SpringSecurity2.0的简单SSO

最新推荐文章于 2024-05-02 02:00:00 发布
最新推荐文章于 2024-05-02 02:00:00 发布
阅读量107 收藏
点赞数
分类专栏: Spring 文章标签: SSO Spring Security Java J#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leakey123456/article/details/83500243
版权
项目需要做一个简单的SSO到我们用SpringSecurity2.0的系统,因为没有统一的用户LDAP,采用post用户名密码的方式。现在要处理的就是2件事,一是能够post通过验证,二是验证通过要跳转到指定的页面。一很好实现: http://localhost:8081/j_spring_security_check?j_username=admin&j_password=1,采用的默认配置就可以通过验证。简单看一下spring源码,AuthenticationProcessingFilter是默认filterChain中的一个,由它来处理form方式的验证,验证代码如下:



Java代码
public Authentication attemptAuthentication(HttpServletRequest request) throws AuthenticationException {
String username = obtainUsername(request);
String password = obtainPassword(request);

if (username == null) {
username = "";
}

if (password == null) {
password = "";
}

username = username.trim();

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);

// Place the last username attempted into HttpSession for views
HttpSession session = request.getSession(false);

if (session != null || getAllowSessionCreation()) {
request.getSession().setAttribute(SPRING_SECURITY_LAST_USERNAME_KEY, username);
}

// Allow subclasses to set the "details" property
setDetails(request, authRequest);

return this.getAuthenticationManager().authenticate(authRequest);
}

public Authentication attemptAuthentication(HttpServletRequest request) throws AuthenticationException {
String username = obtainUsername(request);
String password = obtainPassword(request);

if (username == null) {
username = "";
}

if (password == null) {
password = "";
}

username = username.trim();

UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);

// Place the last username attempted into HttpSession for views
HttpSession session = request.getSession(false);

if (session != null || getAllowSessionCreation()) {
request.getSession().setAttribute(SPRING_SECURITY_LAST_USERNAME_KEY, username);
}

// Allow subclasses to set the "details" property
setDetails(request, authRequest);

return this.getAuthenticationManager().authenticate(authRequest);
}Java代码
protected String obtainUsername(HttpServletRequest request) {
return request.getParameter(usernameParameter);
}

protected String obtainUsername(HttpServletRequest request) {
return request.getParameter(usernameParameter);
}Java代码
public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "j_username";
public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "j_password";
public static final String SPRING_SECURITY_LAST_USERNAME_KEY = "SPRING_SECURITY_LAST_USERNAME";

public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "j_username";
public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "j_password";
public static final String SPRING_SECURITY_LAST_USERNAME_KEY = "SPRING_SECURITY_LAST_USERNAME";Java代码
private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;

private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;Java代码
public String getDefaultFilterProcessesUrl() {
return "/j_spring_security_check";
}

public String getDefaultFilterProcessesUrl() {
return "/j_spring_security_check";
} url中的3个参数代码中都出现了。

第二个问题就复杂一点了,配置的默认页面是index.jsp,现在要跳转到其它页面。查不到文档,还是自己看源码。AuthenticationProcessingFilter extends了AbstractProcessingFilter,这个类有很多与配置对应的属性,一个我们需要的属性就是targetUrlResolver:

Java代码
private TargetUrlResolver targetUrlResolver = new TargetUrlResolverImpl();

private TargetUrlResolver targetUrlResolver = new TargetUrlResolverImpl(); 这里就是处理验证后的跳转,看默认的TargetUrlResolverImpl类实现:

Java代码
public String determineTargetUrl(SavedRequest savedRequest, HttpServletRequest currentRequest,
Authentication auth) {

String targetUrl = currentRequest.getParameter(targetUrlParameter);

if (StringUtils.hasText(targetUrl)) {
try {
return URLDecoder.decode(targetUrl, "UTF-8");
} catch (UnsupportedEncodingException e) {
throw new IllegalStateException("UTF-8 not supported. Shouldn't be possible");
}
}

if (savedRequest != null) {
if (!justUseSavedRequestOnGet || savedRequest.getMethod().equals("GET")) {
targetUrl = savedRequest.getFullRequestUrl();
}
}

return targetUrl;
}

public String determineTargetUrl(SavedRequest savedRequest, HttpServletRequest currentRequest,
Authentication auth) {

String targetUrl = currentRequest.getParameter(targetUrlParameter);

if (StringUtils.hasText(targetUrl)) {
try {
return URLDecoder.decode(targetUrl, "UTF-8");
} catch (UnsupportedEncodingException e) {
throw new IllegalStateException("UTF-8 not supported. Shouldn't be possible");
}
}

if (savedRequest != null) {
if (!justUseSavedRequestOnGet || savedRequest.getMethod().equals("GET")) {
targetUrl = savedRequest.getFullRequestUrl();
}
}

return targetUrl;
} 这里targetUrl也是先getParameter,这意味着通过url参数指定跳转页面成为了可能

Java代码
public static String DEFAULT_TARGET_PARAMETER = "spring-security-redirect";

private String targetUrlParameter = DEFAULT_TARGET_PARAMETER;

public static String DEFAULT_TARGET_PARAMETER = "spring-security-redirect";

private String targetUrlParameter = DEFAULT_TARGET_PARAMETER; 找到了这个参数,spring-security-redirect,尝试url:

http://localhost:8081/j_spring_security_check?j_username=admin&j_password=1&spring-security-redirect=draft.do
leakey123456
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot进阶(87):基于Spring Security实现单点登录(SSO) | 超级详细,建议收藏
**My Coding Family**
04-17 2491
基于Spring Security实现单点登录(SSO),一文带你学会。
SpringSecurity以及SSO
YangzaiLeHeHe的博客
04-13 737
文章目录一、DelegatingFilterProxy二、SpringSecurity三、使用SpringSecurity集成CAS2、常用的几种鉴权方式:1、MspCasAuthenticationFilter【服务之间调用】2、PseudoCasAuthenticationFilter【服务间接口鉴权】3、SystemSsoAuthenticationFilter【给第三方厂商用】4、OAuth2ClientAuthenticationProcessingFilter【Oauth2.0认证 多节点服务,
spring security 实现 sso 单点登录Demo
08-22
使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
关于Spring Security框架 关于单点登录sso
weixin_73849581的博客
12-21 1356
Security
Spring Security实现单点登录(SSO
最新发布
程序员阿皓的博客
05-02 463
实现单点登录(SSO)可以让用户在多个应用程序中使用相同的凭证进行登录,提供更便捷的用户体验。
Spring Security、oauth2、单点登陆SSO的关系
m0_45406092的博客
03-28 1万+
概述 网上有很多Spring Security和 oauth2的介绍,但是对于初学者来说,上手比较复杂,本篇从原理上梳理一下两者之间的联系和区别 1. 什么是Spring Security 参见 【Spring Security】基本功能介绍 spring security 的核心功能主要包括: 认证 (你是谁) 通过注解 @EnableWebSecurity开启 简单来说,就是需要登录,你需要输入用户名和密码,才能访问某个url。 授权 (你能干什么) 不需要通过指定的开关开启,而是通
Spring Security 解析(六) —— 基于JWT的单点登陆(SSO)开发及原理解析
Innocence_0的博客
01-13 739
Spring Security 解析(六) —— 基于JWT的单点登陆(SSO)开发及原理解析
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring security 基于oauth 2.0 实现 sso 单点登录Demo.zip
06-12
spring security 基于oauth 2.0 实现 sso 单点登录Demo 使用 spring security 基于oauth 2.0 实现 sso 单点登录Demo spring boot + spring security + spring security oauth
spring security + oauth 2.0 实现单点登录、认证授权
06-26
spring security + oauth 2.0 实现单点登录、认证授权,直接贴代码
spring security oauth2 实现jwt sso
11-14
该资源实现了一个sso单点登陆的功能,类似于在淘宝网登陆之后可以不需要登陆天猫即可访问天猫网;使用了spring security oauth2以及jwt。
千云物流-基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。
热门推荐
Hello Word
05-30 3万+
基于Oauth2,springsecurity单点登录SSO,前后端分离和SPA方式实现方式。 在接到需求要做SPA方式的单点登录的需求,发现好多的坑,之前我们接触的只是浏览器的单点登录,基于session的或者是基于app的基于token的,app类似SPA方式,但是有个不同点,就是在多个app或者多个SPA下怎么做单点登录。一开始以为很容易。但是在搞一段时间啊后发现自己越走越黑,越走越远,总结...
Spring Security实现单点登录SSO(一)
m0_47533296的博客
08-27 985
本章主要阐述Spring Security实现单点登录的流程,登录方式为用户名密码登录。后续章节会继续拓展单点登录的其他内容。由于个人知识有限,欢迎各位大佬指正不当之处。
SpringCloud微服务实战——搭建企业级开发框架(四十):使用Spring Security OAuth2实现单点登录(SSO)系统
全栈程序猿的专栏
05-11 4401
一、单点登录SSO介绍   目前每家企业或者平台都存在不止一套系统,由于历史原因每套系统采购于不同厂商,所以系统间都是相互独立的,都有自己的用户鉴权认证体系,当用户进行登录系统时,不得不记住每套系统的用户名密码,同时,管理员也需要为同一个用户设置多套系统登录账号,这对系统的使用者来说显然是不方便的。我们期望的是如果存在多个系统,只需要登录一次就可以访问多个系统,只需要在其中一个系统执行注销登录操作,则所有的系统都注销登录,无需重复操作,这就是单点登录(Single Sign On 简称SSO)系统实现的功能
spring security oauth基于jwt实现sso单点登录
whaleluo的博客
05-23 1537
基于jwt实现sso单点登录 举例 两个独立的网站 淘宝 和 天猫 只要一方登录上,另一方也就登录上 注意应用a和应用b所获取的jwt token 不是相同的字符串,但通过这个jwt token 解析出来的数据都是一样的 ...
使用Spring Security实现SSO单点登录
weixin_43709538的博客
01-03 729
本文演示了如何在Spring Boot应用程序中实现基于OAuth2的SSO。通过使用Spring Security和OAuth2客户端,我们能够配置应用程序以与身份提供者进行通信,并实现单点登录功能。
spring security 整合sso全记录
celebrateyang的博客
12-03 2010
spring security 整合sso全记录介绍一下我司的sso流程app security 整合sso的思路要解决的问题上代码 介绍一下我司的sso流程 我司的sso流程: app在sso系统注册想被sso拦截的sso url, 本app注册了app/index sso会在公司网关层拦截 app/index的url,根据用户cookie携带的token决定是否触发登录流程(如果已经登录,则直接重定向到app,如果没有登录,则转发到全司统一的sso登录页面) sso验证通过后,会重定向到app,app
springsecurity oauth2.0 单点 授权
10-17
Spring Security OAuth2.0 是一个基于 Spring Security 的 OAuth2.0 实现,它...Spring Security 提供了多种 SSO 实现,包括基于 Cookie 的 SSO 和基于 OAuth2.0SSO。您可以根据您的需求选择适合您的 SSO 实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值