SpringSecurity入门4---自定义登录认证实现图形验证码

最新推荐文章于 2024-05-14 21:21:39 发布
最新推荐文章于 2024-05-14 21:21:39 发布
阅读量628 收藏 1
点赞数
分类专栏: SpringSecurity springboot学习 java 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ticktak/article/details/105351637
版权

代码地址
在上文中基于过滤器实现了图形验证码的操作,这次我们深入研究一下自定义登录认证,并基于自定义登录认证来完成图形验证码的验证操作。

Authentication

在SpringSecurity中将用户权限、其他系统和设备等包装成为了一个接口

public interface Authentication extends Principal, Serializable {
	// 权限列表
    Collection<? extends GrantedAuthority> getAuthorities();
	// 主体凭据,一般为密码
    Object getCredentials();
	// 主体携带的其他详细信息(等会验证码信息就会保存在这里)
    Object getDetails();
	// 主体,一般为用户名
    Object getPrincipal();
	// 是否验证成功
    boolean isAuthenticated();

    void setAuthenticated(boolean var1) throws IllegalArgumentException;
}

在表单登录的过程中,使用的UsernamePasswordAuthenticationToken,查看该类的继承关系,可以看到其父类AbstractAuthenticationToken实现了Authentication接口

AuthenticationProvider

上面的Authentication 在各个AuthenticationProvider之间传输进行验证

public interface AuthenticationProvider {
	// 验证方法,验证完毕返回Authentication 
    Authentication authenticate(Authentication var1) throws AuthenticationException;
	// 是否支持当前的Authentication 类型
    boolean supports(Class<?> var1);
}

ProviderManager

AuthenticationProvider一般为很多个,由ProviderManager来进行管理并进行验证,其中保存了AuthenticationProvider的列表,在authenticate方法中会对对列表中的AuthenticationProvider进行迭代处理

private List<AuthenticationProvider> providers;
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
	......
}

AbstractUserDetailsAuthenticationProvider

在该类中实现了基本的认证流程,不过我们这里并不是要继承它,而是继承之后的DaoAuthenticationProvider(相较之多了密码加密的过程),这里主要介绍一下各个方法的用途

	// 额外的认证,我们主要是实现这个方法来校验验证码
    protected abstract void additionalAuthenticationChecks(UserDetails var1, UsernamePasswordAuthenticationToken var2) throws AuthenticationException;
    // 检索用户
    protected abstract UserDetails retrieveUser(String var1, UsernamePasswordAuthenticationToken var2) throws AuthenticationException;
	// 验证用户信息
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
			......
	}

一般情况下继承并重写retrieveUseradditionalAuthenticationChecks就可以完成自定义认证的流程

获取验证码

上篇里面我们的验证码是从request中获取的,但是在additionalAuthenticationChecks方法中并没有HttpServletRequest的参数,在Authentication中有一个getDetails()的方法,我们可以将验证码信息放在Details中。所以要找到注入Authentication的时机,同时添加我们的验证码信息到Details中;在UsernamePasswordAuthenticationFilter中会调用ProviderManager,Authentication也是来源于这个过滤器,在这个过滤器中有一个setDetails的方法,可以看到入参就有HttpServletRequest 了

protected void setDetails(HttpServletRequest request, UsernamePasswordAuthenticationToken authRequest) {
        authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
    }

但是这个方法使用的是authenticationDetailsSource.buildDetails,然而后进入方法,发现AuthenticationDetailsSource只是一个接口,所以我们需要自己实现一个AuthenticationDetailsSource,将我们的验证码放进去

实现

上面已经分析完毕,接下来就来实现吧。

我们需要一个自定义的Details,实现WebAuthenticationDetails

public class MyWebAuthenticationDetails extends WebAuthenticationDetails {
	// 在构造器就初始化验证码是否正确,用于在Provider判断
    private boolean isCodeRight;
    private String imageCode;

    public boolean isCodeRight() {
        return isCodeRight;
    }

    public MyWebAuthenticationDetails(HttpServletRequest request) {
        super(request);
        String requestCode = request.getParameter("captcha");
        HttpSession session = request.getSession();
        String vertificationCode = (String) session.getAttribute("captcha");
        // 不论校验成功还是失败,要保证session的验证码被删除
        session.removeAttribute("captcha");
        if(StringUtils.isEmpty(requestCode) || StringUtils.isEmpty(vertificationCode)
                || !requestCode.equals(vertificationCode)){
            this.isCodeRight = false;
        }else {
            this.isCodeRight = true;
        }
    }
}

创建自己的AuthenticationDetailSource,用于setDetails调用并注入我们的MyWebAuthenticationDetails

@Component
public class MyAuthenticationDetailSource implements AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> {
    @Override
    public WebAuthenticationDetails buildDetails(HttpServletRequest request) {
        return new MyWebAuthenticationDetails(request);
    }
}

接下来就可以实现我们的自己的AuthenticationProvider了

@Component
public class MyAuthenticationProvider extends DaoAuthenticationProvider{
	// 由Spring注入UserDetailService和PasswordEncoder
    public MyAuthenticationProvider(@Qualifier("myUserDetailService") UserDetailsService userDetailsService,
                                    PasswordEncoder passwordEncoder) {
        this.setUserDetailsService(userDetailsService);
        this.setPasswordEncoder(passwordEncoder);
    }

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        // 获取details
        MyWebAuthenticationDetails details = (MyWebAuthenticationDetails) authentication.getDetails();
        // 如果验证码错误抛出异常
        if(!details.isCodeRight()){
            throw new VerificationCodeException();
        }
        super.additionalAuthenticationChecks(userDetails, authentication);
    }
}

最后在配置文件中进行配置即可

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MySuccessHandler successHandler;

    @Autowired
    private MyFailureHandler failureHandler;

    @Autowired
    private AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> myWebAuthenticationDetailsSource;

    @Autowired
    private AuthenticationProvider authenticationProvider;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/css/**", "/img/**", "/js/**", "/bootstrap/**","/captcha.jpg").permitAll()
                .antMatchers("/app/api/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin().loginPage("/myLogin.html")
                .loginProcessingUrl("/login")
                .successHandler(successHandler)
                .failureHandler(failureHandler)
                // 注入自定义authenticationDetailsSource
                .authenticationDetailsSource(myWebAuthenticationDetailsSource)
                .permitAll()
                // 使登录页不受限
                .and()
                .csrf().disable();
                // 在验证用户名密码之前验证验证码信息
                //.addFilterBefore(new VerificationCodeFilter(),
                //UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    	// 添加自定义Provider
        auth.authenticationProvider(authenticationProvider);
    }

    @Bean
    // 配置验证码工具
    public Producer captcha(){
        Properties properties = new Properties();
        properties.setProperty("kaptcha.image.width","150");
        properties.setProperty("kaptcha.image.height","50");
        // 字符集
        properties.setProperty("kaptcha.textproducer.char.string","0123456789");
        // 字符长度
        properties.setProperty("kaptcha.textproducer.char.length","4");
        Config config = new Config(properties);
        // 使用默认图形验证码
        DefaultKaptcha defaultKaptcha = new DefaultKaptcha();
        defaultKaptcha.setConfig(config);
        return defaultKaptcha;
    }

需要注意的是,之前的PasswordEncoder我在WebSecurityConfig中进行配置的,由于我们配置了自定义的Provider,使用构造器注入的PasswordEncoder,而WebSecurityConfig文件中又注入了Provider,我们需要将PasswordEncoder单独放在一个其他的配置文件中注入容器,否则会引起循环依赖

重启项目测试即可

Anntly
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity系列】自定义认证逻辑
java_pfx的博客
05-06 294
今日分享开始啦,请大家多多指教~ 有小伙伴会说,自定义认证逻辑还不简单?是的,没错,无论是添加登录验证码还是修改登录数据库格式,都需要对认证逻辑作出调整。 之前我们自定义的一个核心思路就是自定义过滤器,在过滤器中做各种各样我们想做的事。 举一个简单的例子,在添加登录验证码中,我为了校验验证码自定义了一个过滤器,并把这个自定义的过滤器放入 SpringSecurity 过滤器链中,每次请求都会通过该过滤器。但实际上,只需要登录请求经过该过滤器即可,其他请求是不需要经过该过滤器的,这个时候,大家是不是就发现弊
spring-security-oauth2详细配置demo
09-30
spring-security-oauth2详细配置demo 配套说明 https://blog.csdn.net/tiancxz/article/details/108856337
spring security3.1 实现验证码自定义登录
03-29
NULL 博文链接:https://jw-long.iteye.com/blog/1291866
爆破专栏丨Spring Security系列教程之基于自定义认证提供器实现图形验证码_webauthenticationdetailssource
最新发布
2401_84103045的博客
05-14 1018
我在上面给大家介绍过WebAuthenticationDetails这个类,知道该类中可以封装用户的额外信息,所以在这里我们自定义一个WebAuthenticationDetails类,封装验证码信息,并把用户传递过来的验证码与session中保存的验证码进行对比。在上面创建了Producer对象后,接着创建一个生成验证码的接口,该接口中负责生成验证码图片,并将验证码存储到session中。我们还是和之前的案例一样,可以先创建一个新的module,创建过程略。所以这里我们定义一个。
SpringSecurity图形验证码
single_cong的博客
01-10 756
图形验证码使用: 用户名密码登录 防止用户重复输入用户名密码强行破解登录 短信发送 某些时候短信API的限量是无效的,此时需要在短信发送接口前进行图形验证码校验,防止短信盗刷(APP模块开发) 类似于12306,利用图形验证码限流 此处图形验证码按照视频教程做,笔记不完整,因为后面开发到APP模块之后会对图形验证码进行重构(不使用session,图形验证码放入Redis缓存,APP场景适用于当...
Spring Security重写验证密码-前端传入加密过后的密码
Java_Scholar0的博客
07-25 2335
SpringSecurity重写验证密码-前端传入加密过后的密码。
SpringAll_wuyouzhuguli.tar.gz
10-20
Spring Security添加图形验证码 Spring Security添加记住我功能 Spring Security短信验证码登录 Spring Security Session管理 Spring Security退出登录 Spring Security权限控制 Spring Security OAuth2入门 Spring ...
SSM整合shiro入门
08-15
- 使用第三方库生成和验证图形验证码,提高登录安全性,防止恶意登录。 - 将验证码与用户的登录请求关联,验证时进行比对。 5. **并发登录控制**: - Shiro提供SessionManager和Subject监听器来实现并发登录控制...
java开源包4
06-28
SpeechLion 是一个语音识别程序,主要用来处理桌面命令,基于 Sphinx-4 语音识别引擎开发。用户可以通过该软件来控制 Linux 桌面,例如打开google搜索、鼠标点击、下一窗口、打开帮助、静音等操作。 Java发送短信包...
java开源包1
06-28
SpeechLion 是一个语音识别程序,主要用来处理桌面命令,基于 Sphinx-4 语音识别引擎开发。用户可以通过该软件来控制 Linux 桌面,例如打开google搜索、鼠标点击、下一窗口、打开帮助、静音等操作。 Java发送短信包...
java开源包3
06-28
SpeechLion 是一个语音识别程序,主要用来处理桌面命令,基于 Sphinx-4 语音识别引擎开发。用户可以通过该软件来控制 Linux 桌面,例如打开google搜索、鼠标点击、下一窗口、打开帮助、静音等操作。 Java发送短信包...
Spring Security账号密码认证源码解析
Y1567409的博客
04-17 700
/ 该接口有两个方法,该接口的实现类主要做认证的。// supports是用来检测该类型的认证信息是否可以被自己处理。可以被处理则调用自身的authenticate方法。> var1);// 拿到全部的provider// 遍历provider// 挨着个的校验是否支持当前tokentry {// 找到后直接break,并由当前provider来进行校验工作if(result!// 若没有一个支持,则尝试交给父类来执行。
spring security 自定义验证
09-12 3505
最近做项目遇到一个棘手的问题, 项目是用spring security来控制权限的,这个框架有一套他自己的验证, 现在项目的要求是除了去数据库验证之外还要调用OA系统验证用户名和密码,就是在原来的基础上多加一层验证 而且密码不是要加密的,要原文传过去 public UserDetails loadUserByUseraccount(String useraccount); 由于这个方法只
Spring Security认证流程分析(6)
weixin_43831002的博客
08-04 1531
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:图 3-3图中显示的流程是一个通用的架构。...
深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置:addFilterBefore
m0_71777195的博客
07-06 2490
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
Spring Security(1)
xbcai1的博客
04-23 1022
Spring SecurityAuthenticationManager,AuthenticationManagerBuilder,userDetailsService,ProviderManager
springsecurity密码验证原理概括
issac的博客
11-22 8191
密码验证过程 1.UsernamePasswordAuthenticationFilter 从UsernamePasswordAuthenticationFilter断点进入,此处的返回值是一个方法**getAuthenticationManager().authenticate(authRequest)**的返回值,而传入的参数正是在表单中输入的账户密码进行封装之后的结果,主要进入authentication(authRequest)中进行探索。 2.ProviderManager 进入getAuthe
最简单易懂的Spring Security 身份认证流程讲解
Firstlucky77的博客
06-06 882
最简单易懂的Spring Security 身份认证流程讲解导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确实非常繁琐,繁琐到让人生厌。讨厌也木有办法呀,作为JavaEE的工程师们还是要面对的,在开始之前,先打一下比方(比方好可怜):Spring Security 就像一个行政服务中心,如果我们去里面办事,可以办啥事呢?可以小到咨询简单问题、查询社保信息,也可以户籍登记、补办身份证,同样也可以大到企业事项、各种复杂的资
Spring Security登录验证中增加额外数据(如验证码
weixin_34248849的博客
07-13 973
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthe...
SpringSecurity自定义短信验证码登录怎么实现
05-24
实现Spring Security自定义短信验证码登录,需要遵循以下步骤: 1. 配置短信验证码的过滤器 在Spring Security的配置类中,添加一个短信验证码过滤器,用于拦截短信验证码登录请求,并校验验证码是否正确。可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值