(Spring Security)实战干货二:标准登录表单,除用户名密码外增添其他字段

已于 2022-08-20 21:24:46 修改
阅读量577 收藏
点赞数 1
分类专栏: Spring Security 文章标签: spring servlet java
于 2022-08-20 20:45:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014034105/article/details/126322080
版权

一、引言

上一篇,我们对自定义权鉴进行了实现,但是在很多的登录场景中,用户名和密码不是仅有的用于登录认证授权的字段,会有各类的情况。比如:学校系统登录时需要加选学生或老师身份,多组织系统登录时需要选择组织(域)等等。所以这篇文章,我们就是来用SS实现这类场景登录。

二、首先需要了解的

1、Sping Security的作用流程

在这里插入图片描述

2、默认的过滤器

别名过滤器类 Filter Class命名空间元素或属性
CHANNEL_FILTERChannelProcessingFilterhttp/intercept-url@requires-channel
CONCURRENT_SESSION_FILTERConcurrentSessionFiltersession-management/concurrency-control
SECURITY_CONTEXT_FILTERSecurityContextPersistenceFilterhttp
LOGOUT_FILTERLogoutFilterhttp/logout
X509_FILTERX509AuthenticationFilterhttp/x509
PRE_AUTH_FILTERAstractPreAuthenticatedProcessingFilter SubclassesN/A
CAS_FILTERCasAuthenticationFilterN/A
FORM_LOGIN_FILTERUsernamePasswordAuthenticationFilterhttp/form-login
BASIC_AUTH_FILTERBasicAuthenticationFilterhttp/http-basic
SERVLET_API_SUPPORT_FILTERSecurityContextHolderAwareFilterhttp/@servlet-api-provision
REMEMBER_ME_FILTERRememberMeAuthenticationFilterhttp/remember-me
ANONYMOUS_FILTERAnonymousAuthenticationFilterhttp/anonymous
SESSION_MANAGEMENT_FILTERSessionManagementFiltersession-management
EXCEPTION_TRANSLATION_FILTERExceptionTranslationFilterhttp
FILTER_SECURITY_INTERCEPTORFilterSecurityInterceptorhttp
SWITCH_USER_FILTERSwitchUserFilterN/A

验证过程按照这样顺序自上而下进行。

3、自定义过滤器位置

在spring-security.xml配置中,需要根据自定义过滤器的场景需要将过滤器放置在相关的位置上。
根据上表的顺序来指定。
before:在对应过滤器之前;
after:在对应过滤器之后;
position:在对应过滤器上。

三、代码实现

1、实现思路

用Spring Security提供的实现(DaoAuthenticationProvider和UsernamePasswordToken)。
关键组件包括:
SimpleAuthenticationFilter - UsernamePasswordAuthenticationFilter的扩展
SimpleUserDetailsService - UserDetailsService的实现
User - Spring Security提供的User类的扩展,它声明了我们的额外域字段

配置Spring Security,将SimpleAuthenticationFilter插入到过滤器链中,声明安全规则并连接依赖项
login.html - 收集用户名,密码和组织域的登录页面

2、主要代码

代码略去空间命名已经import部分。

Authentication Filter

SimpleAuthenticationFilter中,组织域和用户名字段是从请求中提取。连接这些值并使用它们来创建UsernamePasswordAuthenticationToken的实例。

public class OursPlusAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
    private String organizationParameter = "organization";

    protected String obtainOrganization(HttpServletRequest request) {
        return request.getParameter(this.organizationParameter);
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        UsernamePasswordAuthenticationToken authRequest = getAuthRequest(request);
        setDetails(request, authRequest);
        return this.getAuthenticationManager().authenticate(authRequest);
    }

    private UsernamePasswordAuthenticationToken getAuthRequest(HttpServletRequest request) {
        String username = obtainUsername(request);
        String password = obtainPassword(request);
        String organization = obtainOrganization(request);
        String usernameOrganization = String.format("%s%s%s", username.trim(), String.valueOf(Character.LINE_SEPARATOR), organization);
        return new UsernamePasswordAuthenticationToken(usernameOrganization, password);
    }
}

其中“organization”就是新增的组织域字段。

UserDetails服务

UserDetailsService的loadUserByUsername方法,改造实现提取用户名和组织域。然后将值传递给UserRepository以获取用户。

public class OursPlusUserDetailsService implements UserDetailsService {
    @Autowired
    private IUsersService usersService;
    @Autowired
    private OursUser oursUser;

    @Override
    public UserDetails loadUserByUsername(String plusUsername) throws UsernameNotFoundException {
        //整合organization后相关处理
        String[] usernameOrganization = StringUtils.split(plusUsername, String.valueOf(Character.LINE_SEPARATOR));
        if (usernameOrganization == null || usernameOrganization.length != 2) {
            throw new UsernameNotFoundException("需完善用户名及企业组织完善");
        }
        //查询用户
        Users users = usersService.findByUsername(usernameOrganization[0]);
        if (users == null) {
            throw new UsernameNotFoundException("用户不存在");
        }

        //组织id
        long organizationId = Integer.parseInt(usernameOrganization[1]);
        //一般用户权限获取
        List<String> roles = usersService.findRolesCodeByUserIdAndOrgId(users.getId(), organizationId);
        List<String> rules = usersService.findRuleNameByUserIdAndOrgId(users.getId(), organizationId);

        List<String> authorities;
        authorities = oursUser.getAuthorities(users.getId(), roles, rules);
        User user = new User(users.getUsername(), users.getPassword(), AuthorityUtils.commaSeparatedStringToAuthorityList(String.join(",", authorities)));
        return user;
    }
}
oursUser类

额外的自定义类,主要是封装一些出来方法处理一些数据库权鉴,本文章的代码需要基于上一篇文章《(Spring Security)实战干货一:自定义权鉴的实现》的代码,主要是理解基于数据库的认证与授权。

public class OursUser {
    @Autowired
    private IUsersService usersService;

    /**
     * 获取当前登录用户名
     *
     * @return
     */
    public String getLoginUserName() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        User principal = (User) authentication.getPrincipal();
        return principal.getUsername();
    }

    /**
     * 获取当前登录用户所有信息(除密码外)
     *
     * @return
     */
    public Users get() {
        Users users;
        String username = getLoginUserName();
        if (username.length() != 0) {
            users = usersService.findUserInfoByUsername(username);
        } else {
            users = null;
        }
        return users;
    }

    /**
     * 获取权限配置
     * @param userId
     * @param roles
     * @param rules
     * @return
     */
    public List<String> getAuthorities(Integer userId,List<String> roles,List<String> rules){
        List<String> authorities=new ArrayList<>();
        if(userId==1){
            List<String> adminRules=usersService.findAllRuleName();
            authorities.add("ROLE_ADMIN");
            authorities.addAll(adminRules);
        }else{
            roles=roles.stream()
                    .map(prc->"ROLE_"+prc)
                    .collect(Collectors.toList());
            authorities.addAll(roles);
            authorities.addAll(rules);
        }
        return authorities;
    }
}

以上存在笔者设定的权限逻辑,可以忽略,按自己的需求设定。

3、SS配置

        ...
        <security:custom-filter ref="customFilters" before="FORM_LOGIN_FILTER"/>
        ...
            <bean id="oursPlusAuthenticationFilter" class="index.OursPlusAuthenticationFilter"/>
		    <bean id="customFilters" class="org.springframework.web.filter.CompositeFilter">
		        <property name="filters">
		            <list>
		                <ref bean="oursPlusAuthenticationFilter"/>
		            </list>
		        </property>
		    </bean>
        ...

以上配置文件是截取了部分配置信息,可结合上一篇文章,了解配置信息。

4、登录页面

	<form autoComplete="off" action="/" method="post">
        <div>
            <div>
                <label>用户名</label>
                <input type="text" name="username" placeholder="用户名">
            </div>
            <div>
                <label>密码</label>
                <input type="password" name="password" placeholder="密码">
            </div>
            <div>
                <label>组织域</label>
                <input type="text" name="organization" placeholder="组织域">
            </div>
            <div>
                <input type="submit" value="登 入">
            </div>
        </div>
    </form>

以上是实现的主要思路及代码,希望对大家有帮助,同时不足之处,希望指出。

希克
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security--自定义登录参数
我和井盖都笑了博客
04-04 2113
   1源码简介       当进行登录时会执行 UsernamePasswordAuthenticationFilter 过滤器。 usernamePasrameter:账户参数名 passwordParameter:密码参数名 postOnly=true:默认情况下只允许 POST 请求。 &nbs...
Spring Security标准登录表单中添加一个额字段
08-26
主要介绍了Spring Security标准登录表单中添加一个额字段,我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。 需要的朋友可以参考下
Spring Security登录字段
白石的专栏
12-06 484
在本文中,我们将通过**向标准登录表单添加一个额字段来使用**[Spring Security](https://projects.spring.io/spring-security/)实现自定义身份验证场景。
SpringBoot整合SpringSecurity登录表单添加额自定义字段
u014295903的博客
05-18 2096
SpringSecurity登录表单添加额自定义字段一、阐述1.1 重点必看、实现2.1 拼接实现2.1.1 登录过滤,处理json2.1.2 用户验部分2.2 重写实现2.2.1 继承 UsernamePasswordAuthenticationToken2.2.2 实现 AuthenticationProvider2.2.3 继承 UsernamePasswordAuthenticationFilter三、结果截图 一、阐述 在使用Spring Security框架过程中,经常会在登录验证时,附带增
Spring Security 实战干货.pdf
04-22
Spring Security 实战干货.pdf
SpringSecurity 自定义表单登录的实现
08-25
主要介绍了SpringSecurity 自定义表单登录的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security 表单登录功能的实现方法
08-25
主要介绍了Spring Security 表单登录,本文将构建在之前简单的 Spring MVC示例 之上,因为这是设置Web应用程序和登录机制的必不可少的。需要的朋友可以参考下
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
基于Spring Boot Security 2.5.8,扩展了核心功能,支持用户名,手机号,邮箱登录,以及记住密码,JWT等功能。有完整的数据库脚本及功能演示。
Spring Security登录验证中增加额数据(如验证码)
weixin_34248849的博客
07-13 968
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额信息的功能,默认实现WebAuthe...
Spring Security 登录时如何获取其他参数(可用作校验验证码)
建设美丽祖国
03-29 6820
情景:在使用Security时,在校验用户名,也就是在自定义的UserDetailsService类中loadUserByUsername方法只传入一个用户名参数,但需求往往可能携带多个参数校验,如何获取另的参数,可以增加自定义的Security过滤器链来获取表单的其他参数或者校验验证码,并把自定义的过滤器链设置在security的UsernamePasswordAuthenticationF...
spring security实现传参
brushli的专栏
11-04 5176
本人现在开发的项目中用到了spring security,但只能传递两个
auth.authenticate自定义其他字段验证
wangjun491280的博客
06-28 2622
authenticate()函数接收任何参数传入。 但是传入后必须的做后端代码验证才能正常使用,否则无效。 我们直接看代码 class ssoAuth(ModelBackend): def authenticate(self, 自定义xx=None,**kwargs): if 自定义xx: if User.objects.filter(自定义xx=自定义xx).count()>0: return User.obje
史上最简单的Spring Security教程(十八):CA登录与默认用户名密码登录共存详细实现及配置
银河架构师的博客
09-20 3165
​在前面的文章中,我们自定义了一些CA登录相关的类,如CertificateAuthorityAuthenticationToken、CertificateAuthorityAuthenticationFilter、CertificateAuthorityDaoAuthenticationProvider等。但是,由于诸多条件的不具备,也就没有办法演示。 不过,目前一个新登录方式所需要的逻辑基本都介绍过了,下面,就利用这些已经自定义的类,来尝试如何自定义个新的登录方式-CA登录。并且,CA登录需要与默认.
使用UsernamePasswordAuthenticationToken
最新发布
weixin_44919041的博客
01-16 933
方法一和方法唯一区别就是AuthenticationManagerBuilder和AuthenticationManager。
springboot2.7整合springSecurity
gzmyh的博客
02-28 5896
本着前人栽树,后人乘凉的这种思想,自己花了一些时间,用心的整理了一套springboot整合springsecurity的教程。该教程是基于前后端分离,会实现以下两种登录功能:用户名+密码+图片验证码手机号登录这两种方式可以同时存在,并且互不干预。本教程会通过阅读其内置的用户名密码登录的源码,以及结合官网文档来实现一些自定义的登录方式。注:教程主要是开发思路的讲解,其中涉及到的代码仅供参考,为了方便,很多地方忽略了一些细节打开源码可以看到是继承,因此我们就从它开始阅读。
Spring security常见用法(一)
攀登Fox的博客
05-05 743
目录1、自定义用户名密码2、自定义登录成功跳转地址3、自定义登录失败跳转地址4、常见授权匹配方式5、常见内置访问控制方法6、常见角色权限判断方法7、自定义无权限403返回信息 1、自定义用户名密码Spring security用户名默认为username字段密码默认为password字段,这些是在过滤器UsernamePasswordAuthenticationFilter中定义好的。...
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 9490
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
基于OAuth2如何扩展另一套认证方式?例如认证时不使用固定的用户名密码即可登录
dushaofei147的博客
08-20 1049
基于OAuth2授权如何拓展出自己的认证方式? 查看该博客我们默认读者已经清楚OAuth的认证流程以及AuthenticationManager,BearerTokenExtractor,OAuth2AuthenticationEntryPoint,各个类的原理和使用方式。 场景:例如,部客户端或服务端如何使用不固定的参数登录到本系统? 比如当前我们的系统已经集成好了OAuth2协议,但是某些场景在给客户端或服务端提供对接口时,这些接口的保护授权方式都是独立的,accessToken也是不会在he
springsecurity默认用户名密码
09-19
Spring Security 默认不提供用户名密码,而是通过配置文件进行自定义设置。在Spring Security的配置文件中,可以通过使用`UserDetailsService`接口的实现类来创建用户,并配置他们的用户名密码。下面是一个示例的配置文件内容: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/dashboard") .permitAll() .and() .logout() .logoutUrl("/logout") .permitAll(); } @Bean public UserDetailsService userDetailsService() { UserDetails user = User.withUsername("username") .password(passwordEncoder().encode("password")) .roles("USER") .build(); return new InMemoryUserDetailsManager(user); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 在上述示例中,使用`inMemoryAuthentication()`方法在内存中创建了一个用户,该用户的用户名为"username",密码为"password",并且该用户角色为"USER"。这些设置是通过调用`UserDetailsService`的实现类`InMemoryUserDetailsManager`进行配置的。 需要注意的是,在实际的应用中,强烈建议使用数据库或其他安全存储方式存储用户信息,并通过`UserDetailsService`从存储中获取用户信息,而不是直接在配置文件中硬编码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

希克

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值