SpringBoot Security 自定义 DaoAuthenticationProvider,重写additionalAuthenticationChecks方法

最新推荐文章于 2024-05-07 14:36:03 发布
最新推荐文章于 2024-05-07 14:36:03 发布
阅读量1.1w 收藏 15
点赞数 5
分类专栏: SpringBoot

开发遇到一件很尴尬的事情,springboot里面使用security做登录验证,但是默认的就是验证username和password,现在的第三方或者短信登录非常流行。我现在的需求是做账号+短信登录(ps:后面还不知道要加啥… so:旧的不能废,只能扩展),接rongcloud sdk

post:/login
params:{
username:mobile,
sessionid:rongcloud_sessionid,
code:验证码
}

我的想法如标题,于是开始找各种娘、哥。。。。。
这个时候度娘都不起作用了o(╥﹏╥)o,谷哥了半天也没详细的解决方案
大多都是使用的xml方式配置
我想用的是springboot 注解(ー`´ー)
最终不知道把谁和谁的想法揉在了一起(尴尬)

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
...
    //-------------------------------①----------------------------------
    @Autowired
    private UserDetailsService userDetailsService;
  //-------------------------------①----------------------------------

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      UserDetailsService userDetailsService= //自定义或者使用①
      auth.authenticationProvider(new LoginAuthenticationProvider(userDetailsService));
          //这东西千万不能忘
      auth.userDetailsService(userDetailsService)
          .passwordEncoder(new Md5PasswordEncoder());
  }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ...
        // 加入自定义UsernamePasswordAuthenticationFilter替代原有Filter
        http.addFilterAt(
                new ApiUsernamePasswordAuthenticationFilter(super.authenticationManager()),
                UsernamePasswordAuthenticationFilter.class);
        ...
    }
...
}

自定义LoginAuthenticationProvider继承DaoAuthenticationProvider重写additionalAuthenticationChecks()这里就是做密码比较的

public class LoginAuthenticationProvider extends DaoAuthenticationProvider {
    public LoginAuthenticationProvider(UserDetailsService userDetailsService) {
        super();
        // 这个地方一定要对userDetailsService赋值,不然userDetailsService是null (这个坑有点深)
        setUserDetailsService(userDetailsService);
    }
    @SuppressWarnings("deprecation")
    protected void additionalAuthenticationChecks(UserDetails userDetails,
            UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        Object salt = null;

        if (this.getSaltSource() != null) {
            salt = this.getSaltSource().getSalt(userDetails);
        }

        if (authentication.getCredentials() == null) {
            logger.debug("Authentication failed: no credentials provided");

            throw new BadCredentialsException(
                    messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }

        String presentedPassword = authentication.getCredentials().toString();
        //我就改了这个地方,增加一个验证码登录标识(具体怎么做就看自己了)
        // 【原本的是登录密码和数据密码不等就抛出异常,我用验证码登录时压根都不知道密码(ー`´ー)】
        //so 我给短信登录时赋值一个默认密码(验证码登录标识)来判断,不让这儿报异常
        if (!presentedPassword.equals("YZMLG_KSssdS1D145Sd4S")) {
            if (!getPasswordEncoder().isPasswordValid(userDetails.getPassword(), presentedPassword, salt)) {
                logger.debug("Authentication failed: password does not match stored value");

                throw new BadCredentialsException(messages
                        .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }
        }
    }

至于这个 #验证码登录标识# 怎么来的就在下面
自定义的Filter

public class ApiUsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    public ApiUsernamePasswordAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(new AntPathRequestMatcher("/login", "POST"));
      ...
    }
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException, IOException, ServletException {
        ....
      //验证码登录
        if(passcode!=null){
            if(sessionid!=null){
                try {
                   //接rongcloud sdk 验证
                    SMSVerifyCodeResult result = smsWapper.verifyCode(sessionid, passcode);
                    if (result.getCode() == 200 && result.getSuccess()) {//验证成功
                        password = "YZMLG_KSssdS1D145Sd4S";//验证码登录标识
                    }else{
                        throw new SessionAuthenticationException("验证码错误");
                    }
                } catch (Exception e) {
                    e.printStackTrace();
                    throw new SessionAuthenticationException("验证码错误");
                }
            }
        }
        username = username.trim();

        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
        ....
        return this.getAuthenticationManager().authenticate(authRequest);
        
    }
}

大概的就是这样
恩,做个笔记(坑+1)

作者:yexue
链接:https://www.jianshu.com/p/955e30866121
来源:简书

双门洞金成均
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringSecurity重写DaoAuthenticationProvider问题
tang_mu_yi的博客
09-03 1980
SpringSecurity重写DaoAuthenticationProvider问题
Spring Boot + Security + JWT 实现Token验证+多Provider——登录系统
weixin_30252155的博客
06-05 561
首先呢就是需求: 1、账号、密码进行第一次登录,获得token,之后的每次请求都在请求头里加上这个token就不用带账号、密码或是session了。 2、用户有两种类型,具体表现在数据库中存用户信息时是分开两张表进行存储的。 为什么会分开存两张表呢,这个设计的时候是先设计的表结构,有分开的必要所以就分开存了,也没有想过之后Security 这块需要进行一些修改,但是分开存就分开存吧,Secu...
Spring Security账号密码认证源码解析
最新发布
H1767410的博客
05-07 805
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Spring Security认证流程分析(6)
weixin_43831002的博客
08-04 1523
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:图 3-3图中显示的流程是一个通用的架构。...
Spring Security重写验证密码-前端传入加密过后的密码
Java_Scholar0的博客
07-25 2321
SpringSecurity重写验证密码-前端传入加密过后的密码。
Spring Authorization Server入门 (十) 添加短信验证码方式登录
云逸的博客
06-17 2016
各种网站应用的登录方式一直在往一个简单、方便且安全的方向发展,传统的账号密码已经不能满足需求了,现在通常都是短信验证码登录、扫码登录、刷脸登录等等,今天这篇文章就写一下如何使用Spring Authorization Server实现短信验证码登录;实际上这些也都是Spring security的内容。
spring security 重写密码比对类DaoAuthenticationProvider
半夏_2021的博客
05-09 2987
spring security 重写密码比对类DaoAuthenticationProvider
Spring Security用户流程总结
月影朦胧的博客
06-28 177
网上有很多Spring Security用户流程的登录文章,比较详细,说的也很清楚。但是对于想快速记忆,以备面试等场景的时候却不太友好。记录一下总结,用于快速记忆知识点。 1、用户表单发起登录请求。 2、后台进入filter,获取到请求里传递来的用户名/密码之后不管密码是否正确,开始构造未认证的UsernamePasswordAuthenticationToken 对象,输入的帐号、密码对应toten的principal 、credentials 属性。 3、下一步 重写UserDetailsS...
SpringBoot安全认证Security的实现方法
08-25
SpringBoot 安全认证 Security 的实现方法 在本文中,我们将详细介绍 SpringBoot 安全认证 Security 的实现方法Security 是一个非常重要的组件,它可以帮助我们保护应用程序免受未经授权的访问。下面我们将一步步...
springboot+security+cas集成demo
11-23
springboot+security+cas集成demo。。
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
spring security oauth2 常用授权方式配置详细教程(二)
tiancxz的专栏
09-30 695
1 spring security oauth2 常用授权方式配置详细教程(二) 上一节写的内容基本上能满足简单应用场景。但是如果前端密码需要密文传输则还不行。 客户端调用密码使用密文还需要修改一些配置。 1.1 授权服务器添加UserAuthenticationProvider 继承DaoAuthenticationProvider,可以在additionalAuthenticationChecks拦截解析密文密码。 /** * @version 1.0.0 * @className:Us
Spring Security系列教程14--基于自定义的认证提供器实现图形验证码
一一哥
09-26 1026
前言 在上一个章节中,一一哥 带大家实现了如何在Spring Security中添加执行自定义的过滤器,进而实现验证码校验功能。这种实现方式,只是实现验证码功能的方式之一,接下来我们再学习另一种实现方式,就是利用AuthenticationProvider来实现验证码功能,通过这个案例,我们学习如何进行自定义AuthenticationProvider。 一. 认证提供器简介 在上一章节中,我带各位利用自定义的过滤器实现了图形验证码效果,接下来我们利用另一种方式,基于自定义的认证提供器来实现图形验证码
Spring Security认证流程源码分析
qianbangmeng8837的博客
08-08 209
一、通用用户权限模型 一般是5个表 用户表 角色表 权限表 用户角色关系表 角色权限对应表 项目里有很多功能,某些功能会与权限绑定,这部分功能只允许某一部分角色使用,用户可以获得多个角色,达到对不同业务功能的访问 spring security和apache shiro是两种比较常用的权限管理框架。boss后台的项目用到了spring security。 二、sp...
SpringSecurity重写DaoAuthenticationProvider自定义密码对比类
化名三爷
03-27 2396
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
1.spring security认证流程
weixin_45974277的博客
02-24 4803
让我们仔细分析认证过程: 1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证,然后交给DaoAuthenticationProvider委托..
SpringBoot+Spring Security 自定义AuthenticationManager初始化源码分析
weixin_45114101的博客
02-22 4926
SpringBoot+Spring Security 自定义AuthenticationManager初始化源码分析
springboot vue前后端分离 security 自定义登录
05-25
好的,我来简单介绍一下Spring Boot和Vue前后端分离中使用Security进行自定义登录的步骤。 首先,我们需要在Spring Boot中引入Spring Security依赖。可以在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 然后,我们需要创建一个类来实现SecurityConfigurerAdapter,并重写configure方法。在这个方法中,我们可以自定义登录页面、登录接口、认证方式等等。以下是一个简单的例子: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Override protected void configure(HttpSecurity http) throws Exception { http .csrf().disable() .authorizeRequests() .antMatchers("/", "/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login").permitAll() .defaultSuccessUrl("/home") .and() .logout().permitAll(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 在上面的代码中,我们使用了一个自定义的UserService来获取用户信息,并使用BCryptPasswordEncoder对密码进行加密。 接下来,我们需要在Vue中发送登录请求,并将输入的用户名和密码传递给后端进行认证。可以使用axios库来发送请求。以下是一个简单的例子: ```javascript axios.post('/login', { username: 'user', password: 'password' }).then(response => { // 登录成功,获取返回的token并保存到本地 const token = response.data.token; localStorage.setItem('token', token); }).catch(error => { // 登录失败,输出错误信息 console.error(error.response.data); }); ``` 在上面的代码中,我们发送了一个POST请求到/login接口,参数为username和password。如果登录成功,后端会返回一个token,我们将其保存到本地。如果登录失败,后端会返回一个错误信息,我们将其输出到控制台。 最后,我们需要在后端中验证token。可以在每个接口中添加一个拦截器,在拦截器中进行token的验证。以下是一个简单的例子: ```java public class JwtInterceptor implements HandlerInterceptor { @Autowired private UserService userService; @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 从请求头中获取token String token = request.getHeader("Authorization"); if (token == null) { throw new UnauthorizedException("未登录"); } // 验证token String username = JwtUtil.getUsername(token); User user = userService.loadUserByUsername(username); if (!JwtUtil.verify(token, username, user.getPassword())) { throw new UnauthorizedException("无效的token"); } return true; } } ``` 在上面的代码中,我们从请求头中获取token,并使用JwtUtil对token进行验证。如果验证通过,就说明用户已经登录。如果验证失败,就说明token无效,需要重新登录。 以上就是Spring Boot和Vue前后端分离中使用Security进行自定义登录的步骤。希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值