重构用户名密码登录获取token

最新推荐文章于 2024-06-18 07:28:07 发布
最新推荐文章于 2024-06-18 07:28:07 发布
阅读量3.1k 收藏 3
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uotail/article/details/90441309
版权

在这里插入图片描述
在这里插入图片描述

文章目录

在这里插入图片描述

用户名密码登录获取token

WhaleAuthenticationSuccessHandler

AuthenticationSuccessHandler
在成功处理器中根据请求头解析出client-id
在这里插入图片描述
参考 org.springframework.security.web.authentication.www.BasicAuthenticationFilter#doFilterInternal

@Component("whaleAuthenticationSuccessHandler")
public class WhaleAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

	private Logger logger = LoggerFactory.getLogger(getClass());

	// ObjectMapper spring mvc 提供的
	@Autowired
	private ObjectMapper objectMapper;

	@Autowired
	private SecurityProperties securityProperties;

	@Autowired
	private ClientDetailsService clientDetailsService;

	@Autowired
	private  AuthorizationServerTokenServices authorizationServerTokenServices;


	/*
	 * (non-Javadoc)
	 * 
	 * @see org.springframework.security.web.authentication.
	 * AuthenticationSuccessHandler#onAuthenticationSuccess(javax.servlet.http.
	 * HttpServletRequest, javax.servlet.http.HttpServletResponse,
	 * org.springframework.security.core.Authentication)
	 */
	@Override
	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
										Authentication authentication) throws IOException, ServletException {

		logger.info("登录成功");

		String header = request.getHeader("Authorization");

		if (header == null || !header.toLowerCase().startsWith("basic ")) {
//			chain.doFilter(request, response);
			throw new UnapprovedClientAuthenticationException("请求头中无client信息");
//			return;
		}
//		try {
		String[] tokens = extractAndDecodeHeader(header, request);
		assert tokens.length == 2;

		String username = tokens[0];

		String clientId = tokens[0];
		String clientSecret = tokens[1];

		//拿到了clientDetails
		ClientDetails clientDetails = clientDetailsService.loadClientByClientId(clientId);
        //校验
		if(clientDetails==null){
			throw new UnapprovedClientAuthenticationException("client-id对应信息不存在:"+clientId);
		}else if(! StringUtils.equals(clientDetails.getClientSecret(),clientSecret)){
			throw new UnapprovedClientAuthenticationException("client-secret对应信息不匹配:"+clientSecret);
		}

		//不需要再构建authentication 传一个空的map
		//grantType 为四种授权模式  我们是自定义的
		TokenRequest tokenRequest = new TokenRequest(MapUtils.EMPTY_MAP,clientId,clientDetails.getScope(),"custom");

		OAuth2Request oAuth2Request = tokenRequest.createOAuth2Request(clientDetails);

		OAuth2Authentication oAuth2Authentication = new OAuth2Authentication(oAuth2Request, authentication);

		OAuth2AccessToken oAuth2AccessToken = authorizationServerTokenServices.createAccessToken(oAuth2Authentication);



		response.setContentType("application/json;charset=UTF-8");
//		response.getWriter().write(objectMapper.writeValueAsString(authentication));
		response.getWriter().write(objectMapper.writeValueAsString(oAuth2AccessToken));

//		if(LoginType.JSON.equals(securityProperties.getBrowser().getLoginType())){
//			response.setContentType("application/json;charset=UTF-8");
//			response.getWriter().write(objectMapper.writeValueAsString(authentication));
//		}else {
//			//如果配置的返回类型不是json,则调用父类方法,进行跳转
//			super.onAuthenticationSuccess(request,response,authentication);
//		}

	}

		/**
		 * Decodes the header into a username and password.
		 *
		 * @throws BadCredentialsException if the Basic header is not present or is not valid
		 * Base64
		 */
		private String[] extractAndDecodeHeader(String header, HttpServletRequest request)
			throws IOException {

			byte[] base64Token = header.substring(6).getBytes("UTF-8");
			byte[] decoded;
			try {
				decoded = Base64.getDecoder().decode(base64Token);
			}
			catch (IllegalArgumentException e) {
				throw new BadCredentialsException(
						"Failed to decode basic authentication token");
			}

//			String token = new String(decoded, getCredentialsCharset(request));
			String token = new String(decoded, "UTF-8");

			int delim = token.indexOf(":");

			if (delim == -1) {
				throw new BadCredentialsException("Invalid basic authentication token");
			}
			return new String[] { token.substring(0, delim), token.substring(delim + 1) };
		}
}

WhaleResourceServerConfig

参考 BrowserSecurityConfig

@Configuration
@EnableResourceServer
public class WhaleResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Autowired
    protected AuthenticationSuccessHandler whaleAuthenticationSuccessHandler;

    @Autowired
    protected AuthenticationFailureHandler whaleAuthenticationFailureHandler;

    @Autowired
    private SmsCodeAuthenticationSecurityConfig smsCodeAuthenticationSecurityConfig;

    @Autowired
    private SecurityProperties securityProperties;

    @Override
    public void configure(HttpSecurity http) throws Exception {
        super.configure(http);

        http.formLogin()
                .loginPage(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL)
                .loginProcessingUrl(SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_FORM)
                .successHandler(whaleAuthenticationSuccessHandler)
                .failureHandler(whaleAuthenticationFailureHandler);

        http//.apply(validateCodeSecurityConfig)
               //.and()
                .apply(smsCodeAuthenticationSecurityConfig)
                .and()
               /*
               APP上没有rember的概念
               .rememberMe()
                .tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(securityProperties.getBrowser().getRememberMeSecodes())*/
               /* .userDetailsService(userDetailsService)
                .and()
                .sessionManagement()

                .invalidSessionStrategy(invalidSessionStrategy)
                .maximumSessions(securityProperties.getBrowser().getSession().getMaximumSessions())
                .maxSessionsPreventsLogin(securityProperties.getBrowser().getSession().isMaxSessionsPreventsLogin())
                .expiredSessionStrategy(sessionInformationExpiredStrategy)*/

//                .invalidSessionUrl("/session/invalid")
//                .maximumSessions(1)//为1 后面登录的session会把前面的登录的session失效掉
//                .maxSessionsPreventsLogin(true)//当session数量达到最大时 阻止后面的登录
//                .expiredSessionStrategy(new MyExpiredSessionStrategy())//并发登录导致超时的处理策略
//                .and()
//                .and()
//                .logout()
//                .logoutUrl("/signOut")
//                .logoutSuccessUrl("/logOut.html")
//                .logoutSuccessHandler(LogoutSuccessHandler) //Handler和Url是互斥的
//                .deleteCookies("JESSIONID")//清除cookie中的 当前session id
//                .and()
                .authorizeRequests()
                .antMatchers(
                        SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
                        SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,
                        securityProperties.getBrowser().getLoginPage(),
                        SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX+"/*",
                        securityProperties.getBrowser().getSession().getSessionInvalidUrl()+".json",
                        securityProperties.getBrowser().getSession().getSessionInvalidUrl()+".html",
                        "/session/invalid")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .cors().disable().csrf().disable();// 禁用跨站攻击

    }
}

启动测试获取token

模拟表单登录获取token
在这里插入图片描述在这里插入图片描述

拿着token请求资源
在这里插入图片描述
直接浏览器访问会报错
在这里插入图片描述

重构短信登录获取token

测试用手机验证获取token

在这里插入图片描述

WhaleResourceServerConfig

在这里插入图片描述这个不能配置,因为如果加上了验证码校验的配置,表单获取token的时候也就需要验证码了,
继而不能请求发送手机短信的token,后面再说吧
解决
ValidateCodeFilter 注释掉表单登录的验证码验证

//        urlMap.put(SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_FORM, ValidateCodeType.IMAGE);

ok

拿着token请求发送手机短信验证码的接口

上次的token9995dfa3-f3c5-441d-9e3a-032ab62eec02
在这里插入图片描述
只需要在请求头上加上token就可以请求资源

在这里插入图片描述

postman用手机短信码去获取token及问题


我们的postman是模拟浏览器请求,会带上cookie,cookie里面又还有session id 可以找到session
但是如果我们用代码去发送请求,它是没有cookie也没有session 所有 会报一个短信验证码不存在的错误
因为我们的验证码是存在session里面的

所有app中我们不能用session去存储手机验证码

重构验证码存储逻辑

在这里插入图片描述

@Autowired

@Autowired为Spring提供的注解,需要导入包org.springframework.beans.factory.annotation.Autowired;只按照byType注入。

@Autowired注解是按照类型(byType)装配依赖对象,默认情况下它要求依赖对象必须存在,如果允许null值,可以设置它的required属性为false。如果我们想使用按照名称(byName)来装配,可以结合@Qualifier注解一起使用。

验证码存储 ValidateCodeRepository

在这里插入图片描述

ValidateCodeRepository

public interface ValidateCodeRepository  {


    /**
     * 保存验证码
     * @param request
     * @param validateCode
     * @param validateCodeType
     */
    void save(ServletWebRequest request ,ValidateCode validateCode,ValidateCodeType validateCodeType);


    /**
     * 获取验证码
     * @param request
     * @param validateCodeType
     * @return
     */
    ValidateCode get(ServletWebRequest request,ValidateCodeType validateCodeType);


    /**
     * 移除验证码
     * @param request
     * @param validateCodeType
     * @return
     */
    void remove(ServletWebRequest request,ValidateCodeType validateCodeType);
}
RedisValidateCodeRepository

app端我们把验证码存到redis里面
在这里插入图片描述

@Component
public class RedisValidateCodeRepository implements ValidateCodeRepository {

    @Autowired
    private RedisTemplate<Object,Object> redisTemplate;

    /**
     * 保存验证码
     *
     * @param request
     * @param validateCode
     * @param validateCodeType
     */
    @Override
    public void save(ServletWebRequest request, ValidateCode validateCode, ValidateCodeType validateCodeType) {
        //存redis 30分钟超时时间
        redisTemplate.opsForValue().set(buildKey(request,validateCodeType),validateCode,30,TimeUnit.MINUTES);
    }

    /**
     * 获取验证码
     * @param request
     * @param validateCodeType
     * @return
     */
    @Override
    public ValidateCode get(ServletWebRequest request, ValidateCodeType validateCodeType) {
        Object value = redisTemplate.opsForValue().get(buildKey(request, validateCodeType));
        if(value==null){
            return null;
        }
        return (ValidateCode) value;
    }

    /**
     * 移除验证码
     *
     * @param request
     * @param validateCodeType
     * @return
     */
    @Override
    public void remove(ServletWebRequest request, ValidateCodeType validateCodeType) {
        redisTemplate.delete(buildKey(request,validateCodeType));
    }

    private String buildKey(ServletWebRequest request, ValidateCodeType validateCodeType) {
        String deviceId = request.getHeader("deviceId");
        if(StringUtils.isBlank(deviceId)){
            throw new ValidateCodeException("请在请求头中携带deviceId参数");
        }
        return "code:"+validateCodeType.toString().toLowerCase()+":"+deviceId;

    }

    /**
     * 根据请求的url获取校验码的类型
     *
     * @param request
     * @return
     */
    private ValidateCodeType getValidateCodeType(ServletWebRequest request) {
        String type = StringUtils.substringBefore(getClass().getSimpleName(), "CodeProcessor");
        return ValidateCodeType.valueOf(type.toUpperCase());
    }
}
SessionValidateCodeRepository

浏览器端还是存到session中国

在这里插入图片描述

`@Component
public class SessionValidateCodeRepository implements ValidateCodeRepository {


    /**
     * 操作session的工具类
     */
    private SessionStrategy sessionStrategy = new HttpSessionSessionStrategy();

    /**
     * 保存验证码
     *
     * @param request
     * @param validateCode
     * @param validateCodeType
     */
    @Override
    public void save(ServletWebRequest request, ValidateCode validateCode, ValidateCodeType validateCodeType) {
        ValidateCode code = new ValidateCode(validateCode.getCode(),validateCode.getExpireTime());
        sessionStrategy.setAttribute(request, getSessionKey(request), code);
    }

    /**
     * 获取验证码
     *
     * @param request
     * @param validateCodeType
     * @return
     */
    @Override
    public ValidateCode get(ServletWebRequest request, ValidateCodeType validateCodeType) {

        String sessionKey = getSessionKey(request);

        ValidateCode codeInSession = (ValidateCode) sessionStrategy.getAttribute(request, sessionKey);

        return codeInSession;
    }

    /**
     * 移除验证码
     *
     * @param request
     * @param validateCodeType
     * @return
     */
    @Override
    public void remove(ServletWebRequest request, ValidateCodeType validateCodeType) {
        sessionStrategy.removeAttribute(request,getSessionKey(request));
    }


    /**
     * 构建验证码放入session时的key
     *
     * @param request
     * @return
     */
    private String getSessionKey(ServletWebRequest request) {
//		return SESSION_KEY_PREFIX + getProcessorType(request);
        return SESSION_KEY_PREFIX + getValidateCodeType(request).toString().toUpperCase();

    }

    /**
     * 根据请求的url获取校验码的类型
     *
     * @param request
     * @return
     */
    private ValidateCodeType getValidateCodeType(ServletWebRequest request) {
        String type = StringUtils.substringBefore(getClass().getSimpleName(), "CodeProcessor");
        return ValidateCodeType.valueOf(type.toUpperCase());
     }

  }

`

AbstractValidateCodeProcessor 更换验证码存储接口

引入

	@Autowired
	private ValidateCodeRepository validateCodeRepository;

来对应操作验证码

在依赖app的时候就会找到我们的RedisValidateCodeRepository 的bean

redis配置

## Redis服务器地址
spring.redis.host=192.168.85.134
## Redis服务器连接端口
spring.redis.port=6379
## Redis服务器连接密码(默认为空)
spring.redis.password=123456

测试

在这里插入图片描述在这里插入图片描述测试成功

神奇小白
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringOAuth2.0访问/oauth/token响应Invalid basic authentication token
程序员劝退师的博客
11-07 2012
这个问题其实不是我们代码的问题,是我们请求方式的问题,或者说是请求工具的问题,这段时间在学习OAuth2.0协议框架SpringOAuth2.0,在搭建认证服务器之后请求完/oauth/authorize之后得到code后就会请求/oauth/token来得到access_token等相关信息 在得到code之后我就使用postMan发送/oauth/authorize请求,设置了请求头Content-Type:application/x-www-form-urlencoded Authorization:
UsernamePasswordAuthenticationToken使用
码字不易,大家的支持就是我坚持下去的动力
03-02 1万+
是 Spring Security 中用于封装用户名密码认证信息的一个类,它实现了接口,用于表示一个认证请求。
springSecurity(二):实现登入获取token与解析token
最新发布
qq_43586337的博客
06-18 1314
实现登入获取token与解析token
通过HTTP协议认证方式弹出用户名密码对话框
u012925692的博客
08-09 1127
请求头部类似如下,Authorization: Digest username="xxxxx",realm="myTomcat",qop="auth",nonce= "xxxxx",uri="xxxx",cnonce="xxxxxx",nc=00000001,response="xxxxxxxxx",opaque="xxxxxxxxx"。④ 服务器端Web容器获取HTTP报文头部的相关认证信息,确认此用户名密码是否正确,是否有相应资源的权限,如果认证成功,则返回相关资源,否则再执行步骤②,重新进行认证。
Spring Security 安全认证框架
qq_35930739的博客
05-19 743
一、认证流程 UsernamePasswordAuthenticationFilter过滤器用于处理基于表单方式的登录验证,该过滤器默认只有当请求方法为post、请求页面为/login时过滤器才生效,如果想修改默认拦截url,只需在刚才介绍的Spring Security配置类WebSecurityConfig中配置该过滤器的拦截url:.loginProcessingUrl("url")即可; BasicAuthenticationFilter用于处理基于HTTP Basic方式的登录验证.
spring security 实现自定义认证和登录(3):使用JWT生成token返回给用户
qq_45691577的博客
03-05 1243
前面我们已经实现了登录,为了验证用户日后的请求是否有效,我们生成一个token给用户,用户将token保存起来,用户每次发送请求时我们验证其token是否有效,下面使用JWT生成token并返回给用户。
Jmeter接口登录获取参数token报错问题解决方案
08-18
总之,解决 JMeter 接口登录获取参数 `token` 报错的问题,关键在于正确地使用正则表达式提取器抓取动态生成的 `token`,并在后续的登录请求中正确传递。通过调试和查看结果,可以有效地定位并解决问题。希望这个...
swagger测试获取token
02-14
使用这样的插件,开发者可以在插件设置中配置登录规则,比如API的登录接口URL、请求方法(POST、GET等)、所需的参数(如用户名密码)。一旦设置完成,插件会在后台执行登录操作,并存储获取到的token。之后在测试...
C# wx获取token的基本方法
01-01
本文实例为大家分享了C# wx获取token的具体代码,供大家参考,具体内容如下 #region 请求Url,不发送数据 /// /// 请求Url,不发送数据 /// public static string RequestUrl(string url) { return RequestUrl...
登录页面记住用户名密码
11-27
"登录页面记住用户名密码"这一功能是提高用户体验的一个常见特性,它允许用户在首次登录后选择保存他们的用户名密码,以便下次访问时能够快速便捷地登录,通常会配合一个复选框供用户选择是否开启此功能。...
springboot专栏 008 登录(index页面获取token) 同步
04-16
在本篇SpringBoot专栏的第008部分,我们将探讨如何实现登录功能,特别是通过index页面获取token并进行同步操作。这个过程涉及到几个关键的技术点,包括SpringBoot、MyBatis-Plus、以及token的管理和同步。下面将逐一...
http请求带用户名密码验证
热门推荐
DK微风的博客
04-30 3万+
发送http请求往往需要带用户名密码,服务端进行授权验证 实现方式是将将用户名密码放到请求头里面,采用BasicAuthenticationScheme ,译为基本授权方案,想要了解的可以自己查查 下面是客户端和服务端的实现 客户端实现: public void httpSetAuth() throws IOException { String url3="ht...
根据用户名密码获取第三方token(失效时间7天)
榔娃
10-25 1982
一、根据用户名密码获取token 定义线程安全map private static Map<String, String> tokenMap = new ConcurrentHashMap<>(4); 刷新map /** * 刷新token * @param token */ private void refreshTokenMap(String token) { if (StringUtils.
Java Spring Security OAuth2.0 通过token 获取用户信息(ID)
xiaobai_notexc的博客
05-25 3954
解密token获取用户信息
springsecurity 获取token流程分析
lucktomcat的博客
07-01 3956
springsecurity password模式通过端点获取token主要源码段
Spring Security构建Rest服务-1202-Spring Security OAuth开发APP认证框架之重构3种登录方式...
weixin_30888707的博客
03-13 187
SpringSecurityOAuth核心源码解析 蓝色表示接口,绿色表示类 1,TokenEndpoint 整个入口点,相当于一个controller,不同的授权模式获取token的地址都是 /oauth/token ,通过grant_type 参数标识不同的授权类型,这个类就是判断授权类型 grant_type的。 2,TokenEndpoint收到请求后先调用Clie...
oauth2 java 获取token_基于SpringBoot整合oauth2实现token认证
weixin_42363231的博客
02-13 1459
这篇文章主要介绍了基于SpringBoot整合oauth2实现token 认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下session和token的区别:session是空间换时间,而token是时间换空间。session占用空间,但是可以管理过期时间,token管理部了过期时间,但是不占用空间.sessionId失效问题和token内包含。...
Springsecurity普通登录认证和OAuth2产生token的认证流程
join_null的博客
08-10 5720
一、普通登录认证过程 1.用户发起登录请求,请求登录接口/login(springsecurity默认登录接口地址) 2.过滤器UsernamePasswordAuthenticationFilter验证当前请求是否是在请求登录接口/login,如果是调用attemptAuthentication方法开始认证 3.attemptAuthentication方法在请求中获取usernamepassword参数封装成一个Authentication对象,调用...
Spring Security登录用户数据获取(4)
qq_39853669的博客
10-18 2063
登录成功之后,在后续的业务逻辑中,开发者可能还需要获取登录成功的用户对象,如果不使用任何安全管理框架,那么可以将用户信息保存在HttpSession中,以后需要的时候直接从HttpSession中获取数据。无论是哪种获取方式,都离不开一个重要的对象:Authentication。可以看到,在Spring Security中,只要获取Authentication对象,就可以获取登录用户的详细信息;
python登录网页,输入用户名密码获取数据
06-08
你可以使用 Python 的 requests 和 ...接着,我们构造登录表单数据,包括用户名密码和 CSRF token,然后发送登录请求。如果登录成功,我们就可以用会话对象来访问已登录的页面,并从页面中提取需要的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值