【Spring Security】重写 UsernamePasswordAuthenticationFilter 支持登录校验 JSON 数据

已于 2024-05-24 14:50:47 修改
阅读量1k 收藏 30
点赞数 30
分类专栏: Springboot项目笔记 文章标签: spring json java
于 2024-05-24 14:50:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/healer_ai/article/details/139174768
版权

问题描述

  • 在 Spring Boot 项目中,UsernamePasswordAuthenticationFilter 通常用于处理登录验证,但默认情况下,它只支持key/value表单形式的参数校验,无法直接处理JSON格式的请求参数

  • 在 Spring Security 5.7 及更高版本中,WebSecurityConfigurerAdapter 已被弃用。取而代之的是配置类和 SecurityFilterChain Bean 的方式。

  • 由于我的项目是 Springboot3 版本,网上找一圈没重写生效,经过参考多方资料和不断重试,终于找到该方式成功实现重写。

解决方案

  1. 创建自定义的Filter
    首先,你需要创建一个自定义的Filter,继承自UsernamePasswordAuthenticationFilter,并覆盖其中的部分方法以支持JSON格式的请求参数校验。

  2. 重写attemptAuthentication方法
    在自定义的Filter中,重写attemptAuthentication方法,该方法用于从请求中获取JSON格式的数据,并进行相应的校验。

  3. 处理JSON数据
    attemptAuthentication方法中,你需要解析JSON格式的请求数据,提取出用户名和密码等必要信息。

  4. 校验逻辑
    在获取到用户输入的信息后,你可以编写相应的校验逻辑,例如验证用户名和密码的有效性。

  5. 配置Filter
    最后,将自定义的Filter配置到Spring Security中,以确保它会在登录验证时被正确调用。

示例代码

  1. 创建 CustomUsernamePasswordAuthenticationFilter Filter:
import com.fasterxml.jackson.databind.ObjectMapper;  
import jakarta.servlet.FilterChain;  
import jakarta.servlet.ServletException;  
import jakarta.servlet.http.HttpServletRequest;  
import jakarta.servlet.http.HttpServletResponse;  
import org.springframework.security.authentication.AuthenticationManager;  
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;  
import org.springframework.security.core.Authentication;  
import org.springframework.security.core.AuthenticationException;  
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;  
  
import java.io.IOException;  
import java.util.Map;  

/**
 *  按需拓展:
 *  1. code 验证码参数校验
 *  2. 同时支持 key/value 表单和 Json 格式
 *  3. ...
 */
public class CustomUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {  
  
    private final ObjectMapper objectMapper;  
  
    public CustomUsernamePasswordAuthenticationFilter(AuthenticationManager authenticationManager, ObjectMapper objectMapper) {  
        super.setAuthenticationManager(authenticationManager);  
        this.objectMapper = objectMapper;  
    }  
  
    @Override  
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {  
        if ("application/json".equals(request.getContentType())) {  
            try {  
                Map<String, String> loginData = objectMapper.readValue(request.getInputStream(), Map.class);  
                String username = loginData.get("username");  
                String password = loginData.get("password");  
                UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);  
                setDetails(request, authRequest);  
                return this.getAuthenticationManager().authenticate(authRequest);  
            } catch (IOException e) {  
                throw new RuntimeException(e);  
            }  
        }  
        return super.attemptAuthentication(request, response);  
    }  
}
  1. 配置 SecurityConfiguration 到自定义过滤器链
import com.fasterxml.jackson.databind.ObjectMapper;  
import org.springframework.context.annotation.Bean;  
import org.springframework.context.annotation.Configuration;  
import org.springframework.security.authentication.AuthenticationManager;  
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;  
import org.springframework.security.config.annotation.web.builders.HttpSecurity;  
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;  
import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;  
import org.springframework.security.web.SecurityFilterChain;  
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;  
  
@Configuration  
@EnableWebSecurity  
public class SecurityConfiguration {  
  
    private final ObjectMapper objectMapper;  
  
    public SecurityConfiguration(ObjectMapper objectMapper) {  
        this.objectMapper = objectMapper;  
    }  
  
    @Bean  
    public SecurityFilterChain securityFilterChain(HttpSecurity http, AuthenticationManager authenticationManager) throws Exception {  
        CustomUsernamePasswordAuthenticationFilter customFilter = new CustomUsernamePasswordAuthenticationFilter(authenticationManager, objectMapper);  
        // 这里记得设置路径,不然不生效!!!
        customFilter.setFilterProcessesUrl("/api/auth/login");
  
        // 多个 Filter 配置好顺序
        http.csrf().disable()  
            .authorizeHttpRequests()  
                .anyRequest().authenticated()  
                .and()  
            .addFilterAt(customFilter, UsernamePasswordAuthenticationFilter.class)
            .addFilterBefore(requestLogFilter, CustomUsernamePasswordAuthenticationFilter.class)  
            .addFilterBefore(jwtAuthenticationFilter, RequestLogFilter.class);  
  
        return http.build();  
    }  
  
    // SpringSecurity 6.X 新版写法
    @Bean  
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {  
        return authenticationConfiguration.getAuthenticationManager();  
    }  
}

功能测试

postman 接口测试

总结说明

以上仅是问题记录,如果有错误描述,还望大佬指正,共同进步!

海边落日听Jay
关注
  • 30
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity UsernamePasswordAuthenticationFilter PasswordEncoder
six_teen的博客
11-17 1713
最近开始学习了springsecurity框架,为写后台页面做个权限管理什么的打基础。 springsecurity是基础springboot的,所以创建一个springboot工程引入依赖就可以很轻松的整合springsecurity了。(类似的权限管理框架还有shiro) 1. 创建一个普通的springboot项目(不用勾选任何东西),我这边使用的springboot版本是2.2.1.RELEASE 依赖如下: pom.xml <dependencies> <!--sprin
Springboot +spring security,实现前后端分离,使用JSON数据格式登录(将表单提交方式改成json格式登录
weixin_40991408的博客
05-23 742
Springboot +spring security,实现前后端分离,使用JSON数据格式登录(将表单提交方式改成json格式登录
SpringSecurity系列 - 11 前后端分离表单认证:自定义过滤器替换 UsernamePasswordAuthenticationFilter
你今天真好看呀
09-16 2592
SpringSecurity系列一:10 传统Web项目表单认证: UsernamePasswordAuthenticationFilter 过滤器在前后端分离的项目中,前端会以 json 格式来传递参数,这就需要我们自定义登录过滤器链来实现。
SpringSecurity 自定义过滤器使用 Json 格式登录
你今天真好看呀
08-24 1164
AbstractAuthenticationProcessingFilter 是一个抽象类,主要的功能是身份认证。OAuth2ClientAuthenticationProcessingFilter(Spriing OAuth2)、RememberMeAuthenticationFilter(RememberMe)都继承了 AbstractAuthenticationProcessingFilter ,并重写了方法 attemptAuthentication 进行身份认证。
Spring Security 使用JSON格式参数登录的两种方式
BASK2311的博客
11-21 674
通过前面几篇文章的分析,我们已经知道了登录参数的提取在过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。的源代码如下:接下来就是将我们自定义的 LoginFilter 过滤器代替默认的。当我们替换了之后,原本在 SecurityConfig#configure 方法中关于 form 表单的配置就会失效,那些失效的属性,都可以在配置 LoginFilter 实例的时候配置;还需要记得配置,否则启动时会报错。
SpringSecurity过滤器UsernamePasswordAuthenticationFilter
clyu的博客
01-01 4829
简介 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份认证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST请求。当我们登录的时候,也就是匹配到loginProcessingUrl,这个过滤器就会委托认证管理器authenticationManager来验证登录 登陆流程入口是Abstrac
浅析Spring Security登录验证流程
08-25
Spring Security登录验证流程是Spring Security框架中最核心的部分之一,本文将详细介绍Spring Security登录验证流程的源码解析,通过源码讲解登录验证流程,具有很高的参考价值。 一、登录认证基于过滤器链 ...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringSecurity 认证流程详解有一定了解的都知道,在帐号密码认证的过程中,涉及到了以下几个类:UsernamePasswordAuthenticationFilter(用于请求参数获取),UsernamePasswordAuthenticationToken(表示用户登录...
spring Security Json 数据登录验证
01-21
在前后端分离的架构中,Spring Security能够帮助我们处理JSON Web Token(JWT)认证,确保用户数据安全传输并控制访问权限。在这个主题中,我们将深入探讨如何在Spring Boot应用中使用Spring Security进行JSON数据库...
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security的自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的...
spring security6重写登陆验证
最新发布
weixin_44877713的博客
04-05 1132
spring security6重写登陆验证
关于Spring Security自定义UsernamePasswordAuthenticationFilter后用户并发控制无效
weixin_43497184的博客
01-15 4221
问题解决前的实现: @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { // ... other config ... protected void configure(HttpSecurity http) throws Exception { http .addF...
Spring Security 登录密码验证过程(UsernamePasswordAuthenticationFilter
热门推荐
Qurite的博客
03-20 2万+
Spring-Security主要是一个由一堆Filter组成的过滤器链,每个Filter做自己的事情。今天我跟一下登录的密码认证过程,主要是UsernamePasswordAuthenticationFilter这个类 1.web.xml中配置security <filter> <filter-name>springSecurityFilterChain...
SpringSecurityUsernamePasswordAuthenticationFilter过滤器执行流程
VIP006008的博客
04-20 1751
过滤器:UsernamePasswordAuthenticationFilter继承 AbstractAuthenticationProcessingFilter(抽象类) public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter { } 核心方法,返回Authentication接口,里面有getAuthorities,getCredentials,get..
SpringSecurity 自定义UsernamePasswordAuthenticationFilter
荡的博客
09-17 7663
#UsernamePasswordAuthenticationFilter介绍 UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST...
Spring Security源码解析一:UsernamePasswordAuthenticationFilter登录流程
www_xuhss_com的博客
01-20 2245
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一.前言 spring security安全框架作为spring系列组件中的一个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行一系列的鉴权和认证呢,下面让我们走进源码,从源码的角度来从头走一遍spr
SpringSecurity-6-基于Filter实现图形验证码
zhoubangbang1的博客
03-25 804
SpringSecurity-6-基于Filter实现图形验证码SpringSecurity中有多种方式实现图像验证码,使用自定义过滤器去处理验证码逻辑是最简单的方式,只要将过滤器添加到合适的位置,当登录的时候,对验证码进行校验,成功就放行,失败则抛出异常。图形验证流程 流程图如下使用kaptcha生成图形验证码 kaptcha是谷歌提供的一款开源验证码jar包,只需简单配置就可以生成图片,源码地址:https://github.com/penggle/kaptcha添加kaptcha依赖在项目的pom.x
spring security 3.0 json登录代码
03-24
很抱歉,我没有提供您所提供的代码。但是我可以告诉您,Spring Security 3.0在JSON登录过程中使用以下代码: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyUserDetailsService userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/api/v1/user/login").permitAll() .anyRequest().authenticated().and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); //Add JWT token filter http.addFilterBefore(jwtTokenFilter(), UsernamePasswordAuthenticationFilter.class); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } //create and configure JWT token filter public JwtTokenFilter jwtTokenFilter() { return new JwtTokenFilter(); } } 其中,MyUserDetailsService是自定义的实现UserDetailsService接口的类,JwtTokenFilter是自定义的实现了OncePerRequestFilter接口的类,用于JWT令牌验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值