Spring Security3.1登陆验证

最新推荐文章于 2023-05-09 00:31:38 发布
最新推荐文章于 2023-05-09 00:31:38 发布
阅读量159 收藏
点赞数
分类专栏: java 文章标签: java php xhtml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvdong5830/article/details/84128612
版权

Spring Security3.1登陆验证

分类: spring 2011-05-21 20:40  2401人阅读  评论(8)  收藏  举报

一、前言

      在上一篇http://blog.csdn.net/k10509806/archive/2011/04/28/6369131.aspx文章中,提到的MyUserDetailServiceImpl获取用户权限,在用户没有登陆的时候,Spring Security会让我们自动跳转到默认的登陆界面,但在实际应用绝大多数是用我们自己的登陆界面的,其中就包括一些我们自己的逻辑,比如验证码。所以本人又研究一下,终于摸清了一些如何配置自己的登陆界面的办法。在这里献丑了。

 

二、Spring Security的过滤器

      通过DEBUG可以看到Spring Security的Filter的顺序

Security filter chain: [
  ConcurrentSessionFilter
  SecurityContextPersistenceFilter
  LogoutFilter
  MyUsernamePasswordAuthenticationFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  RememberMeAuthenticationFilter
  AnonymousAuthenticationFilter
  SessionManagementFilter
  ExceptionTranslationFilter
  MySecurityFilter
  FilterSecurityInterceptor
]

Spring Security的登陆验证用的就是MyUsernamePasswordAuthenticationFilter,所以要实现我们自己的验证,可以写一个类并继承MyUsernamePasswordAuthenticationFilter类,重写attemptAuthentication方法。

 

三、applicationContext-Security.xml配置

 

[xhtml]  view plain copy
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans:beans xmlns="http://www.springframework.org/schema/security"  
  3.     xmlns:beans="http://www.springframework.org/schema/beans"  
  4.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  5.     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  6.                         http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
  7.                           
  8.     <debug/>        
  9.     <http pattern="/js/**" security="none"/>  
  10.     <http pattern="/resource/**" security="none"></http>  
  11.     <http pattern="/login.jsp" security="none"/>  
  12.       
  13.     <http use-expressions="true" entry-point-ref="authenticationProcessingFilterEntryPoint">  
  14.         <logout/>  
  15.         <!-- 实现免登陆验证 -->  
  16.         <remember-me />  
  17.         <session-management invalid-session-url="/timeout.jsp">  
  18.             <concurrency-control max-sessions="10" error-if-maximum-exceeded="true" />  
  19.         </session-management>  
  20.           
  21.         <custom-filter ref="loginFilter" position="FORM_LOGIN_FILTER"  />  
  22.         <custom-filter ref="securityFilter" before="FILTER_SECURITY_INTERCEPTOR"/>  
  23.     </http>  
  24.       
  25.     <!-- 登录验证器 -->  
  26.     <beans:bean id="loginFilter"  
  27.         class="com.huaxin.security.MyUsernamePasswordAuthenticationFilter">  
  28.         <!-- 处理登录的action -->  
  29.         <beans:property name="filterProcessesUrl" value="/j_spring_security_check"></beans:property>  
  30.                 <!-- 验证成功后的处理-->  
  31.         <beans:property name="authenticationSuccessHandler" ref="loginLogAuthenticationSuccessHandler"></beans:property>  
  32.                 <!-- 验证失败后的处理-->  
  33.         <beans:property name="authenticationFailureHandler" ref="simpleUrlAuthenticationFailureHandler"></beans:property>  
  34.         <beans:property name="authenticationManager" ref="myAuthenticationManager"></beans:property>  
  35.         <!-- 注入DAO为了查询相应的用户 -->  
  36.         <beans:property name="usersDao" ref="usersDao"></beans:property>  
  37.     </beans:bean>  
  38.     <beans:bean id="loginLogAuthenticationSuccessHandler"  
  39.         class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">  
  40.         <beans:property name="defaultTargetUrl" value="/index.jsp"></beans:property>  
  41.     </beans:bean>  
  42.     <beans:bean id="simpleUrlAuthenticationFailureHandler"  
  43.         class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">  
  44.         <!-- 可以配置相应的跳转方式。属性forwardToDestination为true采用forward false为sendRedirect -->  
  45.         <beans:property name="defaultFailureUrl" value="/login.jsp"></beans:property>  
  46.     </beans:bean>  
  47.       
  48.     <!-- 认证过滤器 -->  
  49.     <beans:bean id="securityFilter" class="com.huaxin.security.MySecurityFilter">  
  50.         <!-- 用户拥有的权限 -->  
  51.         <beans:property name="authenticationManager" ref="myAuthenticationManager" />  
  52.         <!-- 用户是否拥有所请求资源的权限 -->  
  53.         <beans:property name="accessDecisionManager" ref="myAccessDecisionManager" />  
  54.         <!-- 资源与权限对应关系 -->  
  55.         <beans:property name="securityMetadataSource" ref="mySecurityMetadataSource" />  
  56.     </beans:bean>  
  57.     <!-- 实现了UserDetailsService的Bean -->  
  58.     <authentication-manager alias="myAuthenticationManager">  
  59.         <authentication-provider user-service-ref="myUserDetailServiceImpl" />  
  60.     </authentication-manager>  
  61.       
  62.     <beans:bean id="myAccessDecisionManager" class="com.huaxin.security.MyAccessDecisionManager"></beans:bean>  
  63.     <beans:bean id="mySecurityMetadataSource" class="com.huaxin.security.MySecurityMetadataSource">  
  64.         <beans:constructor-arg name="resourcesDao" ref="resourcesDao"></beans:constructor-arg>  
  65.     </beans:bean>  
  66.     <beans:bean id="myUserDetailServiceImpl" class="com.huaxin.security.MyUserDetailServiceImpl">  
  67.         <beans:property name="usersDao" ref="usersDao"></beans:property>  
  68.     </beans:bean>  
  69.       
  70.     <!-- 未登录的切入点 -->  
  71.     <beans:bean id="authenticationProcessingFilterEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">  
  72.         <beans:property name="loginFormUrl" value="/login.jsp"></beans:property>  
  73.     </beans:bean>  
  74. </beans:beans>  

 

这里特别要说明一下,我们的<http>标签不能配置auto-config,因为这样配置后,依然会采用Spring Security的Filter Chain会与下面我们配的custom-filter冲突,最好会抛异常。还有配置一个切入点entry-point-ref="authenticationProcessingFilterEntryPoint",为了在未登陆的时候,跳转到哪个页面,不配也会抛异常。

 <custom-filter ref="loginFilter" position="FORM_LOGIN_FILTER"  /> position表示替换掉Spring Security原来默认的登陆验证Filter。

 

四、MyUsernamePasswordAuthenticationFilter

 

[java]  view plain copy
  1. package com.huaxin.security;  
  2.   
  3. import javax.servlet.http.HttpServletRequest;  
  4. import javax.servlet.http.HttpServletResponse;  
  5. import javax.servlet.http.HttpSession;  
  6.   
  7. import org.apache.commons.lang.xwork.StringUtils;  
  8. import org.springframework.security.authentication.AuthenticationServiceException;  
  9. import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;  
  10. import org.springframework.security.core.Authentication;  
  11. import org.springframework.security.core.AuthenticationException;  
  12. import org.springframework.security.web.WebAttributes;  
  13. import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;  
  14.   
  15. import com.huaxin.bean.Users;  
  16. import com.huaxin.dao.UsersDao;  
  17.   
  18. /* 
  19.  *  
  20.  * UsernamePasswordAuthenticationFilter源码 
  21.     attemptAuthentication 
  22.         this.getAuthenticationManager() 
  23.             ProviderManager.java 
  24.                 authenticate(UsernamePasswordAuthenticationToken authRequest) 
  25.                     AbstractUserDetailsAuthenticationProvider.java 
  26.                         authenticate(Authentication authentication) 
  27.                             P155 user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication); 
  28.                                 DaoAuthenticationProvider.java 
  29.                                     P86 loadUserByUsername 
  30.  */  
  31. public class MyUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter{  
  32.     public static final String VALIDATE_CODE = "validateCode";  
  33.     public static final String USERNAME = "username";  
  34.     public static final String PASSWORD = "password";  
  35.       
  36.     private UsersDao usersDao;  
  37.     public UsersDao getUsersDao() {  
  38.         return usersDao;  
  39.     }  
  40.     public void setUsersDao(UsersDao usersDao) {  
  41.         this.usersDao = usersDao;  
  42.     }  
  43.   
  44.     @Override  
  45.     public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {  
  46.         if (!request.getMethod().equals("POST")) {  
  47.             throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());  
  48.         }  
  49.         //检测验证码  
  50.         checkValidateCode(request);  
  51.           
  52.         String username = obtainUsername(request);  
  53.         String password = obtainPassword(request);  
  54.           
  55.         //验证用户账号与密码是否对应  
  56.         username = username.trim();  
  57.           
  58.         Users users = this.usersDao.findByName(username);  
  59.           
  60.         if(users == null || !users.getPassword().equals(password)) {  
  61.     /* 
  62.               在我们配置的simpleUrlAuthenticationFailureHandler处理登录失败的处理类在这么一段 
  63.         这样我们可以在登录失败后,向用户提供相应的信息。 
  64.         if (forwardToDestination) { 
  65.             request.setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, exception); 
  66.         } else { 
  67.             HttpSession session = request.getSession(false); 
  68.  
  69.             if (session != null || allowSessionCreation) { 
  70.                 request.getSession().setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, exception); 
  71.             } 
  72.         } 
  73.      */  
  74.             throw new AuthenticationServiceException("用户名或者密码错误!");   
  75.         }  
  76.           
  77.         //UsernamePasswordAuthenticationToken实现 Authentication  
  78.         UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);  
  79.         // Place the last username attempted into HttpSession for views  
  80.           
  81.         // 允许子类设置详细属性  
  82.         setDetails(request, authRequest);  
  83.           
  84.         // 运行UserDetailsService的loadUserByUsername 再次封装Authentication  
  85.         return this.getAuthenticationManager().authenticate(authRequest);  
  86.     }  
  87.       
  88.     protected void checkValidateCode(HttpServletRequest request) {   
  89.         HttpSession session = request.getSession();  
  90.           
  91.         String sessionValidateCode = obtainSessionValidateCode(session);   
  92.         //让上一次的验证码失效  
  93.         session.setAttribute(VALIDATE_CODE, null);  
  94.         String validateCodeParameter = obtainValidateCodeParameter(request);    
  95.         if (StringUtils.isEmpty(validateCodeParameter) || !sessionValidateCode.equalsIgnoreCase(validateCodeParameter)) {    
  96.             throw new AuthenticationServiceException("验证码错误!");    
  97.         }    
  98.     }  
  99.       
  100.     private String obtainValidateCodeParameter(HttpServletRequest request) {  
  101.         Object obj = request.getParameter(VALIDATE_CODE);  
  102.         return null == obj ? "" : obj.toString();  
  103.     }  
  104.   
  105.     protected String obtainSessionValidateCode(HttpSession session) {  
  106.         Object obj = session.getAttribute(VALIDATE_CODE);  
  107.         return null == obj ? "" : obj.toString();  
  108.     }  
  109.   
  110.     @Override  
  111.     protected String obtainUsername(HttpServletRequest request) {  
  112.         Object obj = request.getParameter(USERNAME);  
  113.         return null == obj ? "" : obj.toString();  
  114.     }  
  115.   
  116.     @Override  
  117.     protected String obtainPassword(HttpServletRequest request) {  
  118.         Object obj = request.getParameter(PASSWORD);  
  119.         return null == obj ? "" : obj.toString();  
  120.     }  
  121.       
  122.       
  123. }  

 

有时间,大家看看源码吧。

 

五、login.jsp

 

[php]  view plain copy
  1. <body>  
  2.   <span style="color:red"><%=session.getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION) %></span>  
  3.    <form action="j_spring_security_check" method="post">  
  4.     Account:<Input name="username"/><br/>  
  5.     Password:<input name="password" type="password"/><br/>  
  6.     <input value="submit" type="submit"/>  
  7.    </form>  
  8.  </body>  

 

 

六、完了,源码大家可以看下我上一篇文章http://blog.csdn.net/k10509806/archive/2011/04/28/6369131.aspx

lvdong5830
关注
专栏目录
SpringSecurity实现登录认证及权限验证
Alice
09-22 4万+
目标在原公司有专门的登录验证和权限管理服务,换公司后在最近项目中需要使用Spring Security自主实现分布式系统的用户验证授权及权限验证功能,因此花了两天时间研究并实现了该方案: 功能点细分: 1. 基于REST请求的登录 2. 用户名密码验证验证成功后给用户授权 3. http请求的权限配置和验证 4. 方法级别的权限配置和验证 5. 分布式环境中用户权限共享分析及
spring security4 security="none"小讲
Chenctrl的博客
10-29 7313
在学习spring security4时,参考文档,spring-security.xml有如下片段: http pattern="/resources/**" security="none" /> http pattern="/login" security="none"/> http auto-config="true" use-expressions="true
SpringSecurity系列 - 11 前后端分离表单认证:自定义过滤器替换 UsernamePasswordAuthenticationFilter
你今天真好看呀
09-16 2691
SpringSecurity系列一:10 传统Web项目表单认证: UsernamePasswordAuthenticationFilter 过滤器在前后端分离的项目中,前端会以 json 格式来传递参数,这就需要我们自定义登录过滤器链来实现。
spring security 替换默认的filter
十万小时之旅
03-28 1344
覆盖默认配置的方法:&lt;security:custom-filter position="alias"/&gt;,position为相应filter的别名。  对应关系:   CHANNEL_FILTER ChannelProcessingFilter CONCURRENT_SESSION_FILTER ConcurrentSessionFilter SESSION_...
Security 自定义 UsernamePasswordAuthenticationFilter 替换原拦截器
热门推荐
Soutv - Hello Bug !
12-04 1万+
背景: 默认的 UsernamePasswordAuthenticationFilter过滤器通过 from 表单 post 请求形式获取用户名密码参数,并且请求头为 application/x-www-form-urlencoded, 并通过 ==request.getParameter(this.usernameParameter)==获取用户名密码 参考源码 : @Override public Authentication attemptAuthentication(HttpServletRequ
史上最简单的Spring Security教程(二十五):UsernamePasswordAuthenFilter详解
银河架构师的博客
08-28 3771
​在Spring Security框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。 下面我们就来一起详细了解一下这个 Filter 的具体功用。 首先,既然是Filter,势必要实现 Filter 接口吧,不过,确实实现了 Filter 接口。 从上图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系,也确实实现了 Filter 接口。 那么,我们便从..
spring_security_3.1
09-14
5. **CSRF(跨站请求伪造)防护**:Spring Security 3.1默认提供了对CSRF攻击的防护,通过生成和验证CSRF令牌来确保只有合法的请求被处理。 6. **Remember Me服务**:此特性允许用户在一段时间内无需重新登录。...
spring security 3.1 配置登陆页面
08-04
Spring Security 3.1版本中,配置登录页面是实现用户身份验证的关键步骤。本文将深入探讨如何配置自定义的登录页面,以及相关的核心概念和技术。 首先,我们需要理解Spring Security的基本架构。它由一系列拦截器...
Spring Security 3.1 配置实例,有URL 方法拦截,都存数据库 maven
04-05
Spring Security允许我们定义哪些URL路径需要用户进行身份验证才能访问。这通常通过在`web.xml`中配置`<http>`元素来实现。例如: ```xml **" access="ROLE_ADMIN" /> **" access="ROLE_USER, ROLE_ADMIN" /> ...
Spring Security3.1实践
04-09
Spring Security 3.1 实践》 Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用中。在Spring Security 3.1版本中,它提供了一套全面的安全解决方案,涵盖了从用户...
spring security3.1 实现验证码自定义登录
03-29
Spring Security 3.1 实现验证码自定义登录详解》 在现代Web应用程序的安全管理中,Spring Security是一个不可或缺的框架,它提供了强大的访问控制和身份验证功能。在本文中,我们将深入探讨如何在Spring ...
UsernamePasswordAuthenticationFilter详解
小汤圆
08-11 5035
表单认证是最常用的一个认证方式,一个最直观的业务场景便是允许用户在表单中输入用户名和密码进行登录,而这背后的UsernamePasswordAuthenticationFilter,在整个Spring Security的认证体系中则扮演着至关重要的角色。 源码分析 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter#attemptAuthentication public Authenti
spring security 一个验证码登录例子
珍惜
04-03 708
看完shiro,在看spring security感觉快了很多,最开始看spring security的时候,非常晕,看完我觉得spring security做了太多事,以至于程序员都不知道,是怎么实现的,这样的后果就是 当出现错误,或者需要修改的时候感觉无从下手。个人理解,若有错误,请指正。spring security跟shiro类似,都是使用过滤器来认证和授权,不同的是spring seci...
SpringSecurity中更改登录验证
最新发布
qq_58137891的博客
05-09 275
1、需要重新定义一个@PostMapper请求处理前端发出的验证信息,使用@RequestBody获取前端的username与password。这里计划专门定义一个LoginService接口实现该内容。2、配置文件,在@Configration中配置组件。将/login设置为允许匿名访问。
Spring Security 在登录时如何添加图形验证
BASK2312的博客
11-14 1209
这里继承的过滤器为,并重写方法。用户登录的用户名/密码是在类中处理,那我们就继承这个类,增加对验证码的处理。、,不过处理起来会比继承麻烦一点。@Override// 需要是 POST 请求if (!}// 获得请求验证码值// 获得 session 中的 验证码值throw new AuthenticationServiceException("验证码不能为空!");}
认证授权——SpringSecurity
如不來的博客
07-24 491
一、简介  Spring SecuritySpring Framework的一个子项目,之前叫做Acegi Security,用于保护各种Java应用,是一个权限管理和访问控制框架,在基于Java的Web应用中使用广泛。  Spring Security能以声明的方式来保护Web应用,比如限制URL的访问,这对于SpringSecurity来说只需要简单的配置即可。  Spring Securi...
Spring Security 使用JSON格式参数登录的两种方式
BASK2311的博客
11-21 752
通过前面几篇文章的分析,我们已经知道了登录参数的提取在过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。的源代码如下:接下来就是将我们自定义的 LoginFilter 过滤器代替默认的。当我们替换了之后,原本在 SecurityConfig#configure 方法中关于 form 表单的配置就会失效,那些失效的属性,都可以在配置 LoginFilter 实例的时候配置;还需要记得配置,否则启动时会报错。
这两天对于springboot security使用的总结
weixin_45774882的博客
08-20 304
spring security 使用点滴
SpringSecurity默认过滤器链之UsernamePasswordAuthenticationFilter
欢谷悠扬
07-12 1771
1.作用 这个Filter是通过用户名和密码进行认证(登录)的。系统默认有三种认证Filter。 ClientCredentialsTokenEndpointFilter: 基于oauth2 token的认证入口 Oauth2ClientAuthenticationProcessingFilter:oauth2 客户端用于从授权服务器获取accessToken进行认证 2.认证统一流程AbstractAuthenticationProcessingFilter public void doFilte
Spring Security 3.1中文入门与配置详解
Spring Security 3.1在当时是一个重要的里程碑,支持了Web应用程序的安全需求,如身份验证、授权、会话管理和开放ID集成等。 手册的核心部分是关于Spring Security的命名空间配置,这是配置Spring Security的一种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值