Springboot整合SpringSecurity 06-登陆扩展之自定义登陆验证逻辑

最新推荐文章于 2024-05-08 19:47:36 发布
最新推荐文章于 2024-05-08 19:47:36 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: Spring 文章标签: SpringSecurity 自定义登陆校验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34988540/article/details/100810297
版权

Springboot整合SpringSecurity 06-登陆扩展之自定义登陆验证逻辑

前面我们使用JDBC来验证登陆其实平常开发已经够用了。
但是有时候会有一些特别的需求: 比如需要远程登陆,并不是我们本地的数据库进行账号密码验证,登陆接口在另一台远程服务器上面。
这个时候JDBC的方式已经不能满足我们了。
本章以远程登陆为例,讲解SpringSecurity如何实现自定义远程登陆验证账号密码。

本系列的按顺序写的,如果对于某些代码不清楚,请看下前面的几篇文章。
Springboot整合SpringSecurity 01-使用入门
Springboot整合SpringSecurity 02-使用自定义登陆页面
Springboot整合SpringSecurity 03-访问权限控制
Springboot整合SpringSecurity 04-启用登出logout功能
Springboot整合SpringSecurity 05-使用JDBC实现认证和授权
Springboot整合SpringSecurity 06-登陆扩展之自定义登陆验证逻辑
Springboot整合SpringSecurity 07-方法访问权限控制

1. 新建一个本例的UserDetailsService

/**
 * 远程登陆的时候的UserService。因为是远程登陆。所以这里其实是不需要的。
 * 之前的UserService是获取用户信息交给SpringSecurity去校验。
 * 现在我们不需要SpringSecurity校验,所以这个UserService实现其实是为了骗SpringSecurity。
 * 让他能够验证通过,好能够进行后面的逻辑,也就是我们自己的自定义逻辑。
 *
 * 这里如果不返回有效的userDetails,那么SpringSecurity就会报认证失败,所以这个实现就是个幌子。
 *
 * @author flw
 */
@Service
public class UserService2 implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserVo vo = new UserVo();
        vo.setUsername(username);
        vo.setPassword("{MD5}123456");
        return vo;
    }
}

因为SpringSecurity在账号密码验证前需要先从UserDetailsService根据账号获取userDetails。
但是其实我们远程登陆并不需要这个userDetails,因为我们真正要根据去验证的地方是在远程服务器。
但是如果UserDetailsService返回的是null,那么SpringSecurity会直接报错认证失败。
所以这里我们直接返回一个空白的userVo,说白了就是骗下Spring。

2. 创建登陆验证相关逻辑处理类。

2.1 登陆扩展之AuthenticationDetailsSource(看需求是否需要)

因为SpringSecurity的验证逻辑里面默认是只有本地登陆请求中的用户名密码的,如果你还需要本次请求中的其他参数,那么你就需要向下面这样做。如果不需要额外参数的话,这里可以跳过的。

首先创建一个LoginVo用来保存登陆除了账号密码以外我们需要的参数。本例中我们假设额外有nickName,age。这个等下有用。

public class LoginVo {

    private String nickName;

    private String age;

    public String getNickName() {
        return nickName;
    }

    public void setNickName(String nickName) {
        this.nickName = nickName;
    }

    public String getAge() {
        return age;
    }

    public void setAge(String age) {
        this.age = age;
    }
}

然后,创建一个AuthenticationDetailsSource来创建details。这个后面验证的时候有用。

public class MyWebAuthenticationDetailsSource implements
        AuthenticationDetailsSource<HttpServletRequest, LoginVo> {

    @Override
    public LoginVo buildDetails(HttpServletRequest request) {
        String age = request.getParameter("age");
        LoginVo loginVo = new LoginVo();
        if (StringUtils.isNotBlank(age)) {
            loginVo.setAge(age);
        }
        String nickName = request.getParameter("nickName");
        if (StringUtils.isNotBlank(nickName)) {
            loginVo.setNickName(nickName);
        }
        return loginVo;
    }

}

注意这个实现有两个泛型,第一个泛型HttpServletRequest是SpringSecurity在认证的时候已经确定的,不能修改了,而第二个泛型就是我们的额外信息,这个可以是随便我们的实体类。

2.2 创建登陆校验核心类。
public class MyAuthenticationProvider extends DaoAuthenticationProvider {

    public MyAuthenticationProvider(UserDetailsService userDetailsService) {
        setUserDetailsService(userDetailsService);
    }

    /**
     *
     * @param userDetails 是我们的userDetailsService里面获取的数据
     * @param authentication 是请求的账号和密码以及一些额外信息
     * @throws AuthenticationException
     */
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails,
                                                  UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        //这里就是一个例子,表明我们可以从details里面获取很多额外信息
        LoginVo details = (LoginVo) authentication.getDetails();
        System.out.println(details.getAge());
        System.out.println(details.getNickName());

        String username = authentication.getPrincipal().toString();
        String password = authentication.getCredentials().toString();

        List<String> role = loginRemote(username, password);
        if (CollectionUtils.isEmpty(role)) {
            throw new BadCredentialsException("错误的用户名和密码");
        }
        UserVo user = (UserVo) userDetails;
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (String s : role) {
            authorities.add(() -> s);
        }
        user.setAuthorities(authorities);
    }

    /**
     * 模拟远程登陆
     *
     * 这里我们实际就是加个本地判断
     * @param username
     * @param password
     */
    private List<String> loginRemote(String username, String password) {
        if ("admin".equals(username) && "adminpwd".equals(password)) {
            return Collections.singletonList("ROLE_ADMIN");
        } else if ("user".equals(username) && "userpwd".equals(password)) {
            return Collections.singletonList("ROLE_USER");
        } else if ("dba".equals(username) && "dbapwd".equals(password)) {
            List<String> list = new ArrayList<>();
            list.add("ROLE_USER");
            list.add("ROLE_DBA");
            return list;
        }
        return null;
    }
}

DaoAuthenticationProvider : SpringSecurity默认的登陆校验处理器。
MyAuthenticationProvider: 因为我们只是更改登陆校验逻辑,所以只需要修改DaoAuthenticationProvider的additionalAuthenticationChecks()方法,所以这里我就选择了继承DaoAuthenticationProvider重写他的验证方法。

additionalAuthenticationChecks:
参数一: userDetails 是我们的userDetailsService里面获取的数据,就是我们的空白UserVo
参数二: authentication 是请求的账号和密码以及一些额外信息,这个额外信息就是我们上面创建的LoginVo

注意: SpringSecurity里面的验证失败等错误都是通过抛出异常来实现的。就是我们上面的BadCredentialsException

3. 修改WebSecurityConfig

@EnableWebSecurity
@MapperScan("com.demo.spring.security.mapper")
public class WebSecurityConfig extends WebSecurityConfigurerAdapter  {

    @Autowired
    private UserDetailsService userService;

    @Autowired
    private UserDetailsService userService2;

//    @Bean
//    @Override
//    public UserDetailsService userDetailsService() {
//        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
//        manager.createUser(User.withDefaultPasswordEncoder().username("user")
//                .password("user").roles("USER").build());
//        manager.createUser(User.withDefaultPasswordEncoder().username("admin")
//                .password("admin").roles("ADMIN").build());
//        manager.createUser(User.withDefaultPasswordEncoder().username("dba")
//                .password("dba").roles("DBA","USER").build());
//        return manager;
//    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(new MyAuthenticationProvider(userService2));
    }
  
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
//                .userDetailsService(userService)
                .userDetailsService(userService2)
                .authorizeRequests()
                .antMatchers("/static/**", "/common/**","/login/**").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").access("hasRole('USER') and hasRole('DBA')")
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .authenticationDetailsSource(new MyWebAuthenticationDetailsSource())
                .successHandler(new MyAuthenticationSuccessHandler())
                .permitAll()
                .and()
                .logout()
//                .logoutUrl("/my/logout")
//                .logoutSuccessUrl("/my/index")
//                .logoutSuccessHandler(null)
                .invalidateHttpSession(true)
//                .addLogoutHandler(null)
                .deleteCookies("testCookie", "testCookie2")
                .permitAll();
    }

}

这里我们主要就修改了以上两点:
一:更改 userDetailsService(userService2)使用我们哪个空白的userService2
二:authenticationProvider(new MyAuthenticationProvider(userService2))配置认证提供者为我们的
MyAuthenticationProvider。

注意我们的MyAuthenticationProvider是在configure(AuthenticationManagerBuilder auth)里面配置的。这里面一定不要使用super.configure(auth);因为我们要重写Manager,不用默认的Provider。

4. 修改登陆页面login.html

<!DOCTYPE HTML>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org" >
<link rel="stylesheet" type="text/css" th:href="@{/static/css/test.css}"/>
<body>
<h1>This is My Login Page</h1>
<form th:action="@{/login}" method="post">
    <p th:if="${error != null}">
        <span>
            <font class="error">Invalid username and password.</font>
        </span>
    </p>
    <p th:if="${logout != null}">
        <span>You are logout.</span>
    </p>
    <p>
        <label for="username">Username</label>
        <input class="username" type="text" id="username" name="username"/>
    </p>
    <p>
        <label for="password">Password</label>
        <input type="password" id="password" name="password"/>
    </p>
    <p>
        <label for="nickName">nickName</label>
        <input type="text" id="nickName" name="nickName"/>
    </p>
    <p>
        <label for="age">age</label>
        <input type="text" id="age" name="age"/>
    </p>
    <input type="hidden"
           th:name="${_csrf.parameterName}"
           th:value="${_csrf.token}"/>
    <button type="submit" class="btn">Log in</button>
</form>
</body>
</html>

我们在原有的基础上面新增了两个文本框,nickName和age,用来模拟登陆需要除了用户名密码以外参数的场景。

5. 启动项目验证

现在我们的自定义登陆验证逻辑就已经完成了。
启动项目后我们访问登陆页面:

http://localhost:10022/security/login

输入账号密码admin/adminpwd,

然后访问需要ADMIN权限的/admin/hello接口:

http://localhost:10022/security/admin/hello

结果可以成功访问。

然后我们访问需要USER和DBA权限的/user/hello接口

http://localhost:10022/security/user/hello

结果403,项目改造完成。

枫林晚丶
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 自定义认证逻辑
qq_34136709的博客
05-08 528
SpringSecurity 自定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
SpringBoot 集成 Spring Security 自定义认证逻辑备忘
热门推荐
nangongyanya的专栏
08-28 1万+
引入 Spring Security 之后(Spring Security 的引入请浏览《SpringBoot 引入 Spring Security 备忘》),Spring Security 将会通过其内置的拦截器对URL进行拦截,以此来管理登录验证和用户权限验证。 当用户登陆时,会被 AuthenticationProcessingFilter 拦截,调用 AuthenticationMana...
Spring boot 集成Spring security自定义认证
Nopromises的博客
09-16 410
SpringBoot集成Spring Security分析1.首先,导入依赖:2.覆盖spring security的原认证配置:3.处理用户信息获取逻辑登陆凭证校验登陆规则校验:凭证加密:总结: 1.首先,导入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifac...
springboot项目中登录校验
最新发布
qq_58216887的博客
05-08 2029
springboot项目登录相关问题及解决方案
Spring Boot Security自定义用户认证逻辑
mengtianqq的博客
01-03 274
Spring Boot Security自定义用户认证逻辑 目录 1、实现WebSecurityConfigurerAdapter虚拟类, 2、实现接口UserDetailsService类:MyUserDetailsService 3、登录页的控制器 4、登录页的HTML代码 5、效果:启动项目,在浏览器输入你的地址。会自动跳到登录页 1、实现WebSecurityConfigur...
Spring Security在登录验证中增加额外数据(如验证码)
weixin_34248849的博客
07-13 973
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthe...
SpringBoot整合权限控制SpringSecurity.docx
12-10
总结来说,SpringBoot整合SpringSecurity提供了全面的权限控制,而Element UI的多标签页组件则优化了前端用户界面,使得在后台管理系统中可以轻松地在多个功能页面之间切换。这种结合使用的方式不仅提升了系统的安全...
Spring Boot中整合Spring Security自定义验证代码实例
08-30
Spring Boot应用中整合Spring Security是为了提供安全控制,保护应用程序免受未经授权的访问。下面将详细解释如何在Spring Boot中实现这一过程,并自定义验证逻辑。 首先,我们需要在`pom.xml`中引入Spring ...
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
SpringBoot整合Spring Security.docx
07-03
在实际应用中,整合Spring Security需要配置安全拦截规则、认证和授权逻辑,以及与数据库的交互来存储和验证用户信息。通常,首先需要定义安全配置类,扩展WebSecurityConfigurerAdapter,并覆盖其configure方法,...
springboot+springSecurity的Demo实例
09-24
通过这个Demo,开发者可以学习如何在SpringBoot项目中整合SpringSecurity,理解安全配置的原理,以及如何处理登录、权限控制等常见的安全问题。对于初学者来说,这是一个很好的实践起点,能够帮助他们快速掌握这两个...
Spring Security在标准登录表单中添加一个额外的字段
08-26
主要介绍了Spring Security在标准登录表单中添加一个额外的字段,我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。 需要的朋友可以参考下
Spring Security实现自定义验证的两种方式及Restful登录验证
ntsjun的专栏
08-25 2116
在现实项目中,经常出现用户登录验证时,需要验证除了用户名、密码外的其他项,或额外的验证逻辑。当使用Spring Security框架时,就需要修改默认的验证方式。当以form表单方式登录时,可以有两种方式实现,任意实现一种即可。以Restful的方式提交JSON格式参数登录时或Restful,form方式混用时,可以两种方式结合使用。 第一种方式,自定义Authenticatio...
Spring Security快速入门(二)自定义登录逻辑
weixin_44283682的博客
03-16 2597
Spring Security快速入门(二)一、UserDetailsService接口二、User类1. User类中authorities字段三、PasswordEncoder接口四、实现自定义登录逻辑1. 编写配置类2. 自定义逻辑 从上一篇博客中可以看见,当我们什么都没有配置的时候,账号和密码都是由Spring Security定义生成的。而再实际项目中账号和密码都是从数据库中查询出来的。所以我们需要通过自定义逻辑控制认证登录。 一、UserDetailsService接口 需要自定义逻辑时,我们只
附加java参数,Spring Security登录中的附加参数
weixin_33623088的博客
03-02 404
I have managed the login function in my application with Spring Security. I'm doing that with the two default parameters (username and password) and it's work properly.However, I need to add an extra ...
Spring Security 额外登录字段
白石的专栏
12-06 511
在本文中,我们将通过**向标准登录表单添加一个额外字段来使用**[Spring Security](https://projects.spring.io/spring-security/)实现自定义身份验证场景。
spring-security 多类型用户登录+登录多参数验证
Microblue(严 武)
07-22 9304
如果一个系统分为前台用户和后台用户那么就不能使用spring-security的默认配置了。 需要自己来分开配置两种用户的登录方式。 首先创建spring-disuser-security.xml 与 spring-etuser-security.xml 两个配置文件,分别来配置两种用户登录的权限与验证方式 spring-disuser-security.xml的内容如下 &lt;?xml ...
Spring Security的用户登录和权限配置
yuanyuneixin1的专栏
05-31 1163
这篇博客可以让我们了解到,如何将用户的登录信息(用户名、密码和角色)放入内存中,并配置不同的角色可以访问不同的路径 配置用户名、密码和角色 我们只需要重写WebSecurityConfigurerAdapter的userDetailsService()方法即可 @Bean protected UserDetailsService userDetailsService() { InMemoryUserDetailsManager manager = new InMemoryUserDetailsM
Spring Security 自定义登录逻辑实现
zongzhibin117的博客
09-15 1132
1、准备两个页面,登录页面和登录成功页面。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/login" method="post"> 用户名: <input type="
SpringBoot整合SpringSecurity element 自定义登录页面如何写
08-16
要在SpringBoot整合SpringSecurity实现自定义登录页面,你可以按照以下步骤进行操作: 1. 首先,确保你的项目中已经引入了Spring Security和OAuth2的相关依赖,可以使用Maven或Gradle进行添加。<span class="em">1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值