xml混合使用(替换用户名密码认证)
feiyangtianyao的专栏
12-06 2034
spring Security4 和 oauth2整合 (替换用户名密码认证)之前已经写了注解xml配合搭建基本认证、页面认证、授权码认证、替换6位授权码方法等,这次在前面的基础上介绍如何替换用户名密码认证,下一篇介绍如何增加验证码额外参数验证方法。 代码比较多,这次只贴出来部分,完整代码在 https://gitee.com/xiaoyaofeiyang/OauthUmp
基于spring4和spring security实现oauth2.0教程(注解
chuibian2204的博客
12-06 219
一、OAuth是什么? OAuth的英文全称是Open Authorization,它是一种开放授权协议。OAuth目前共有2个版本,2007年12月的1.0版(之后有一个修正版1.0a)和2010年4月的2.0版,1.0版本存在严重安全漏洞,而2.0版解决了该问题。 二、...
Spring Security认证与授权的原理(源码分析,超详细)
Zystem
05-03 7191
一、工作原理 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是所有进入系统的请求进行拦截,校验每一个请求是否能够访问它所期望的资源,可以通过Filter和AOP等技术来实现,Spring Security对web资源的保护是靠Filter来实现的。 当初始化Spring Security时,会创建一个名为SpringSecurityFilterChain的...
spring Security4 和 oauth2整合 注解+xml混合使用(授权码篇)
feiyangtianyao的专栏
12-01 3849
Spring Security4 和 oauth2整合授权码模式上两篇介绍了环境配置和用户密码模式,下面介绍授权码模式。
Spring Security整合Oauth2实现流程详解
09-07
通过以上步骤,我们可以实现Spring SecurityOAuth2的整合,为应用程序提供安全的用户认证和授权功能。理解这些概念和流程对于开发涉及用户身份验证和授权的应用至关重要。希望这篇文章能帮助你更好地理解和应用...
注解 spring boot +spring security + mybatis+druid+thymeleaf+mysql+bootstrap
12-20
标题的"全注解 spring boot +spring security + mybatis+druid+thymeleaf+mysql+bootstrap"是一个集成开发环境的配置,涉及到的主要技术有Spring Boot、Spring Security、MyBatis、Druid、Thymeleaf、MySQL以及...
spring-boot-oauth2-mybatis:Spring Boot 1.5 + OAuth2 + MyBatis 3
05-09
Spring Boot 1.5 + OAuth2 + MyBatis 3 深度解析》 在现代Web开发,安全性和可扩展性是至关重要的。本项目“spring-boot-oauth2-mybatis”结合了Spring Boot 1.5、OAuth2和MyBatis 3这三个强大的工具,构建了一...
SpringBoot2.6整合SpringSecurity+JWT
01-11
1. **添加依赖**:首先,在`pom.xml`文件引入Spring Security和JWT的相关依赖,如`spring-security-oauth2-jose`和`jjwt`库。 2. **配置Spring Security**:创建一个`SecurityConfig`类,继承`...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
4. **安全性配置Security Configuration)**:在Spring Boot,我们可以使用`@EnableWebSecurity`注解开启Spring Security,并通过配置类自定义安全行为。配置类可以定义哪些URL需要保护,哪些角色有权访问,以及...
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
主要介绍了Spring Security OAuth2集成短信验证码登录以及第三方登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
本篇文章主要介绍了Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
安全认证服务框架Spring SecuritySpring-Security.xml配置
u011918475的博客
10-28 563
Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。常用的权限框架除了Spring Security,还有Apache的shiro框架。 构建思路: 创建子模块health_security,使用webapp骨架 初始化模块资源 pom文件(依赖health_common、spring-webmvc、security-web、security-config、tomcat7(6080)) 初始化目录结构(java(
oauth 验证码登陆
xuanzeticai的专栏
10-09 782
oauth认证原理:本地存的不是用户密码,而是网站返回给的相当与该网站后门钥匙的密码 总结:httpclient 关于登陆时的验证码问题:其实就是网页的源码节点上多了验证码的信息 jericho-html-3.1.jar html的解析包 //访问的豆瓣是html网页 对html进行面向对象的封装.//Source是jar包的一个类 Source source = new Sou
Security整合OAuth2
Curtisjia的博客
02-15 694
先提一句 最新发现用idea创建springboot工程,他给的版本是2.2.4,如果你的maven用的是阿里云镜像的话,会报找不到!阿里云应该还没有同步这个版本,请降到2.2.2 添加工程依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xml...
最简单易懂的Spring Security 身份认证流程讲解
Firstlucky77的博客
06-06 889
最简单易懂的Spring Security 身份认证流程讲解导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确实非常繁琐,繁琐到让人生厌。讨厌也木有办法呀,作为JavaEE的工程师们还是要面对的,在开始之前,先打一下比方(比方好可怜):Spring Security 就像一个行政服务心,如果我们去里面办事,可以办啥事呢?可以小到咨询简单问题、查询社保信息,也可以户籍登记、补办身份证,同样也可以大到企业事项、各种复杂的资
spring security3 xml配置详细说明注释
daizi_xiao的专栏
07-02 2964
由于xiang
springsecurity6整合oauth2
01-12
Spring SecurityOAuth2的整合可以通过Spring Security OAuth2模块来实现。该模块提供了一系列的类和接口,用于实现OAuth2授权服务器和资源服务器。 首先,你需要在项目的依赖添加Spring Security OAuth2的相关依赖。例如,在Maven项目,你可以在pom.xml文件添加以下依赖: ```xml <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.4.1</version> </dependency> ``` 接下来,你需要配置OAuth2的授权服务器和资源服务器。你可以使用`@EnableAuthorizationServer`注解来启用授权服务器,使用`@EnableResourceServer`注解来启用资源服务器。在配置,你可以使用`@Configuration`注解来标记该类为配置类,并使用`@EnableWebSecurity`注解来启用Spring Security。 下面是一个示例配置类的代码: ```java @Configuration @EnableWebSecurity @EnableAuthorizationServer @EnableResourceServer public class OAuth2Config extends WebSecurityConfigurerAdapter { // 配置授权服务器和资源服务器的相关信息 // ... } ``` 在配置,你还需要实现`UserDetailsService`接口来加载用户信息。你可以根据自己的需求来实现该接口,并在`configure(AuthenticationManagerBuilder auth)`方法使用`userDetailsService()`方法来设置用户详情服务。 ```java @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()); } ``` 最后,你可以根据需要配置其他的安全规则和访问控制规则。例如,你可以使用`antMatchers()`方法来配置URL的访问权限。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/public/**").permitAll() .antMatchers("/private/**").authenticated(); } ``` 以上是一个简单的示例,你可以根据自己的需求进行更详细的配置
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值