spring security 2中使用通过自定义过滤器实现多登录页面

最新推荐文章于 2022-08-04 11:31:00 发布
最新推荐文章于 2022-08-04 11:31:00 发布
阅读量495 收藏
点赞数
分类专栏: Java 文章标签: Security Spring Bean Acegi UI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kalashnicov/article/details/83562028
版权

最近在应用Spring Security的时候,积累了一些心得,写出来希望能给需要的人一些启示,毕竟网上对于spring security的配置和应用不是很多,大多是一些介绍acegi应用老文章。希望大家提出宝贵意见。此文的相应设置适用于spring security2.x。


Spring Security相对于Acegi在配置上方便了很多,具体的参考文档在http://www.family168.com/tutorial/springsecurity/html/springsecurity.html 上有中文翻译。

至于Spring Security的具体配置和应该可以从downpour的http://www.iteye.com/topic/319965一岾中学习。

在此我想写的是有关于multiple login pages的情况。


参考文章:san586的http://ss3ex.iteye.com/blog/452307



问题:
对于多登录界面,要求实现不同的用户,比如前台用户和后台用户,分别在以下情况中实现到不同页面的转向:

  1.在未登录时,访问受限页面

  2.在登录以后,转向到不同的默认页面,比如前台用户转向到个人中心主页,后台用户转向到后台管理页面的首页。

  3.在登录失败时,导向到错误页面。

  4.在注销登录时,不同的用户转向到不同的注销成功界面。


由于Spring Security的核心是基于Spring基础之上的各种过滤器组成的链,而且规定,这些过滤器的顺序不可更改,其中一些元素自己使用而创建出的过滤器如HttpSessionContextIntegrationFilter, ExceptionTranslationFilter 或 FilterSecurityIntercepto 是不允许替换成自己所定义的过滤器的。


我们可以把自己的过滤器添加到队列中,使用custom-filter元素,使用这些名字中的一个,来指定自定义过滤器应该出现的位置:

<beans:bean id="myFilter" class="com.mycompany.MySpecialAuthenticationFilter">  
    <custom-filter position="AUTHENTICATION_PROCESSING_FILTER"/>  
</beans:bean>

 
position属性可以有before,position(对原来的过滤器进行替换),after等,后面的位置表示过滤器的位置。


在针对以上多登录界面的情况中的几个问题,downpour的一贴中给出了一种解决方案,是通过将session中设定标识,然后把转发的目标设定为action,在action中根据请求中的标识来进行发送到相应的页面。除了这种方法之外,跟据spring security的实现机理,我们完全可以通过实现自己的过滤器对来自不同用户的请求进行相应处理。


在进行表单认证的时候,AuthenticationProcessingFilter是验证执行机制的过滤器,通过对其的继承可以实现自定义的处理过程,出于减少编码量的考虑,我们可以在验证时配置两个AuthenticationProcessingFilter的实例,分别设置不同的filterprocessedurl来响应不同的请求,例如

	<!-- 验证前台用户 -->
	<bean id="preLoginFilter"
		class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter">
		<sec:custom-filter before="AUTHENTICATION_PROCESSING_FILTER" />
		<property name="authenticationManager" ref="authenticationManager" />
		<property name="authenticationFailureUrl" value="/Seeworld/html" />
		<property name="defaultTargetUrl" value="/" />
		<property name="alwaysUseDefaultTargetUrl" value="true" />
		<property name="filterProcessesUrl" value="/j_spring_security_check" />
	</bean>
	<!-- 验证后台用户 -->
	<bean id="adminLoginFilter"
		class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter">
		<sec:custom-filter position="AUTHENTICATION_PROCESSING_FILTER" />
		<property name="authenticationManager" ref="authenticationManager" />
		<property name="filterProcessesUrl" value="/back/j_spring_security_check" />
		<!-- 认证错误页面,已经被覆盖,由urlStrategy决定-->
		<property name="authenticationFailureUrl" value="/admin/login/login.html?error" />
		<!-- 认证成功页面-->
		<property name="defaultTargetUrl" value="/admin/web/main.html" />
		<property name="alwaysUseDefaultTargetUrl" value="true" />
	</bean>
 

 


通过对于两个过滤器的相关属性的不同配置,可以分别响应不同的请求,并定向到相应的页面,如上例,前台页面的登陆请求发送到/j_spring_security_check,而后台发送到/back/j_spring_security_check,根据认证的结果分别转到到相应的

defaultTargetUrl或者authenticationFailureUrl。相应的logoutfilter也可以如此实现,通过这四个过滤器,我们可解决

以上问题中的2,3,4对于不同用户的登录和注销进行了相应处理。

<!-- 注销过滤器,完成前台用户注销时的定向功能 -->
	<bean id="preLogoutFilter" class="org.springframework.security.ui.logout.LogoutFilter">
		<sec:custom-filter before="LOGOUT_FILTER" />
		<constructor-arg value="/" />
		<constructor-arg>
			<list>
				<bean
					class="org.springframework.security.ui.logout.SecurityContextLogoutHandler" />
			</list>
		</constructor-arg>
		<property name="filterProcessesUrl" value="/j_spring_security_logout" />
	</bean>
	<!-- 注销过滤器,完成后台管理员注销时的定向功能 -->
	<bean id="adminLogoutFilter" class="org.springframework.security.ui.logout.LogoutFilter">
		<sec:custom-filter position="LOGOUT_FILTER" />
		<constructor-arg value="/admin/login/login.html" />
		<constructor-arg>
			<list>
				<bean
					class="org.springframework.security.ui.logout.SecurityContextLogoutHandler" />
			</list>
		</constructor-arg>
		<property name="filterProcessesUrl" value="/back/j_spring_security_logout" />
	</bean>

 
而对于问题1,  在downpour的文章中已经有解决,通过实现自己的AthenticationEntryPoint来控制没有登录的用户访问受限的页面。

 

 至此,通过增加几个过滤器的方法,我们可以使用Spring Security2完成对多登录页面的情况的处理,相比以前的Acegi的繁琐配置,SS2的优势不言而喻

kalashnicov
关注
专栏目录
Spring Security 过滤器自定义登录
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 108
SpringSecurity登录之前增加一个过滤器拿到账号密码,然后设置到SpringSecurity的request parameter:不推荐继承:AbstractAuthenticationProcessingFilter,或者UsernamePasswordAuthenticationFilter,在SecurityConfig配置如下,这种方式属于替换SpringSecurity默认的登录过滤器:推荐@Resource@Bean@Override。
SpringSecurity学习之自定义过滤器实现代码
08-26
主要介绍了SpringSecurity学习之自定义过滤器实现代码,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
使用Forms Authentication实现用户注册、登录 (二)用户注册与登录
半亩方塘
01-02 1424
从这一部分开始,我们将通过一个实际的完整示例来看一下如何实现用户注册与登录。在介绍注册与登录之前,我们首先介绍一下如何判断用户是否已登录,并未后面的示例编写一些基础代码。 判断用户是否已经登录  首先,在Web站点项目添加一个MasterPage,例如MasterPage.master。在这个母版的ContentPlaceHolder控件之前、标签之内插入如下代码: asp
oauth过滤login_Spring Security:OAuth2自定义过滤器,用于验证密码过期错误处理
weixin_34588509的博客
12-23 1027
我一直在尝试实现OAuth2密码到期过滤器,我不确定这样做的正确方法 . 想法如下:用户尝试登录 .如果密码已过期,用户将获得包含令牌的标头的响应 .用户使用该令牌重定向到密码更改面(即/ password-change /) .他提交了他的旧密码和新密码,它会被更改 .某些其他控制器通过该令牌检索用户ID,并执行其余密码更改逻辑 .用户应该被重定向回初始登录页面,在那里他用新密码登录(如果他在...
自定义以及oauth2过滤器(AuthenticationFilter)使用@Autowired注入时会报null
chuxuan0215的博客
08-04 923
@Autowired注入时会报null,使用context的ApplicationContextAware解决
spring security自定义authenticationProcessingFilter
hszdz的专栏
02-24 473
[code="java"] [/code] [code="java"] public Authentication attemptAuthentication( HttpServletReque...
spring security 4 小例子带自定义过滤器
03-20
Spring Security 4,我们可以通过自定义过滤器来扩展其功能,以满足特定的安全需求。在这个小例子,我们将探讨如何创建并集成自定义过滤器,以及它在Spring Security的工作原理。 首先,我们需要理解Spring...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
最新发布
02-16
在本项目,我们主要关注的是如何将Spring Boot与Spring Security进行集成,以实现一个具有异常处理和自定义表单登录验证的安全系统。Spring Security是一个强大的安全框架,它提供了多种安全控制,包括用户认证、...
SpringSecurity自定义过滤器实现认证逻辑
"本文主要探讨了在SpringSecurity框架如何实现自定义过滤器,通过具体的代码示例,帮助读者理解自定义过滤器在解决复杂认证场景的应用。内容包括创建自定义过滤器类以及将其集成到SpringSecurity过滤器,...
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter
qq_25248407的博客
11-13 1052
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter xym01 1 2019-02-24 19:38 Spring-security-oauth2的版本是2.0 如下图1所示,继承了Filter,还继承了InitializingBean,这个与SpringIOC有关,在创建Bean的时候,会调用afterPropertiesS...
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制
热门推荐
Little_fxc的博客
06-18 1万+
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制 在搭建完 spring-security-oauth2 整个微服务框架后,来了一个需求: 每个微服务都需要对访问进行鉴权,每个微服务应用都需要明确当前访问用户和他的权限。 auth 系统的主要功能是授权认证和鉴权。 授权认证已经完成,那么如何对用户的访问进行鉴权呢? 首先需要明确什么时候发生鉴权?...
spring security oauth2——AbstractAuthenticationProcessingFilter
疯子也是猖狂
01-13 787
AbstractAuthenticationProcessingFilter的作用 abstractAuthenticationProcessingFilter的职责也就非常明确——处理所有HTTP Request和Response对象,并将其封装成AuthenticationMananger可以处理的Authentication。并且在身份验证成功或失败之后将对应的行为转换为HTTP的Response。同时还要处理一些Web特有的资源比如Session和Cookie。总结成一句话,就是替Authent
Spring Security Web 5.1.2 源码解析 -- UsernamePasswordAuthenticationFilter
Details Inside Spring
12-02 1880
概述 源代码解析 package org.springframework.security.web.authentication; import org.springframework.security.authentication.AuthenticationServiceException; import org.springframework.security.authentication...
Spring_Security_多登录配置教程
peipeihequnqun的博客
08-08 523
本文转自百度文库:http://wenku.baidu.com/view/425b9b11cc7931b765ce1527.html Spring Security登录配置教程 2010-07-05 12:45 SHOP++采用了著名的Spring Security框架技术作为站点权限的认证管理,下面就简要讲解一下多登录的配置方式。 (注意:本教程基于spring-secur...
springsecurity2 自定义filter实现
金桥坞
06-02 115
[code="java"][/code][code="java"][/code]配置 [code="java"] [/code] 2. [code="java"]public class MyAuthenticationPro...
Spring Security认证流程
DoneSpeak的博客
02-05 901
前言 Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。 相关版本: java: jdk 8 spring-boot: 2.1.6.RELEASE 过滤器链和认证过程 一个认证过程,其实就是过滤器链上的一个绿色矩形Filter所要执行的过程。 基本的认证过程有三步骤: Filter拦截请求,生成一个未认证的Authentic...
学习Spring Boot:(二十八)Spring Security 权限认证
追光者的博客
05-07 1万+
前言 主要实现 Spring Security 的安全认证,结合 RESTful API 的风格,使用无状态的环境。 主要实现是通过请求的 URL ,通过过滤器来做不同的授权策略操作,为该请求提供某个认证的方法,然后进行认证,授权成功返回授权实例信息,供服务调用。 基于Token的身份验证的过程如下: 用户通过用户名和密码发送请求。 程序验证。 程序返回一个签名的token 给客户端。 ...
Spring Security 2.0学习笔记
The Program World
07-05 146
    spring 2.5也发布了,Acegi 2.0也出来了,发现里面也多了很多新特性,不过好多都是英文的,所以就到处看看,记些东西,谓之笔记也,呵呵。废话不多说,配置文件当然要从web.xml开始啊。看代码。     使用安全框架第一步就是需要在web.xml文件声明要使用过滤器&lt;filter&gt;&lt;/filter&gt;&lt;!--&lt;br /&gt; &lt;br...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值