security实现账密、手机号和微信三种方式登陆

最新推荐文章于 2024-05-13 22:14:29 发布
最新推荐文章于 2024-05-13 22:14:29 发布
阅读量4.9k 收藏 54
点赞数 11
分类专栏: security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39164603/article/details/120329472
版权
本文介绍了如何使用Spring Security实现账号密码、手机号和微信三种登录方式。核心功能包括认证、授权和攻击防护。通过配置不同的AuthenticationFilter、AuthenticationProvider以及AuthenticationSuccessHandler和AuthenticationFailureHandler,实现了登录过程的定制。文章详细讲解了每种登录方式的实现原理,并提供了相关配置和代码示例。
摘要由CSDN通过智能技术生成

:security实现多种方式登陆

spring security 的核心功能主要包括
认证
授权
攻击防护
其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。

在说多种认证方式之前,咱们先简单过下单认证方式是如何配置的,也说下Spring Security的各个配置类的作用。

1、UsernamePasswordAuthenticationFilter
Spring Security 默认认证过滤器,处于拦截器链当中,继承AbstractAuthenticationProcessingFilter,咱们看一下源码
在这里插入图片描述
在这里插入图片描述
可以看出里面构造方法指定了默认拦截地址 /login,attemptAuthentication是父类AbstractAuthenticationProcessingFilter抽象方法的实现方法,在父类中doFilter方法里调用,可以看到方法实现是从request里取得用户名密码,最后构建成UsernamePasswordAuthenticationToken,然后调用AuthenticationManager的 authenticate 方法作为参数传进去进行认证。
2、UsernamePasswordAuthenticationToken
UsernamePasswordAuthenticationToken没什么好讲的,在其实就是对认证参数用户名密码的封装,当然后续登录成功之后会作为用户认证信息的封装。
3、AuthenticationManager
authenticationManager是AbstractAuthenticationProcessingFilter的一个成员变量,从上面可以看出,这个参数是必须赋值的,采用默认的过滤器认证,spring security会默认给一个实现类ProviderManager,看下代码
在这里插入图片描述
在这里插入图片描述
从源码看到,管理器会遍历所有注册的认证器集合,调用每个认证器的authenticate认证,此时会有疑惑,如果多个登录方式,肯定会有多个认证器,每次都遍历认证所有的认证器是否不太合理?关键在于以下这个判断代码

这个 toTest 参数就是过滤器传进来的 UsernamePasswordAuthenticationToken

Class<? extends Authentication> toTest = authentication.getClass();
 
if (!provider.supports(toTest)) {
   
     continue;
}

在这里插入图片描述
会调用每个认证器的supports方法,只有此方法返回true,才会执行认证,(由此想到如果自定义认证器,此方法一定要重写),此方法如何实现,咱们看一下此方法的默认实现,会判断

public boolean supports(Class<?> authentication) {
   
        return (UsernamePasswordAuthenticationToken.class
                .isAssignableFrom(authentication));
  }

由此看出,参数必须为 UsernamePasswordAuthenticationToken 类或者其子类的字节码,此参数又是由UsernamePasswordAuthenticationFilter 里传过来的

由此得知,每个过滤器都需要一个AbstractAuthenticationToken的子类绑定
4、AuthenticationProvider
这个是重点配置,具体认证方法都是在这里实现的,因此我们要自定义我们的认证方法,都需要实现这个接口,这个接口只有两个方法,authenticate用来认证,supports 用来决定启用条件
具体实现方法根据自己的业务需要,一般是查询数据库,对比密码,看下我的实现类,一般我们会注入一个自定义的UserDetailService实现类,重写 loadUserByUsername,具体根据用户名查询用户信息,认证成功将用户信息包装成 Authentication 返回
5、AuthenticationSuccessHandler、AuthenticationFailureHandler
看过滤器源码,认证结束后,会根据认证成功或失败,分别调用两个成功失败处理器

successHandler.onAuthenticationSuccess(request, response, authResult);

failureHandler.onAuthenticationFailure(request, response, failed);

因此,我们可以自定义这两个处理器,来自己处理认证成功失败
6、配置文件
最后,Spring Security的配置文件

根据上面的介绍和代码,我们大概可以知道原理了,现在开始撸码吧!

pom文件添加security的依赖
${spring-boot.version} 2.3.1.RELEASE

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>${spring-boot.version}</version>
        </dependency>

实现UsernamePasswordAuthenticationFilter
该步骤作为过滤器适用,根据判断是否存在对应session,以提示是否需要重新登陆


@Slf4j
public class LoginFilter extends UsernamePasswordAuthenticationFilter {
   
    private static final List<String> forIndexList = Lists.newArrayList();

    static {
   
        forIndexList.add("/");
    }


    @Override
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)
            throws IOException, ServletException {
   
        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) resp;

        //根路径,直接跳转到index页面
        if (forIndexList.contains(request.getServletPath())) {
   
            response.sendRedirect(request.getRequestURL() + "index.html");
            return;
        }
        log.info("===>URL={} , IP={}", request.getRequestURL(), request.getRemoteAddr());

        // 如果是接口请求验证登录情况
        if (!request.getRequestURL().toString().contains(".html")
                && !"/login".equals(request.getServletPath())
                && !"/mobileLogin".equals(request.getServletPath())
                && !"/wxLogin".equals(request.getServletPath())) {
   
            //用户是否登录
            LoginUserDetail currentUser = SessionUtils.getCurrentUser(request);
            log.info("current user {}", JSON.toJSONString(currentUser));
            if (currentUser == null) {
   
                response.setContentType("application/json;charset=UTF-8");
                PrintWriter printWriter = response.getWriter();
                Response httpResponse = new Response(401, "请先登录!");
                printWriter.write(JSON.toJSONString(httpResponse));
                printWriter.flush();
                printWriter.close();
                return;
            }
        }
        chain.doFilter(request, response);
    }
}

实现UserDetails,作为session的信息实体

public class LoginUserDetail implements UserDetails, Serializable {
   

    private Long id;
    private String username;
    private String password;

    public Long getId() {
   
        return id;
    }

    public void setId(Long id) {
   
        this.id = id;
    }

    public void setUsername(String username) {
   
        this.username = username;
    }

    public void setPassword(String password) {
   
        this.password = password;
    }


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
   
        return null;
    }

    @Override
    public String getPassword() {
   
        return password;
    }

    @Override
    public String getUsername() {
   
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
   
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
   
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
   
        return true;
    }

    @Override
    public boolean isEnabled() {
   
        return true;
    }
}

登陆方式1:账号密码登陆

public class UsernameAuthenticationProcessingFilter extends AbstractAuthenticationProcessingFilter {
   
    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
    public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

    private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
    private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
    private boolean postOnly = true;

    public UsernameAuthenticationProcessingFilter() {
   
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
   
        if (postOnly && !request.getMethod().equals("POST")) {
   
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.
最低0.47元/天 解锁文章
一只小甜甜~~
关注
专栏目录
Spring Security实现多种登录方式
eugene03的博客
08-12 752
依赖导入<parent></parent>1.自定义MyUsernamePasswordFilter/*** 10:30*/@Slf4j// 自定拦截路由} else {// 获取登录表单= null?= null?@Nullable@Nullable/*** 获取登录用户信息* @return*/try {throw new NullPointerException("获取不到登录信息");
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
基于Spring Boot Security 2.5.8,扩展了核心功能,支持用户名,手机号,邮箱登录,以及记住密码,JWT等功能。有完整的数据库脚本及功能演示。
security实现多种登录方式 1
eugene03的博客
03-22 1298
​ 1.自定义MyUsernamePasswordFilter/*** 10:30// 自定拦截路由 private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/user/login" , "POST");} else {// 获取登录表单 getUser(request);= null?= null?
使用Spring Boot Security 实现多认证 手机号登录 微信扫码登录 微信扫码注册
Likefr
03-09 3008
利用Spring Security 实现基于手机号密码的登录功能,并结合微信扫码实现用户注册的功能。通过我这种方案,用户可以选择使用手机号密码登录,或者通过微信扫码进行注册。我们将详细介绍了如何获取微信授权二维码、微信授权回调、注册接口以及自定义认证提供者等方面的实现细节。您将了解到如何使用Spring Security构建安全可靠的身份认证系统,并且为用户提供多样的登录与注册选择
spring security 实现账号密码、手机号验证码、微信授权登录
chuangdayong9360的博客
07-20 2371
问题记录 转载于:https://my.oschina.net/u/1471116/blog/3076599
SpringBoot + Spring Security多种登录方式:账号+微信网页授权登录
Java知音
04-02 5415
一、概述实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号、密码。二、准备工作要实现该功能,首先需要掌握Spring Security框架和微信扫码登录接口相关技术,如果对这两块还不太熟悉,可以参考:1、Springboot + Spring Security实现前后端分离登录认证及权...
微信扫一扫登录微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
iOS实现第三方微信登录方式实例解析(最新最全)
09-01
接下来,需要下载微信官方提供的SDK,这个SDK包含了实现微信登录功能所需的库和接口。SDK主要包括静态库、授权SDK、登录方法类以及常用对象类。在项目工程中,需要将这些资源导入,并设置相应的依赖库,例如引入URL ...
微信小程序python解析获取用户手机号_微信小程序获取用户手机号
weixin_39778218的博客
12-02 2141
获取微信用户绑定的手机号,需先调用wx.login接口。小程序获取code。后台得到session_key,openid。组件触发getPhoneNumber因为需要用户主动触发才能发起获取手机号接口,所以该功能不由 API 来调用,需用 组件的点击来触发。需要将 组件 open-type 的值设置为 getPhoneNumber,当用户点击并同意之后,可以通过 bindgetphonenumb...
Security实现自动登录功能
weixin_41359273的博客
03-21 876
Security实现自动登录功能1.实现自动登录1.1 pom.xml1.2 application.properties1.3 建表1.4 controller1.5 security配置2.持久化令牌方案(解决自动登录安全问题方式一)2.1 security的配置2.2 其他同13.二次校验(解决自动登录安全问题方式一)3.1 security的配置,rememberme功能对/admin接口无效,再次访问/admin接口时需要再次登录3.2 其他同1 1.实现自动登录 1.1 pom.xml <
SpringSecurity+OAUTH2集成多种登录方式
无望丶
04-11 3493
Authorization Code(授权码模式):授权码模式, 通过授权码获取token进行资源访问。Implicit(简化模式):用于移动应用程序或 Web 应用程序,这种模式比授权码模式少了code环节,回调url直接附带token。Resource Owner Password Credentials(密码模式):资源所有者和客户端之间具有高度信任时(例如,客户端是设备的操作系统的一部分,或者是一个高度特权应用程序, 比如APP, 自研终端等),因为client可能存储用户密码。
springSecurity的学习笔记--使用spring-Security完成表单登陆,手机验证码登陆,第三方登陆
automannn
11-09 503
    环境搭建好后,之后的练习进入了一个十分痛苦的阶段!! 但是与此同时,收获也是比较可观的。 老师通过详细的视频讲解,完成了表单登陆,包括账号密码和验证码登陆,手机验证码登陆,第三方登陆。 每一个部分都进行了开发步骤说明,思路引领,以及代码重构!!!         通过以往的学习经验,我知道唯有将学习的内容以笔记的形式固定下来,才有可能学习到所学习内容的50%左右。  否则无论学习当时是如...
若依登录自定义扩展Springboot+security支持密码、验证码多种登录方式
liangshitian的博客
12-04 7400
若依开源框架登录使用的配置大部分都是security自定义的,目前希望在此框架基础上支持自定义的登录,如手机号+密码登录认证、手机号+短信验证码认证。 1、自定义登录实现思路 主要是实现继承DaoAuthenticationProvider类,重写additionalAuthenticationChecks方法,将通过密码标识来判断是不是需要验证密码和免密验证。 2、继承DaoAuthenticationProvider package com.tuitui.framework.security.
Security安全登录
weixin_45534157的博客
04-30 909
Security配置类 使用SpringBoot整合Security安全登录配置 依赖 <!-- spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-start...
【Spring Security实现多种认证方式
hui_ss的博客
12-13 2368
首先针对每一种登录方式,我们可以定义其对应的认证器AuthenticationProvider,以及对应的认证信息Authentication实际场景中这两个一般是配套使用。认证器AuthenticationProvider有一个认证方法authenticate(),我们需要实现该认证方法,认证成功之后返回认证信息Authentication。
SpringSecurityOAuth2多个第三方登录配置
张氏小毛驴的博客
06-29 1385
通过这一篇文章,我了解到了原来配置其他的第三方登录,是需要自己提供Provider的,还有如何获取到已经授权登录的用户信息。下一篇就来学习下源码,走下源码流程,看看具体是个怎么回事。
SpringSecurity多表,多端账户登录
最新发布
路漫漫其修远兮,吾将上下而求索
05-13 1404
基于SpringSecurity实现多表用户完全解耦认证,可无限扩展用户类型
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值