认证事件(Authentication Events)

最新推荐文章于 2023-12-28 15:52:15 发布
最新推荐文章于 2023-12-28 15:52:15 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: Spring Security 文章标签: SpringSecurity Events
原文链接:https://docs.spring.io/spring-security/reference/servlet/authentication/events.html
版权
本文介绍了如何在Spring Security中监听身份验证成功和失败的事件。通过创建`AuthenticationEventPublisher`,如`DefaultAuthenticationEventPublisher`,并配置`@EventListener`注解的方法,可以分别处理AuthenticationSuccessEvent和AbstractAuthenticationFailureEvent。此外,文章还讨论了如何自定义异常映射和设置默认的失败事件类型,以实现更精细的事件处理。这使得身份验证事件处理不依赖Servlet API,增加了系统的灵活性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对于每个成功或失败的身份验证,将分别触发一个 AuthenticationSuccessEvent 或 AbstractAuthenticationFailureEvent 。

要侦听这些事件,你必须首先发布一个 AuthenticationEventPublisher,Spring Security 的 DefaultAuthenticationEventPublisher 可能会做得很好:

@Bean
public AuthenticationEventPublisher authenticationEventPublisher
        (ApplicationEventPublisher applicationEventPublisher) {
    return new DefaultAuthenticationEventPublisher(applicationEventPublisher);
}

然后,你可以使用 Spring 的@EventListener 支持:

@Component
public class AuthenticationEvents {
	@EventListener
    public void onSuccess(AuthenticationSuccessEvent success) {
		// ...
    }

    @EventListener
    public void onFailure(AbstractAuthenticationFailureEvent failures) {
		// ...
    }
}

虽然类似于 AuthenticationSuccessHandler 和 AuthenticationFailureHandler,但它们很好,因为它们可以独立于Servlet API使用。

添加异常映射(Adding Exception Mappings)

默认情况下,DefaultAuthenticationEventPublisher 将为以下事件发布一个 AbstractAuthenticationFailureEvent :

ExceptionEvent
BadCredentialsExceptionAuthenticationFailureBadCredentialsEvent
UsernameNotFoundExceptionAuthenticationFailureBadCredentialsEvent
AccountExpiredExceptionAuthenticationFailureExpiredEvent
ProviderNotFoundExceptionAuthenticationFailureProviderNotFoundEvent
DisabledExceptionAuthenticationFailureDisabledEvent
LockedExceptionAuthenticationFailureLockedEvent
AuthenticationServiceExceptionAuthenticationFailureServiceExceptionEvent
CredentialsExpiredExceptionAuthenticationFailureCredentialsExpiredEvent
InvalidBearerTokenExceptionAuthenticationFailureBadCredentialsEvent
发布者执行精确的异常匹配,这意味着这些异常的子类不会也生成事件。
为此,您可能需要通过 setAdditionalExceptionMappings 方法向发布者提供额外的映射:
@Bean
public AuthenticationEventPublisher authenticationEventPublisher (ApplicationEventPublisher applicationEventPublisher) {
    Map<Class<? extends AuthenticationException>,
        Class<? extends AbstractAuthenticationFailureEvent>> mapping =
            Collections.singletonMap(FooException.class, FooEvent.class);
    AuthenticationEventPublisher authenticationEventPublisher =
        new DefaultAuthenticationEventPublisher(applicationEventPublisher);
    authenticationEventPublisher.setAdditionalExceptionMappings(mapping);
    return authenticationEventPublisher;
}

默认事件(Default Event)

您可以提供一个通用事件,以便在发生任何身份验证异常的情况下触发:

@Bean
public AuthenticationEventPublisher authenticationEventPublisher
        (ApplicationEventPublisher applicationEventPublisher) {
    AuthenticationEventPublisher authenticationEventPublisher =
        new DefaultAuthenticationEventPublisher(applicationEventPublisher);
    authenticationEventPublisher.setDefaultAuthenticationFailureEvent
        (GenericAuthenticationFailureEvent.class);
    return authenticationEventPublisher;
}
【0206】Backend 向客户端发送身份认证请求报文(Client authentication) (10 - 1)
Postgres 数据库内核开发工程师
06-13 1915
postmaster守护进程的初始化顺序如下所示,相较于backend process,过程要简单些,只需要下面main()、PostmasterMain()这两个函数的调用就可以完成postmaster进程的创建。),该数据类型里面的成员分别记录了此socket连接的套接字句柄fd、fd是否阻塞方式、客户端IP、客户端port、客户端数据包协议(2.0还是3.0)、连接的数据库名、用户名、hba认证信息、是否启用SSL等等。语句针对不同的验证方式,而不同的方式又分别调用了不同的函数实现。
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8271
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
SpringSecurity系列——身份验证事件:自定义成功、失败day5-2(源于官网5.7.2版本)
qq_51553982的博客
07-25 1499
技术版本jdk175.7.2SpringBoot2.7.2需要注册为组件(@Component)使用注解实现事件监听}}}
Spring Security 认证成功 AuthenticationSuccessEvent多次调用问题
qq_38438909的博客
12-04 4757
在使用Spring Security Oauth2的使用,需要在认证成功执行执行一些日志记录和更新的操作,所以就使用了AuthenticationSuccessEvent来进行认证成功的回调。但是遇到了其他问题也都解决了,就是在每次认证求中多次调用的问题,因为对Spring事件监听基本上没有使用过,为了防止多次执行event 就想了一些歪点子。 @Component public class ApplicationListenerAuthencationSuccess implements Applicat
() OAuth 2.0 认证成功,认证失败,退出成功
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-30 3457
认证成功 监听AuthenticationSuccessEvent,注意在刷新令牌,校验令牌,登录密码校验成功都会发布这个事件,所以我们需要在监听器里面做一些排查判断。successHandler是自定义业务逻辑类。 /** * @description: 登录成功事件监听器 * @Author C_Y_J * @create 2022/1/13 16:36 **/ public class AuthenticationSuccessEventListener implements Applicat
spring security 的AuthenticationSuccessHandler 没有调用 ,无法生效
qq_46506007的博客
04-16 2090
spring security 的AuthenticationSuccessHandler 接口的方法 ,没有调用 ,无法生效,不起作用
Spring AbstractAuthenticationEvent 详解
weixin_34174105的博客
10-09 585
为什么80%的码农都做不了架构师?>>> ...
kubernetes访问控制——Authentication认证、Authorization授权、服务账户的自动化
Aimee_c的博客
07-05 2413
文章目录1.kubernetes API 访问控制2. Authentication认证)1.创建serviceaccount2.添加secrets到serviceaccount3.把serviceaccount和pod绑定起来:4. 创建UserAccount3. Authorization(授权)3.1 RBAC(基于角色访问控制授权)介绍3.2 RBAC授权1.创建Role(权限的集合)2. RoleBinding和ClusterRoleBinding3.1 RBAC 1.kubernetes AP
WebGoat实验之Authentication Flaws(认证缺陷) - 2016.01.09
baishileily的博客
01-09 2378
1.1 Password Strength(密码强度) 密码是账户安全的保障,是我们进行身份认证的凭证, 一旦密码泄露,这就意味着可能会给我们带来很大损失(黑客可以通过我们的账号发布一些虚假信息进而欺骗他人,甚至可以获取我们银行卡密码,进而危及我们的财产安全,还涉及了我们的隐私问题), 然而由于我们的习惯问题,我们常常在不同的站点使用相同的密码,甚至我们喜欢使用一些简单的密码,例如123456,
sso-open-authentication
06-27
6. **事件Events)** - Laravel 事件系统可以用来在不同组件之间传递信息,比如在用户登录时触发事件,通知其他系统更新其状态。 **JavaScript 在SSO中的角色** JavaScript 在这个系统中可能用于前端交互,提升...
Spring Security用户认证成功失败自定义实现
OceanSky的专栏
08-08 6471
【一】Spring boot Security OAuth2用户登录失败事件发布及监听 【二】Spring Security用户认证成功失败源码分析 上一篇文章讲解了用户认证成功或者失败事件发布的整个流程, 这一篇就讲解下自定义的实现方式。首先看一下认证的异常都有哪些: 在org.springframework.security.authentication.event包下定义了发生认证时的所有事...
spring security防止恶意登录
neweastsun的专栏
04-05 4734
spring security防止恶意登录 本文我们使用spring security提供一个基本的解决方案防止恶意登录。 简单地说,我们记录来自同一IP的登录失败次数,如果超过设定的数量,在24小时内被阻止登录。 AuthenticationFailureEventListener 我们定义AuthenticationFailureEventListener,监听Authentica...
CAS5.2.X 踩过的坑
ClumsyCat的专栏
05-16 4408
前言 坑s 编译官网案例 WAR Overlay Installation 问题:找错了配置文件 直接配置LDAP 参考CAS Properties 问题:配置后不能登陆 配置LDAP+Mysql数据库 参考 CAS5配置连ldap和数据库 第四个 不知道是不是坑 参考文献 前言 LDAP+CAS的设想,一早就有,但是真正实施起来,确是难上加难。网上的大部分文章都是...
spring-security-oauth2 登录或者认证成功后 做一些操作, 比如登录日志。
fsdf8sad7的博客
09-04 8767
通过跟踪代码,发现放当我们访问/oauth/token (这个请求的方法在TokenEndpoint)获取access_token 的时候,身份认证成功后会在 ProviderManager的authenticate 方法 通过eventPublisher.publishAuthenticationSuccess(result); 推出了一个认证成功的事件。 这样我们可以通过注册一个监听Auth...
SpringSecurity密码错误5次锁定用户
JesJiang的博客
09-27 5742
第一步:创建 AuthenticationSuccessEventListener.java 用来处理登录成功的事件。 import com.mlog.sd.data.dao.UserDao; import com.mlog.sd.data.domain.User; import org.springframework.beans.factory.annotation.Autowired; im...
SpringSecurity根据自定义异常返回登录错误提示信息
梦里花落知多少的博客
08-15 1726
SpringSecurity登录失败处理
【CAS】Flask客户端配置
hebaojing的博客
02-23 4082
CAS服务端配置,看这里 本文基于Flask-CAS作为客户端与CAS服务端调试,测试多属性返回信息。 1 环境说明 Flask-CAS: 1.0.1 Flask: 1.0.2 2 客户端工程目录 #!/usr/bin/env python # -*- coding: utf-8 -*- """ __title__ = '' """ import ssl import flas...
【Spring Security】AuthenticationFailureHandler 用户认证失败后处理
最新发布
杜小舟的博客
12-28 2545
`AuthenticationFailureHandler` 主要是做用户认证失败后调用的处理器,这里的失败一般是指用户名或密码错误。当出现错误后,该处理器就会被调用,一般在开发中,会自己实现一个处理器,用来给前端返回一些已经商量好的异常码,下面分成两大块,先简单介绍一下官方给的一些用户失败后的处理器,再介绍我们自己实现的自定义处理器。
Spring Security教程(10)---- 自定义登录成功后的处理程序及修改默认验证地址
热门推荐
z69183787的专栏
03-13 2万+
form-login配置中的authentication-success-handler-ref可以让手动注入登录成功后的处理程序,需要实现AuthenticationSuccessHandler接口。 [html] view plaincopy sec:form-login login-page="/login.jsp"       logi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值