springsecurity扩展session中存放的值

最新推荐文章于 2022-11-12 22:35:59 发布
最新推荐文章于 2022-11-12 22:35:59 发布
阅读量364 收藏 2
点赞数 1
分类专栏: JAVA 文章标签: Spring Security UI Servlet JSP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/magic_dreamer/article/details/83525917
版权
springsecurity扩展session中存放的值

先搞清楚登陆过程的缘由脉络
比较关键的配置文件,在原来的applicationContext-security.xml中增加:
<beans:bean id="authenticationProcessingFilter"
class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter">
<custom-filter before="AUTHENTICATION_PROCESSING_FILTER" />
<beans:property name="authenticationManager" ref="authenticationManager" />
<beans:property name="authenticationFailureUrl" value="/login.action?error=true" />
<beans:property name="defaultTargetUrl" value="/user/user.action" />
<beans:property name="usernameParameter" value="j_username" />
<beans:property name="passwordParameter" value="j_password" />
</beans:bean>
登陆时比较关键的就是这个AuthenticationProcessingFilter
其父类方法org.springframework.security.ui.AbstractProcessingFilter中比较关键的方法:
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response,Authentication authResult) throws IOException, ServletException {
if (logger.isDebugEnabled()) {
logger.debug("Authentication success: " + authResult.toString());
}
SecurityContextHolder.getContext().setAuthentication(authResult);
if (logger.isDebugEnabled()) {
logger.debug("Updated SecurityContextHolder to contain the following Authentication: '" + authResult + "'");
}
if (invalidateSessionOnSuccessfulAuthentication) {
SessionUtils.startNewSessionIfRequired(request, migrateInvalidatedSessionAttributes, sessionRegistry);
}
String targetUrl = determineTargetUrl(request);
if (logger.isDebugEnabled()) {
logger.debug("Redirecting to target URL from HTTP Session (or default): " + targetUrl);
}
onSuccessfulAuthentication(request, response, authResult);
rememberMeServices.loginSuccess(request, response, authResult);
// Fire event
if (this.eventPublisher != null) {
eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
}
sendRedirect(request, response, targetUrl);
}
这个方法是验证成功后的转向方法,其实里面还有个比较重要的onSuccessfulAuthentication,spring这点还不错,支持了子类中去做事情,不过springsecurity的AuthenticationProcessingFilter没有去做罢了。

那么在上次我已经扩展了org.springframework.security.userdetails.User将id放置到了
SecurityContextHolder.getContext().getAuthentication()里面了,那么我自定义一个AuthenticationProcessingFilter,然后在onSuccessfulAuthentication的时候,将id从SecurityContextHolder中取出来放到session中就行了,思路就是这样。开始动手。

写自定义类CustomerAuthenticationProcessingFilter.java:
package org.springside.examples.miniweb.service.security;
import java.io.IOException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import org.springframework.security.Authentication;
import org.springframework.security.AuthenticationException;
import org.springframework.security.providers.UsernamePasswordAuthenticationToken;
import org.springframework.security.ui.AbstractProcessingFilter;
import org.springframework.security.ui.FilterChainOrder;
import org.springframework.security.util.TextUtils;
import org.springframework.util.Assert;
import org.springside.examples.miniweb.entity.user.CustomerUserDetails;
public class CustomerAuthenticationProcessingFilter extends
AbstractProcessingFilter {
public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "j_username";
public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "j_password";
public static final String SPRING_SECURITY_LAST_USERNAME_KEY = "SPRING_SECURITY_LAST_USERNAME";
private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
protected void onSuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
Authentication authResult) throws IOException {
CustomerUserDetails cu = (CustomerUserDetails)authResult.getPrincipal();
request.getSession().setAttribute("UID", cu.getId());
}
public Authentication attemptAuthentication(HttpServletRequest request)
throws AuthenticationException {
String username = obtainUsername(request);
String password = obtainPassword(request);
if (username == null) {
username = "";
}
if (password == null) {
password = "";
}
username = username.trim();
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
username, password);
HttpSession session = request.getSession(false);
if (session != null || getAllowSessionCreation()) {
request.getSession().setAttribute(
SPRING_SECURITY_LAST_USERNAME_KEY,
TextUtils.escapeEntities(username));
}
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
public String getDefaultFilterProcessesUrl() {
return "/j_spring_security_check";
}
protected String obtainPassword(HttpServletRequest request) {
return request.getParameter(passwordParameter);
}
protected String obtainUsername(HttpServletRequest request) {
return request.getParameter(usernameParameter);
}
protected void setDetails(HttpServletRequest request,
UsernamePasswordAuthenticationToken authRequest) {
authRequest.setDetails(authenticationDetailsSource
.buildDetails(request));
}
public void setUsernameParameter(String usernameParameter) {
Assert.hasText(usernameParameter,
"Username parameter must not be empty or null");
this.usernameParameter = usernameParameter;
}
public void setPasswordParameter(String passwordParameter) {
Assert.hasText(passwordParameter,
"Password parameter must not be empty or null");
this.passwordParameter = passwordParameter;
}
public int getOrder() {
return FilterChainOrder.AUTHENTICATION_PROCESSING_FILTER;
}
String getUsernameParameter() {
return usernameParameter;
}
String getPasswordParameter() {
return passwordParameter;
}
}
这个类主要就抄写的AuthenticationProcessingFilter,只在里面新增了方法
protected void onSuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,Authentication authResult) throws IOException {
CustomerUserDetails cu = (CustomerUserDetails)authResult.getPrincipal();
request.getSession().setAttribute("UID", cu.getId());
}
将登陆用户的ID放在了UID里面。
页面上user.jsp测试一下:
ID from Session: <%= request.getSession().getAttribute("UID") %> <br/>
magic_dreamer
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
04-09
综上所述,这个项目提供了一个完整的示例,展示了如何在Spring Boot应用结合Spring Security和JWT实现安全、高效的权限管理。通过深入理解和实践该项目,开发者可以提升在Web安全和身份验证领域的专业技能。
SpringSecurity-10-Session会话管理
zhoubangbang1的博客
03-29 1899
SpringSecurity-10-Session会话管理理解Session Http协议是一种无状态协议所以当服务端需要记录用户的状态时,需要某种机制用于识别用户,这个机制就是Session。服务器通过和用户约定每一个请求携带一个id信息,用于统一用户的请求有了管理,并且区分不同用户。基于session方案,为让用户请求都携带同一个id,并且不妨碍用户体验的情况下,选择cookie作为载体是一个不错的选择,用户第一次访问服务器的时候,没有携带id,服务器端会生成sessionid:session对,并
Spring Security的会话【Session】管理与防御以及会话的并发控制
SunRains
12-17 4101
众所周知,HTTP本身是没有任何关于当前用户状态的内容,也就是两个HTTP请求之间是没有任何的关联可言,用户在和服务器交互的过程,站点无法确定是哪个用户访问,也因此不能对其提供相应的个性化服务。Session的诞生就是为了解决这一个难题,提供了无状态的HTTP请求实现用户状态维持的方案——服务器和用户之间约定每个HTTP请求携带一个ID信息【代表当前用户信息】 服务器通过与用户约定每 个请求都携带一个id类的信息,从而让不同请求之间有了关联,而id又可以很方...
Spring Security3源码分析-UsernamePasswordAuthenticationFilter分析
Dead_Knight的专栏
05-06 296
UsernamePasswordAuthenticationFilter过滤器对应的类路径为 org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 实际上这个Filter类的doFilter是父类AbstractAuthenticationProcessingFilter的 ...
spring security的session管理
qq_36500178的博客
01-24 9865
1 spring security的session管理 spring security关于认证session的逻辑处理在接口SessionAuthenticationStrategy的onAuthentication方法,先看看这个接口和其实现类。 1.1 SessionAuthenticationStrategy接口 public interface SessionAuthenticationStrategy { /** * 当一个认证生成之后处理sessio
Spring Security 取Session和修改userDetails
a1015088819的专栏
11-17 1万+
注意是SessionScrope 1.在session取得spring security的登录用户名如下 ${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}   spring security 把SPRING_SECURITY_CONTEXT 放入了session 没有直接把username
springboot-security.zip
08-29
2. **Spring Security**:Spring Security提供了一套完整的安全解决方案,包括身份验证、授权、CSRF防护、Session管理等。在这个项目,它将被用来实现用户登录验证和权限控制,确保只有经过认证和授权的用户才能...
spring-token-master.rar
02-09
- Spring Security是Spring框架的一个扩展,提供了强大的认证和授权功能。在这个项目,Spring Security将被配置为接收JWT令牌并验证其有效性。 - 通常会创建一个过滤器,检查请求头的Authorization字段,从...
spring web flow demo
08-20
最新的 Spring Web Flow 2.0 则明确声明是基于 Spring Web MVC 的一个扩展。 • 提供了处理 Ajax 事件的能力 Ajax 事件的处理与 Web Flow 事件的处理相一致,在处理完成后, flow 即可刷新客户端相关 界面代码。 • ...
ssh(struts+hibernate+Spring)做的登录
11-11
此外,Spring Security是Spring的一个扩展模块,专门用于安全控制,可以轻松实现复杂的认证和授权机制。 4. **MyEclipse**: MyEclipse 是一个集成开发环境(IDE),支持SSH框架的快速开发。在MyEclipse,开发者...
Spring Security基本框架之登录数据保存
最新发布
大后生大大大的博客
11-12 2968
SecurityContextHolder
SpringSecurity登录用户数据获取
z318913的博客
07-12 2976
SpringSecurity登录用户数据获取
spring-security 多类型用户登录+登录多参数验证
Microblue(严 武)
07-22 9302
如果一个系统分为前台用户和后台用户那么就不能使用spring-security的默认配置了。 需要自己来分开配置两种用户的登录方式。 首先创建spring-disuser-security.xml 与 spring-etuser-security.xml 两个配置文件,分别来配置两种用户登录的权限与验证方式 spring-disuser-security.xml的内容如下 &lt;?xml ...
Spring Security3 自定义登录,验证码登录
qq_33563609的博客
07-03 919
Security3 安全架构 这里主要说的就是spring-security.xml 配置 因为网上这个资料确实很少 首先 pom org.springframework.security 的包 我现在版本是3.1.4的 注意依赖都要导入的 包名就不写了! web.xml security 的过滤器链 <filter> <filter-name>sp...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
SpringSecurity表单用户名和密码登陆
喝醉的咕咕鸟
03-20 2846
流程: 关键点在 :UsernamePasswordAuthenticationFilter:用于处理用户名和密码登陆验证拦截。 public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter { //表单提交的请求参数名称 public stati...
使用SpringSecurity定义的登录认证
懒虫翻身的博客
09-29 1167
太久没有发过博客,总结一波SpringSecurity登录认证,记录每次的学习体验。。。。。。。。。。 实现WebSecurityConfigurerAdapter 配置安全框架 //@EnableWebSecurity 的 JavaConfig 配置类到 IoC 容器 @EnableWebSecurity // 启用方法级别的权限认证@EnableGlobalMethodSecurity(prePostEnabled = true) public class SpringSecu...
SpringSecurity使用记录(五)-- 配置
cfeng1718的博客
06-16 424
一直通过默认配置进行设置: namespace(是security 3.0,网上也看到一些兄弟描述的是3.0,但是总是不符合我这里的namespace配置): 按照默认配置的http(这是用来根据namespace设置的基本的security过滤器chain): auto-config=true时,就相当于 也就是使用了默认的过滤器。...
Spring Security 3.0.1文官方文档翻译版
"Spring_Security-3.0.1_文官方文档(翻译版)是针对Spring Security 3.0.1版本的一个文教程,主要修复了3.0版本存在的bug,并对文档的拼写错误进行了修正。文档涵盖了Spring Security的基础知识、获取方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值