SpringSecurity自定义登录认证

已于 2022-08-23 14:54:49 修改
阅读量3.9k 收藏 7
点赞数 1
分类专栏: # Spring全家桶 文章标签: java spring 前端
于 2019-02-19 15:02:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengsheng5210/article/details/87161082
版权

需求

Spring Security默认的登录表单只有username和password,但实际业务中我们可能需要使用其他的字段校验,因此需要重写认证部分。

web.xml

<!-- 配置SpringSecurity过滤器 -->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

security.xml

spring security的配置,需要web.xml扫描

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 以下页面不被拦截 -->
    <http pattern="/login/**"  security="none"></http>
    <http pattern="/static/**" security="none"></http>

    <!-- 页面拦截规则 -->
    <http use-expressions="false">
        <intercept-url pattern="/**" access="ROLE_USER" />

        <form-login login-page="/login/login.jsp" 
                    authentication-failure-url="/login/login.jsp?error=true"
                    login-processing-url="/login.do"
                    default-target-url="/index.jsp"
                    authentication-details-source-ref="authenticationDetailsSource"
                    />
        <logout logout-url="/logout.do" logout-success-url="/login/login.jsp"/>
        <csrf disabled="true"/>
        <headers>
            <frame-options policy="SAMEORIGIN"/>
        </headers>
    </http>

    <!-- 认证管理器 -->
    <authentication-manager>
         <!---使用自定义的认证管理器->
        <authentication-provider ref="authenticationProvider" ></authentication-provider>
    </authentication-manager>
   <!---自定义认证管理器->
    <beans:bean id="authenticationProvider" class="com.controller.login.LoginAuthenticationProvider"></beans:bean>
    <beans:bean id="authenticationDetailsSource" class="com.controller.login.LoginAuthenticationDetailsSource"></beans:bean>

</beans:beans>

自定义类

LoginAuthenticationDetailsSource
public class LoginAuthenticationDetailsSource implements AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> {

    @Override
    public WebAuthenticationDetails buildDetails(HttpServletRequest context) {
        //DetailSource返回自定义的认证对象 
        return new LoginWebAuthenticationDetails(context);
    }
}
LoginWebAuthenticationDetails

这个类用于收集表单提交的参数

public class LoginWebAuthenticationDetails extends WebAuthenticationDetails{
    
    private static final long serialVersionUID = 336993541165304236L;
    
    private String serverRandomId;
    private String encryptedClientRandom;
    private String encryptedInputValue;
    private String username;
    private String password;

    public LoginWebAuthenticationDetails(HttpServletRequest request) {
        super(request);
        serverRandomId = request.getParameter("serverRandomId");
        encryptedClientRandom = request.getParameter("encryptedClientRandom");
        encryptedInputValue = request.getParameter("encryptedInputValue");
        username = request.getParameter("username");
        password = request.getParameter("password");
    }

    public String getServerRandomId() {
        return serverRandomId;
    }

    public String getEncryptedClientRandom() {
        return encryptedClientRandom;
    }

    public String getEncryptedInputValue() {
        return encryptedInputValue;
    }

    public String getUsername() {
        return username;
    }

    public String getPassword() {
        return password;
    }

}
LoginAuthenticationProvider

这个类用于登录认证逻辑的判断

public class LoginAuthenticationProvider implements AuthenticationProvider{
    
    @Autowired
    private GlobalPermissionService globalPermissionService;
    @Autowired
    private ISysAccountService sysAccountService;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
       // 这里通过我们自定义的对象,取出收集的表单参数进行逻辑验证
        LoginWebAuthenticationDetails details = (LoginWebAuthenticationDetails) authentication.getDetails();
        String encryptedClientRandom = details.getEncryptedClientRandom();
        String username = details.getUsername();
       // 这里是验证逻辑
        if (验证失败) {
            throw new DisabledException("用户名或者密码不正确!");
        } 
        // 授权
        List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
        grantedAuths.add(new SimpleGrantedAuthority("ROLE_USER"));
        List<GrantedAuthority> list = globalPermissionService.getUserGrantedAuthority(username);
        grantedAuths.addAll(list);
        // 验证成功 返回这个对象
        return new UsernamePasswordAuthenticationToken(username, "", grantedAuths);
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }

}

登录页面

<form action="${pageContext.request.contextPath}/login.do" id="loginForm" method="post">
       <table class="table" id="LoginBox">
            <tr>
               <td id="logo"></td>
            </tr>
            <tr style="height:80px;">
               <td style="vertical-align: bottom;text-align:left;"><span class="loginText">用户名</span></td>
            </tr>
            <tr>
               <td><input type="text" class="form-control inputSize" name="username" id="username"></td>
            </tr>
            <tr style="height:40px;">
               <td style="text-align:left;"><span class="loginText">密码</span></td>
            </tr>
            <tr>
                <td>
                    <input type="password" class="form-control inputSize" name="password" id="password" onKeyDown="keydownEvent()">
                </td>
            </tr>
             <tr>
                <td>
                    <span style="color:red;margin-left: 25px;">${SPRING_SECURITY_LAST_EXCEPTION.message}</span>
                </td>
            </tr>
            <tr>
               <td>
                 <input type="button" class="btn btn-self-blue" value="登录" id="LoginBtn"/>
               </td>
            </tr>
          
       </table>
    </form>

登录页面注意:
如果验证失败,我们还跳转到登陆页面,同时Spring Security会在session中存储错误信息,错误信息的获取使用 ${SPRING_SECURITY_LAST_EXCEPTION.message}

不见长安见晨雾
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot +spring security自定义认证器实现验证码功能
weixin_40991408的博客
05-22 851
Springboot +spring security自定义认证器实现验证码功能
使用SpringSecurity定义的登录认证
懒虫翻身的博客
09-29 1166
太久没有发过博客,总结一波SpringSecurity登录认证,记录每次的学习体验。。。。。。。。。。 实现WebSecurityConfigurerAdapter 配置安全框架 //@EnableWebSecurityJavaConfig 配置类到 IoC 容器 @EnableWebSecurity // 启用方法级别的权限认证@EnableGlobalMethodSecurity(prePostEnabled = true) public class SpringSecu...
springSecurity2的自定义账号密码认证流程+多个参数的自定义流程
m0_56356631的博客
04-24 3815
本文包含了,两个参数的登录校验+多个参数的登录校验
SpringSecurity自定义密码验证规则
qq_40068304的博客
01-26 5263
1.创建MyAuthenticationProvider类,自定义密码验证规则 import com.yl.entity.User; import com.yl.security.AccountUser; import com.yl.service.UserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.A
Spring secrity 自定义密码验证(结合JWT)
TiankkTT的博客
07-24 1031
众所周知,在Springsecrity中,密码验证由框架进行,但在实际项目开发中,交给secrity原生处理就显得有点局限了。而我们要做的自定义登录,就要去重写一些内容了。首先,继承UsernamePasswordAuthenticationFilter去重写下方方法,获取自定义登录接口的相关信息,再对用户名和密码处理。之后,spring会通过你设置的密码加密方式以及loadUserByUsername方法中的逻辑进行验证,再之后的验证成功与否会有不同的处理。...
Spring Security 自定义登录认证
Markix的博客
10-28 1029
Spring Security 自定义登录认证(扩展多种方式)
Spring Secuirty 密码加密认证讲解
weixin_52834606的博客
08-27 3337
spring Securiy 密码加密 深度讲解
SpringSecurity 自定义认证逻辑
qq_34136709的博客
05-08 528
SpringSecurity 自定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的...
Spring Security自定义登录原理及实现详解
09-07
- `successHandler`和`failureHandler`: 自定义认证成功和失败的处理器。 - `permitAll`: 控制form登录是否允许所有请求。 5. **自定义登录实现** 通过`FormLoginConfigurer`,我们可以设置登录页面、处理URL、...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity自定义认证
张氏小毛驴的博客
08-11 4810
​ 学习了SpringSecurity的使用,以及跟着源码分析了一遍认证流程,掌握了这个登录认证流程,才能更方便我们做自定义操作。​ 下面我们来学习下怎么实现多种登录方式,比如新增加一种邮箱验证登录的形式,但SpringSecurity默认的Usernamepassword方式不影响。自定义一个邮箱验证码的认证,将邮箱号码作为key,验证码作为value存放到Redis中缓存。首先回顾下之前源码分析的认证流程,如下图:首先前端是填写邮箱,点击获取验证码输入获取到的验证码,点击登录按钮,发送登录接口(/em
Spring Security自定义验证登录
大后生大大大的博客
11-19 2098
验证登录
SpringSecurity 用户名和密码的校验过程及自定义密码验证
热门推荐
z69183787的专栏
02-06 1万+
1、源码执行过程 1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken) 2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken) 3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证 4.AuthenticationProvider认证提供
spring-security实现自定义加密方式登陆
最新发布
always_mountain_top的博客
06-19 677
无加密验证spring-security用于快捷免密登陆
spring security自定义密码校验
maosjz的专栏
04-23 5678
系统需要一个全局超级密码自定义校验一个固定密码。 ......... @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { ......... @Be...
springsecurity自定义权限认证
05-25
Spring Security提供了很多默认的权限认证方式,但是我们也可以自定义权限认证方式。下面是一个简单的示例: 首先,我们需要实现一个自定义的UserDetailsService,该接口用于从数据库或其他数据源中获取用户信息。该接口中有一个方法loadUserByUsername,用于根据用户名获取用户信息。 ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if(user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList<>()); } } ``` 然后,我们需要创建一个自定义的AuthenticationProvider,该类实现了Spring Security提供的AuthenticationProvider接口,用于自定义认证逻辑。在该类中,我们需要重写authenticate方法,该方法接收一个Authentication对象,该对象包含了用户输入的用户名和密码。我们可以通过该对象获取用户输入的用户名和密码,然后根据我们的认证逻辑进行认证,最后返回一个Authentication对象,该对象包含了认证后的用户信息。 ```java @Component public class CustomAuthenticationProvider implements AuthenticationProvider { @Autowired private CustomUserDetailsService userDetailsService; @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String username = authentication.getName(); String password = authentication.getCredentials().toString(); UserDetails userDetails = userDetailsService.loadUserByUsername(username); if(password.equals(userDetails.getPassword())) { return new UsernamePasswordAuthenticationToken(username, password, userDetails.getAuthorities()); } else { throw new BadCredentialsException("Invalid username/password"); } } @Override public boolean supports(Class<?> authentication) { return authentication.equals(UsernamePasswordAuthenticationToken.class); } } ``` 最后,我们需要在Security配置类中使用我们的自定义认证方式。我们可以通过重写configure(AuthenticationManagerBuilder auth)方法来配置我们的认证方式。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthenticationProvider authProvider; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(authProvider); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic(); } } ``` 以上就是一个简单的Spring Security自定义权限认证的示例。通过自定义UserDetailsService和AuthenticationProvider,我们可以实现自己的认证逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值