SpringBoot整合SpringSecurity登录表单添加额外自定义字段

最新推荐文章于 2024-05-30 08:15:00 发布
最新推荐文章于 2024-05-30 08:15:00 发布
阅读量2.2k 收藏 7
点赞数 1
分类专栏: springsecurity springboot java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014295903/article/details/116978182
版权
java 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
springboot
10 篇文章 2 订阅
订阅专栏
springsecurity
7 篇文章 1 订阅
订阅专栏

SpringSecurity登录表单添加额外自定义字段

一、阐述

在使用Spring Security框架过程中,经常会在登录验证时,附带增加额外的数据,如验证码、系统类型等。我之前写过一篇实现添加验证码的方式,但是code参数是验证用户密码时在request中获取,就会在分布式时会有问题,因此这篇正好也作为补充。
本文有两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。当然,第二种也是建立在第一种的基础之上,对Security的运用更加深入。

1.1 重点必看

本文是建立在此基础上的调整
Springboot + Spring Security 前后端分离权限控制

二、实现

首先要声明一下,因为实现将登陆接口由表单改成了json形式,若是在json中添加新参数,使用 request.getParameter(“param”); 的方法已经不可再用。但是,在URL上拼接新参数 ?param=1234 就可以采用request方式获取。

2.1 法一:拼接实现

很好理解,AuthenticationProvider在接收后只有username与password,别的字段是没有地方使用的。本方法其实就是在传入之后,在继承UsernamePasswordAuthenticationFilter时,将自定义参数与username或password进行拼接,使用的时候再拆开。
本方法取巧,但是实现起来还是很方便的。
具体实现参考:Springboot + Spring Security 前后端分离权限控制,下边只是部分改写了一点点。

2.1.1 登录过滤,处理json

继承UsernamePasswordAuthenticationFilter,修改参数。

package net.cnki.security.filter;

import java.io.IOException;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import com.fasterxml.jackson.databind.ObjectMapper;

import net.cnki.security.hander.MyAuthenctiationFailureHandler;
import net.cnki.security.verify.MyAuthenticationToken;
/**
 * 
 * @author ZhiPengyu
 * @ClassName:    [MyLoginAuthenticationFilter.java]
 * @Description:  [登录过滤,处理json]
 * @CreateDate:   [2020年8月13日 下午5:22:12]
 */
public class MyLoginAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
	Logger logger = LoggerFactory.getLogger(this.getClass());
	
	@Autowired
	MyAuthenctiationFailureHandler myAuthenctiationFailureHandler;

    @Override
    public Authentication attemptAuthentication(HttpServletRequest servletRequest, HttpServletResponse servletResponse) throws AuthenticationException {
    	logger.info("登录过滤,处理json!");
    	HttpServletRequest request= (HttpServletRequest) servletRequest;
        HttpServletResponse response= (HttpServletResponse) servletResponse;
    	if (!request.getMethod().equals("POST")) {//必须post登录
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }
        //如果是application/json类型,做如下处理
        if(request.getContentType() != null && (request.getContentType().equals("application/json;charset=UTF-8")||request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE))){
            //以json形式处理数据
            String username = null;
            String password = null;
            String sysname = null;
            String orgname = null;

            try {
            	//将请求中的数据转为map
                @SuppressWarnings("unchecked")
				Map<String,String> map = new ObjectMapper().readValue(request.getInputStream(), Map.class);
                username = map.get("username");
                password = map.get("password");
                sysname = map.get("sysname");
                orgname = map.get("orgname");
            } catch (IOException e) {
                e.printStackTrace();
            }
            username = username == null ? "":username.trim();
    		password = password == null ? "":password.trim();
    		sysname = sysname == null ? "":sysname.trim();
    		orgname = orgname == null ? "":orgname.trim();
    		
    		//-------------------------此处进行拼接。--------------------------
			username = username + "-"+sysname +"-"+orgname ;
			//---------------------------------------------------

    		MyAuthenticationToken authRequest = new MyAuthenticationToken(username, password);
            setDetails(servletRequest, authRequest);

            return this.getAuthenticationManager().authenticate(authRequest);
        }
        //否则使用官方默认处理方式
        return super.attemptAuthentication(request, response);
    }
}

2.1.2 用户验部分

此处就更简单了,获取到之后直接切割就可以了。

package net.cnki.security;

import java.util.Collection;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.DisabledException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

import net.cnki.common.controller.UserLogBaseController;

@Component
public class MyAuthenticationProvider extends UserLogBaseController implements AuthenticationProvider {
	Logger logger = LoggerFactory.getLogger(MyAuthenticationProvider.class);
	
    @Autowired
    private MyUserDetailService userService;
    @Autowired
    HttpServletRequest httpServletRequest;
    
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    
    /**
     * 自定义验证方式
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String usernameparam = authentication.getName();
        String password = (String) authentication.getCredentials();
		//-------------------------------------------------------------------
		String[] usern = usernameparam.split("-");
		String username = usern[0];
		String sysname = usern[1];
        String orgname = usern[2];
		//-------------------------------------------------------------------
        UserDetails user = userService.loadUserByUsername(username);
        
        //加密过程在这里体现
        logger.info("结果CustomUserDetailsService后,已经查询出来的数据库存储密码:" + user.getPassword());
        if (!passwordEncoder().matches(password, user.getPassword())) {
        	logger.info("登录用户密码错误!");
            throw new DisabledException("登录用户密码错误!");
        }
 
        String requestCode = httpServletRequest.getParameter("vercode");
        HttpSession session = httpServletRequest.getSession();
		String saveCode = (String) session.getAttribute("RANDOMVALIDATECODEKEY");//captcha
		//获取到session验证码后随时清除
		if(!StringUtils.isEmpty(saveCode)) {
			session.removeAttribute("RANDOMVALIDATECODEKEY");//captcha
		}
		logger.info("requestCode:"+requestCode+",saveCode:"+saveCode);
		if(StringUtils.isEmpty(saveCode) || StringUtils.isEmpty(requestCode) || !requestCode.equals(saveCode)) { 
			logger.info("图片验证码错误!");
			throw new DisabledException("图形验证码错误!"); 
		}
		logger.info("登录成功");
		
		addUserLog("用户登录", "登录", 1, username);
		
        Collection<? extends GrantedAuthority> authorities = user.getAuthorities();
        return new UsernamePasswordAuthenticationToken(user, password, authorities);
    }
 
    @Override
    public boolean supports(Class<?> arg0) {
        return true;
    }
}

2.2 法二:重写实现

同样的方式,与上一方式一样,只不过是修改更多的重写,整体上没啥变化,相对来说更高级一些。添加参数的同时,在接受上也改写。

2.2.1 继承 UsernamePasswordAuthenticationToken

package net.cnki.security.verify;

import java.util.Collection;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

public class MyAuthenticationToken extends UsernamePasswordAuthenticationToken {
	
	/**
	 * 
	 */
	private static final long serialVersionUID = 2112284640094900016L;
	
	private String sysname;
	private String orgname;
	
    public MyAuthenticationToken(Object principal, Object credentials, String sysname, String orgname) {
        super(principal, credentials);
        this.sysname = sysname;
        this.orgname = orgname;
        super.setAuthenticated(false);
    }
	public MyAuthenticationToken(Object principal, Object credentials, String sysname, String orgname,
			Collection<? extends GrantedAuthority> authorities) {
		super(principal, credentials, authorities);
        this.sysname = sysname;
        this.orgname = orgname;
        super.setAuthenticated(true);
	}
	
    public String getSysname() {
        return this.sysname;
    }
	public String getOrgname() {
		return orgname;
	}
}

2.2.2 实现 AuthenticationProvider

package net.cnki.security.verify;

import java.util.ArrayList;
import java.util.Collection;
import java.util.Date;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.DisabledException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

import com.alibaba.fastjson.JSONObject;

import cn.hutool.core.lang.Validator;
import cn.hutool.http.HttpResponse;
import net.cnki.api.service.CnkiService;
import net.cnki.common.Const;
import net.cnki.modules.bean.SysLog;
import net.cnki.modules.bean.SysRole;
import net.cnki.modules.bean.SysUser;
import net.cnki.modules.service.SysLogService;
import net.cnki.modules.service.SysRoleService;
import net.cnki.modules.service.SysUserService;
import net.cnki.redis.JedisUtils;
import net.cnki.redis.RedisConstants;
import net.cnki.util.AESUtil;
import net.cnki.util.HttpContextUtils;
import net.cnki.util.IPUtils;

/**
 * 
 * @author ZhiPengyu
 * @ClassName:    [MyAuthenticationProvider.java]
 * @Description:  [登录校验-验证部分]
 * @CreateDate:   [2020年8月11日 上午10:47:30]
 */
@Component
public class MyAuthenticationProvider implements AuthenticationProvider {
	Logger logger = LoggerFactory.getLogger(MyAuthenticationProvider.class);
	
	@Autowired
	JedisUtils jedisUtils;
	@Autowired
	CnkiService cnkiService;
    @Autowired
    MyUserDetailService userService;
    @Autowired
    SysUserService sysUserService;
    @Autowired
    SysRoleService roleService;
    @Autowired
    SysLogService sysLogService;
    
    @Value("${redis.prefixName}")
    private String prefixName;
    
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    
    /**
     * 去除密码验证并授权
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    	logger.info("登录授权部分!");
    	//---------------------获取参数--------------
    	MyAuthenticationToken auth = (MyAuthenticationToken) authentication;
    	HttpServletRequest request = HttpContextUtils.getHttpServletRequest();
        String username = auth.getName();
        String password = (String) auth.getCredentials();
        String sysname = auth.getSysname();
        String orgname = auth.getOrgname();

        //------------------------自定义登陆过程--------------
        
        Collection<? extends GrantedAuthority> authorities = user.getAuthorities();
        return new UsernamePasswordAuthenticationToken(user, user.getPassword(), authorities);//密码为未加密
    }
 
    @Override
    public boolean supports(Class<?> arg0) {
        return true;
    }
}

2.2.3 继承 UsernamePasswordAuthenticationFilter

package net.cnki.security.filter;

import java.io.IOException;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import com.fasterxml.jackson.databind.ObjectMapper;

import net.cnki.security.hander.MyAuthenctiationFailureHandler;
import net.cnki.security.verify.MyAuthenticationToken;
/**
 * 
 * @author ZhiPengyu
 * @ClassName:    [MyLoginAuthenticationFilter.java]
 * @Description:  [登录过滤,处理json]
 * @CreateDate:   [2020年8月13日 下午5:22:12]
 */
public class MyLoginAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
	Logger logger = LoggerFactory.getLogger(this.getClass());
	
	@Autowired
	MyAuthenctiationFailureHandler myAuthenctiationFailureHandler;

    @Override
    public Authentication attemptAuthentication(HttpServletRequest servletRequest, HttpServletResponse servletResponse) throws AuthenticationException {
    	logger.info("登录过滤,处理json!");
    	HttpServletRequest request= (HttpServletRequest) servletRequest;
        HttpServletResponse response= (HttpServletResponse) servletResponse;
    	if (!request.getMethod().equals("POST")) {//必须post登录
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }
        //如果是application/json类型,做如下处理
        if(request.getContentType() != null && (request.getContentType().equals("application/json;charset=UTF-8")||request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE))){
            //以json形式处理数据
            String username = null;
            String password = null;
            String sysname = null;
            String orgname = null;

            try {
            	//将请求中的数据转为map
                @SuppressWarnings("unchecked")
				Map<String,String> map = new ObjectMapper().readValue(request.getInputStream(), Map.class);
                username = map.get("username");
                password = map.get("password");
                sysname = map.get("sysname");
                orgname = map.get("orgname");
            } catch (IOException e) {
                e.printStackTrace();
            }
            username = username == null ? "":username.trim();
    		password = password == null ? "":password.trim();
    		sysname = sysname == null ? "":sysname.trim();
    		orgname = orgname == null ? "":orgname.trim();

    		MyAuthenticationToken authRequest = new MyAuthenticationToken(username, password,sysname,orgname);
            setDetails(servletRequest, authRequest);

            return this.getAuthenticationManager().authenticate(authRequest);
        }
        //否则使用官方默认处理方式
        return super.attemptAuthentication(request, response);
    }

}

三、结果截图

在这里插入图片描述

在这里插入图片描述

herozhi0821
关注
专栏目录
Springboot 整合 spring security,简单实现认证和授权
weixin_40991408的博客
05-18 905
Springboot 整合 spring security,简单实现认证和授权
SpringCloud微服务整合Spring Security OAuth2
lyy的博客
04-12 3220
要记得引入common后也要做必要的配置,比如nacos,相关配置可见博客:https://blog.csdn.net/qq_41076797/article/details/128509393、https://blog.csdn.net/qq_41076797/article/details/128508723;外面请求进来先通过网关进行身份认证,未登录的去登录,已登录的网关找到auth进行鉴权,通过才放行到具体的普通功能性微服务。代码会在后面给出,因为这段代码在后面的配置文件中。
Spring Security在标准登录表单添加一个额外字段
08-26
主要介绍了Spring Security在标准登录表单添加一个额外字段,我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。 需要的朋友可以参考下
Spring Security)实战干货二:标准登录表单,除用户名密码外增添其他字段
希克的博客
08-20 650
在很多的登录场景中,用户名和密码不是仅有的用于登录认证授权的字段,会有各类的情况。比如:学校系统登录时需要加选学生或老师身份,多组织系统登录时需要选择组织(域)等等。这篇文章描述用SS实现这类场景登录
Spring Security 额外登录字段
白石的专栏
12-06 531
在本文中,我们将通过**向标准登录表单添加一个额外字段来使用**[Spring Security](https://projects.spring.io/spring-security/)实现自定义身份验证场景。
springboot框架读取配置文件中的自定义字段
Simon778的博客
11-01 650
springboot框架中用@value注解在service和controller层读取配置文件中的自定义字段
SpringSecurity
qq_27295923的博客
09-05 773
SpringBoot下使用SpringSecurity (一)基本 1.SpringSecurityJWT学习博客 https://blog.csdn.net/larger5/article/details/81047869 https://blog.csdn.net/larger5/article/details/81063438 2.设置不需要登录就能访问接口 在SpringSecurityC...
IDEA-Spring Security安全管理-自定义用户授权管理
qq_39589936的博客
11-23 699
当一个系统建立之后,通常需要适当地做一些权限控制,使得不同用户具有不同的权限操作系统。 数据准备等见上一篇博客自定义用户认证 用户自定义访问控制 实际生产中,网站访问多是基于HTTP请求的,我们可以通过重写WebSecurityConfigurerAdapter类的configure(HTTPSecurity http)方法来对基于Http的请求访问进行控制。 configure(HttpSecurity http)方法的参数类型是HttpSecurity类,该类提供了Http请求的限制以及权限、S
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3564
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security登录验证中增加额外数据(如验证码)
weixin_34248849的博客
07-13 980
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthe...
Spring boot MongoDB 实现自定义审计字段
蜀道难,难于上青天。
07-03 1269
Spring Data提供的一个接口,用于提供当前执行数据库操作的"审计员"的信息。"审计员"可以是当前操作的用户、系统的默认用户或其他相关信息,用于记录和跟踪数据的变更历史。,只要在保存文档之前将数据拦截处理就可以实现字段填充。除了上面这种方式,还可以通过实现。的作用是为实体类中标记了。
SpringBoot 整合Security——自定义表单登录
境里婆娑
08-06 338
文章目录一、添加验证码1.1 验证servlet1.2 修改 login.html1.3 添加匿名访问 Url二、AJAX 验证三、过滤器验证3.1 编写验证码过滤器3.2 注入过滤器3.3 运行程序四、Spring Security 验证4.1 WebAuthenticationDetails4.2 AuthenticationDetailsSource4.3 AuthenticationPro...
springsecurity自定义用户详细信息服务
jiang2360的博客
08-05 362
Spring Security 中用于加载用户信息的核心接口。在 Spring Security 中,你可以通过创建一个实现了。你可以使用 Spring Security 提供的。如果你选择自定义,那么你的类需要提供。接口定义的方法,包括获取用户名、密码、权限等。需要怎么做,流程是什么,需要实现哪些接口/类。接口的类来自定义用户详细信息服务。在这个配置中,我们首先注入了。类或者自定义一个实现了。
Springboot自定义序列化字段以及遇到的一个坑
m0_49194578的博客
12-21 556
我有这个一个类 返回前端序列化结束却成为了 fDocuemnt序列化为了fdocument 查了一下获得解决方法 @JsonProperty("fDocumentId") 注解,,是解决了,但是又出现一个问题,,,就是字段会重复出现 我的发? 又冲浪了一会,找到了解决办法,以及原因,顺便明白了为什么一开始会出现字段名不一致 就如这位仁兄所说,一切都是lombok的锅 解决办法有两个 1:自己写set方法在方法上添加这个@JsonProperty注解 2:在类上添加@JsonAutoDetect(get
springboot+mybatis+自定义注解实现对数据库中的字段进行加解密
xiaohui151211的博客
09-27 2578
文章不足之处,请多谅解
SpringBootSpringBoot强大的自定义属性配置
最新发布
永远保持随时离开的技术能力!
05-30 1942
@Value和@ConfigurationProperties在自定义属性的使用。
springboot 自定义注解支持表单与json传参
qq_45597391的博客
05-21 433
文章目录自定义注解类(RequestJson)RequestJsonHandlerMethodArgumentResolverWebAppConfig测试 原文地址推荐查看 自定义注解类(RequestJson) @Target(ElementType.PARAMETER) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RequestJson { /** * 参数名称,默认为"",会以参数名为key
SpringBoot集成Spring Security(4)——自定义表单登录
qq_39371480的博客
08-13 358
SpringBoot集成Spring Security(4)——自定义表单登录 1.添加验证码功能 1.1 验证码程序  从网上拉取一段建立验证码的程序: package cn.it.test.Servlet; import javax.imageio.ImageIO; import javax.servlet.ServletException; import javax.servlet.ServletOutputStream; import javax.servlet.http.HttpServlet;
Spring Security自定义登录表单添加额外字段
"Spring Security在标准登录表单添加额外字段以实现自定义身份验证方案,主要涉及两种方法:重用核心实现和高级定制。本文将介绍如何利用Spring Boot、Maven配置以及Thymeleaf来完成这个过程。" 在Spring ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值