oauth2对用户状态进行修改与校验(一)—— 认证成功/失败监听

最新推荐文章于 2024-09-01 16:49:07 发布
最新推荐文章于 2024-09-01 16:49:07 发布
阅读量3.2k 收藏 3
点赞数 1
文章标签: java oauth2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011237918/article/details/113572184
版权

项目中登录的时候使用的是oauth2获取token进行登录,最近要加入账户锁定机制,连续输错几次密码以后锁定一段时间,如果连续错误次数太多则冻结。

梳理了一下功能:

  1. 用户状态分为四种:正常、暂时封禁、冻结、停用(停用是人员离职一类的,将账号停用)
  2. 登录时,先获取用户状态,若非正常用户则直接提示对应信息
  3. 登录失败时,需要能够进入自定义的失败方法,对用户账户失败次数+1,记录本次登录时间,修改用户状态(若需要)
  4. 登录成功时,将用户状态修改为正常,连续错误次数置0,记录登录时间。

监听登录成功/失败方法

参考链接:spring-security-oauth2 登录或者认证成功后 做一些操作, 比如登录日志

把源码记录一下,主要的认证方法

  • 在ResourceOwnerPasswordTokenGranter类的getOAuth2Authentication方法中获取用户名与密码,进入authenticate方法校验
@Override
protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {

   Map<String, String> parameters = new LinkedHashMap<String, String>(tokenRequest.getRequestParameters());
   // 获取用户名&密码
   String username = parameters.get("username");
   String password = parameters.get("password");
   // 拿完密码就移除
   parameters.remove("password");

   Authentication userAuth = new UsernamePasswordAuthenticationToken(username, password);
   ((AbstractAuthenticationToken) userAuth).setDetails(parameters);
   try {
      // 在这个方法里面进行用户认证,以及成功/失败的事件发布
      userAuth = authenticationManager.authenticate(userAuth);
   }
   catch (AccountStatusException ase) {
      // ...
   }
   // 省略...
  • 接着进入ProviderManager的authenticate方法
public Authentication authenticate(Authentication authentication)
      throws AuthenticationException {
   // ...
   
   // 提供了一系列AuthenticationProvider进行验证
   for (AuthenticationProvider provider : getProviders()) {
      // ....
      try {
      	 // 认证
         result = provider.authenticate(authentication);
         // ...
      }
      catch (AccountStatusException e) {
         // 捕获异常,注意这个方法,里面会发布失败事件
         prepareException(e, authentication);
         throw e;
      }
      catch (InternalAuthenticationServiceException e) {
         // 捕获异常,注意这个方法,里面会发布失败事件
         prepareException(e, authentication);
         throw e;
      }
      catch (AuthenticationException e) {
         lastException = e;
      }
   }
   
   // ...
   
   if (result != null) {
      // ...
      if (parentResult == null) {
          // 发布登录成功事件
          eventPublisher.publishAuthenticationSuccess(result);
      }
      return result;
   }
   throw lastException;
}

@SuppressWarnings("deprecation")
private void prepareException(AuthenticationException ex, Authentication auth) {
   // 在此处发布认证失败事件
   eventPublisher.publishAuthenticationFailure(ex, auth);
}

由于这两个事件的发布,因此可以实现ApplicationListener来获取到登录成功与失败

登录成功:
@Component
public class SuccessEvent implements ApplicationListener<AuthenticationSuccessEvent> {
    @Autowired
    private UserDetailsServiceMapper userDetailsServiceMapper;

    /**
     * 获取token成功事件
     * @param event
     */
    @Override
    public void onApplicationEvent(AuthenticationSuccessEvent event) {
        if (!event.getSource().getClass().getName().equals("org.springframework.security.authentication.UsernamePasswordAuthenticationToken")) {
            return;
        }

        if (event.getAuthentication().getPrincipal() instanceof JdbcUserDetails) {
            // 这个方式稍微有一点麻烦,不止是登陆事件,一些其他的事件,包括自定义的filter也可能进入该方法
            // 所以需要这些判断保证只有用户登录成功才进入这里。
            JdbcUserDetails userDetails = (JdbcUserDetails) event.getAuthentication().getPrincipal();
            User user = userDetailsServiceMapper.selectUserById(Long.valueOf(userDetails.getUserId()));
	    // 更新用户状态
            updateUserAccountById(user);
        }
    }
}

登录失败与成功类似,可以直接implement失败事件,这里换了种方式,直接监听AuthenticationFailureBadCredentialsEvent 异常。

  • 有点神奇,没有仔细看源码,感觉上是filter与oauth是分了两部分的。在自定义filter中抛出该异常并不会被监听到,需要继承BasicErrorController来捕获,这里不写了,只有获取token相关流程的异常会被这个类监听到。
登录失败
@Component
public class failureEvents {
    /**
     * @param failure
     */
    @EventListener
    public void onFailure(AuthenticationFailureBadCredentialsEvent failure) {
        if (failure == null) {
            return;
        }
        if (failure.getSource() instanceof UsernamePasswordAuthenticationToken) {
            UsernamePasswordAuthenticationToken authenticationToken = (UsernamePasswordAuthenticationToken) failure.getSource();
            LinkedHashMap details = (LinkedHashMap) authenticationToken.getDetails();
            // 更新用户状态
            updateUserAccount(username);
        }
    }
}
后面还有一部分,是发送请求后,应该第一步做用户状态的检查及异常返回,这里踩坑了,有空再写~
0Mushroom0
关注
整合Apache Oltu 与 Shiro. 提供一个轻量的OAUTH2应用框架
06-08
在Web场景下,用户可以通过Oltu实现OAuth2登录流程,获取访问令牌,然后将令牌传递给Shiro进行身份验证和授权。Shiro可以根据用户的角色和权限控制对不同资源的访问。对于移动设备,Oltu可以提供适用于移动应用的...
SpringCloud oauth2授权(密码模式,验证码模式)
热门推荐
zhang_ming_xuan的博客
07-09 1万+
前言 项目基于springcloud,授权决定使用提供的spring-oauth2,了解了oauth2原理之后,基于业务有很多需要重写的点; 1.获取token同时需要获取客户端信息(手机型号,app版本号等) 2.除了提供的password方式登录,还需要提供验证码登录功能 源码理解 对spring-cloud-starter-oauth2包的源码进行了简单的了解: endpoint...
spring security-源码流程分析(六)-oauth授权模式分析
luoxiaomei999的博客
04-13 1187
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 本文在上一篇的基础上进行,继续追踪看下不同类型模式的grant方法到底做了什么 一、ResourceOwnerPasswordTokenGranter 1、从继承关系可以看到,父类AbstractTokenGranter 2、在getOAuth2Authentication方法中进入子类自己的方法 注意,.
SpringSecurity Oauth2 - 密码模式完成身份认证获取令牌 [自定义UserDetailsService]
最新发布
你今天真好看呀
09-01 1225
TokenStore是 Spring Security OAuth2 中用于管理 OAuth2 令牌(Access Token 和 Refresh Token)的接口。它的主要作用是定义如何生成、存储、读取和删除令牌。TokenStore的具体实现类决定了令牌的存储方式,例如存储在内存中、数据库中、Redis 中,或以 JWT 的形式进行编码。TokenStore的主要作用:① 生成和存储令牌:当客户端请求令牌时,TokenStore。
深入理解Spring Cloud Security OAuth2身份认证
iloveoverfly的博客
03-06 4674
OAuth2协议 生活中,当我们使用滴滴出行或者美团app进行登录时,如果选择微信授权登录,则可以使用微信的头像,昵称,地区和性别信息登录,如图: 在滴滴出行和美团app的系统中,是没有存储微信的用户信息,但是授权过后就可以使用到微信的部分权限。这就是使用OAuth2协议实现的。它为第三方应用提供对HTTP服务的有限访问,即可以是资源拥有者通过授权运行第三方应用获取HTTP服务,也可以是第...
spring cloud oauth2 登录一定次数后锁定
qq_37659138的博客
05-10 2785
spring cloud oauth2+账户锁定+限流
Oauth2.0 认证服务器添加验证码登陆方式
白云苍狗
07-29 1270
自定义验证码授权模式配置到AuthorizationServerConfig.tokenGranter()将配置好的授权列表添加到AuthorizationServerEndpointsConfigurer中AuthorizationServerConfig其他配置已省略,详细见Oauth2.0认证服务器搭建//配置授权方式}/***先获取已有的五种授权列表,然后将自定义的授权方式置入*...
Spring Cloud OAuth2 实现用户认证及单点登录的示例代码
08-25
Spring Cloud OAuth2 是一个强大的工具,用于实现用户认证和单点登录(Single Sign-On, SSO)机制。在本文中,我们将深入探讨如何利用 Spring Cloud OAuth2 来创建这样的系统,以及它在实际应用场景中的价值。 ...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
本课程"Spring Security+OAuth2 精讲,打造企业级认证与授权"深入浅出地讲解了这两个框架的使用和集成,旨在帮助开发者构建安全、高效的应用系统。 Spring Security是Spring生态系统中的一个强大安全框架,它提供了...
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
整合Apache Oltu 与 Shiro. 提供一个轻量的OAUTH2应用框架实现
01-12
提供一个轻量的OAUTH2应用框架实现.并根据不同的应用场景提供不同的实现(如web场景,移动设备).该项目与spring-oauth-server实现相同的需求与场合. 只是在实现上使用的技术不同(spring-oauth-server使用Spring ...
SpringCloud - Oauth2增加短信验证码验证登录
zhangdm的博客
01-26 3305
Oauth2增加短信验证码验证登录
超简单实现,oauth2 增加短信登录,spring security oauth2增加短信认证sms
test1372965955的博客
03-02 1284
重写认证逻辑,通过TokenRequest 拿到手机号等参数->先校验手机号 验证码 手机号关联的用户 是否都正确 ->创建用户对象(用户信息及权限)-> 将用户信息和客户端请求信息作为参数创建 OAuth2Authentication 授权信息返回。2配置文件添加自己的授权类型 tokenGranter(endpoints) 这个方法是将sms自定义认证方式添加。请求头记得添加basic 这个就是客户端id和密码 base64加密的。3. tokenGranter(endpoints) 实现!
(八) OAuth 2.0 认证成功认证失败,退出成功
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-30 3263
认证成功 监听AuthenticationSuccessEvent,注意在刷新令牌,校验令牌,登录密码校验成功都会发布这个事件,所以我们需要在监听器里面做一些排查判断。successHandler是自定义业务逻辑类。 /** * @description: 登录成功事件监听器 * @Author C_Y_J * @create 2022/1/13 16:36 **/ public class AuthenticationSuccessEventListener implements Applicat
spring security oauth2授权方式代码源码解读(解读步骤)
freedom_hai的博客
04-08 470
spring security oauth2授权方式代码源码解读(解读步骤) 入口地址:/oauth/token TokenEndpoint.postAccessToken -> CompositeTokenGranter.grant循环授权方式 -> AbstractTokenGranter.grant进行授权 授权的逻辑入口 AbstractTokenGranter.grant 第一步,判断请求的授权方式和当前遍历的循环方式是否相同,不同的话验证下一个授权方式 第二步,根据client_id
Spring Security Oauth2 认证流程
ppangxiao的博客
08-03 1486
本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
LP1325308489的博客
08-19 1300
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、password <span style="color:#000000"><code><spa
OAuth2+JWT 实现权限验证
程序员爱酸奶
09-18 3076
前言 文章内容输出来源:拉勾教育Java高薪训练营; 微服务架构下统⼀认证思路主要有两种形式: 1、基于 Session 的认证⽅式在分布式的环境下,基于 session 的认证会出现⼀个问题,每个应⽤服务都需要在session中存储⽤户身份信息,通过负载均衡将本地的请求分配到另⼀个应⽤服务需要将 session 信息带过去,否则会重新认证。我们可以使⽤ Session 共享、Session 黏贴等⽅案。Session ⽅案也有缺点,⽐如基于 cookie ,移动端不能有效使⽤等 2、基于 token 的认
使用OAuth2令牌的安全REST服务
最佳 Java 编程
06-05 456
1.简介 在本教程中,我们将介绍如何将Spring Security与OAuth结合使用以保护REST服务。 在演示应用程序中,可以使用路径模式( / api / ** )访问服务器上受保护的REST资源,以便基于该路径的请求URL映射到不同的控制器方法。 这意味着 - 路径中没有' / api '的任何REST请求URL都将保持无效 ,因为这些URL与任何控制器映射都不匹配。 完...
Spring Cloud OAuth2认证授权实战详解与步骤
在Spring Cloud架构中,实现基于OAUTH2的认证授权...这篇示例展示了如何利用Spring Cloud与OAUTH2结合,构建一个安全、灵活的微服务认证授权体系,这对于构建分布式系统中的用户认证和权限管理具有重要的实践指导意义。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值