简单说说Spring Security 使用(附加验证码登录,自定义认证)

最新推荐文章于 2023-06-19 19:36:20 发布
最新推荐文章于 2023-06-19 19:36:20 发布
阅读量213 收藏 1
点赞数
文章标签: java javascript json ViewUI
原文链接:http://www.cnblogs.com/huangjiandong2012/p/4026634.html
版权

先看官方文档:http://docs.spring.io/spring-security/site/docs/4.0.x/reference/htmlsingle/

spring security4已经加入了注解的方式,但是为了比较清晰了解,还是使用了配置的方式。

第一步:web.xml 加入拦截、

    
    <!-- 配置springSecurityFilter -->
    <filter>
      <filter-name>springSecurityFilterChain</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
      <filter-name>springSecurityFilterChain</filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

第二步:编写配置文件:spring-security.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.2.xsd ">
    <http pattern="/common/**" security="none" />
    <http pattern="/login.jsp" security="none" />
    <http pattern="/user/login" security="none" />
    <http pattern="/index" security="none" />
    <http use-expressions="true">
        <intercept-url pattern="/**" access="isAuthenticated()" />
        <form-login login-page="/login.jsp"    authentication-failure-url="/login.jsp?error=1" />
         <logout invalidate-session="true" logout-url="/logout"  logout-success-url="/"  />
    </http>
    <authentication-manager alias="myAuthenticationManager">
        <authentication-provider user-service-ref="cwSysUserDetailsService">
            <password-encoder hash="md5"></password-encoder>
        </authentication-provider> 
    </authentication-manager>

</beans:beans>

第三步:编写登录认证函数

package com.eshore.upsweb.service;

import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import com.eshore.upsweb.dao.CwSysUserDAO;
import com.eshore.upsweb.model.CwSysUser;
import com.eshore.upsweb.model.CwSysUserRole;

@Service(value="cwSysUserDetailsService")
public class CwSysUserDetailsService implements UserDetailsService{
    
    @Autowired
    CwSysUserDAO cwSysUserDAO;
    
    @Override
    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
         System.out.println("username is " + username);  
        CwSysUser user = cwSysUserDAO.findUser(username);
        List<GrantedAuthority> authorities = buildUserAuthority(user.getUserRoles());
        return buildUserForAuthentication(user, authorities);
    }
    
    /**
     * 返回验证角色
     * @param userRoles
     * @return
     */
    private List<GrantedAuthority> buildUserAuthority(Set<CwSysUserRole> userRoles){
        Set<GrantedAuthority> setAuths = new HashSet<GrantedAuthority>();
        for(CwSysUserRole userRole:userRoles){
            setAuths.add(new SimpleGrantedAuthority(userRole.getRole().getRoleId().toString()));
        }
        List<GrantedAuthority> result = new ArrayList<GrantedAuthority>(setAuths);
        return result;
    }
    
    /**
     * 返回验证用户
     * @param user
     * @param authorities
     * @return
     */
    private User buildUserForAuthentication(CwSysUser user,List<GrantedAuthority> authorities){
        return new User(user.getUserNo(),user.getPassword(),true,true,true,true,authorities);
    }
    
    /**
     * 
     */
    

}

 

第四步:编写登录controller

package com.eshore.upsweb.controller;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

import org.hibernate.criterion.DetachedCriteria;
import org.hibernate.criterion.Restrictions;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;

import com.eshore.upsweb.model.CwSysUser;
import com.eshore.upsweb.model.LoginInfo;
import com.eshore.upsweb.service.CwSysUserService;

@Controller
@RequestMapping(value="/user")
public class CwSysUserController {
    @Autowired
    private CwSysUserService cwSysUserService;
    @Autowired
    private AuthenticationManager myAuthenticationManager;  // 这样就可以自动注入?oh ,mygod ,how can it do so?
    
    @RequestMapping(value="/login",method=RequestMethod.POST) 
    @ResponseBody
    public LoginInfo login(@RequestParam(defaultValue="") String username,@RequestParam(defaultValue="") String password,HttpServletRequest request){
        if(!checkValidateCode(request)){
            return new LoginInfo().failed().msg("验证码错误!");
        }
        username = username.trim();
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
/*        DetachedCriteria detachedCriteria = DetachedCriteria.forClass(CwSysUser.class,"cwSysUser");
        detachedCriteria.add(Restrictions.eq("userNo", username));
        if(cwSysUserService.countUser(detachedCriteria)==0){
            return new LoginInfo().failed().msg("用户名: "+username+" 不存在.");
        }
*/        try {
            Authentication authentication = myAuthenticationManager.authenticate(authRequest); //调用loadUserByUsername
            SecurityContextHolder.getContext().setAuthentication(authentication);
            HttpSession session = request.getSession();
            session.setAttribute("SPRING_SECURITY_CONTEXT", SecurityContextHolder.getContext()); // 这个非常重要,否则验证后将无法登陆
            return new LoginInfo().success().msg(authentication.getName());
        } catch (AuthenticationException ex) {
            return new LoginInfo().failed().msg("用户名或密码错误");
        }
    }
    
    
    
    /**
     * 验证码判断
     * @param request
     * @return
     */
    protected boolean checkValidateCode(HttpServletRequest request) {
        String result_verifyCode = request.getSession().getAttribute("verifyResult")
                .toString(); // 获取存于session的验证值
       // request.getSession().setAttribute("verifyResult", null);  
        String user_verifyCode = request.getParameter("verifyCode");// 获取用户输入验证码
        if (null == user_verifyCode || !result_verifyCode.equalsIgnoreCase(user_verifyCode)) {
            return false;
        }
        return true;
    }
    

}

第五步:编写对应的登录jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
    <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<!DOCTYPE html">
<html lang="en"> 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Login</title>
 <link href="./common/bootstrap/css/bootstrap.min.css" rel="stylesheet">
<link href="./common/bootstrap/css/bootstrap-theme.min.css" rel="stylesheet">
  <link rel="stylesheet" type="text/css" href="./common/css/demo.css">
  <link rel="stylesheet" type="text/css" href="./common/css/style.css">
<link rel="stylesheet" type="text/css" href="./common/css/animate-custom.css">
<link rel="stylesheet" href="./common/bootstrap/css/bootstrap.css" type="text/css"></link>
<script type="text/javascript" src="./common/bootstrap/js/bootstrap.min.js"></script>
<script type="text/javascript" src="./common/jquery/jquery-2.1.1.min.js"></script>
<body>
        <div class="container">
            <header> </header>
                <div id="container_demo">
                    <div id="wrapper">
                        <div id="login" class="animate form">
               <!--             <form name='loginForm' action="<c:url value='j_spring_security_check' />" method='POST'> -->
                                <h1>电信融合支付平台</h1> 
                              <form id='loginForm' method="POST">
                                <p> 
                                    <label for="" class="uname" data-icon="u"> 用户名 </label>
                                    <input id="username" name="username" required="required" type="text" placeholder="myusername or mymail@mail.com">
                                </p>
                                <p> 
                                    <label for="" class="youpasswd" data-icon="p"> 密码 </label>
                                    <input id="password" name="password" required="required" type="password" placeholder="eg. X8df!90EO"> 
                                </p>
                                 <p> 
                                    <label for="verification" class="verification" data-icon="v"> 验证  </label>
                                     <img src="index" id="verify" align="middle" title="看不清,请点我"  style="cursor:hand;"/><br/>
                                     <input type="verification" id="verifyCode" name="verifyCode" placeholder="验证码" required="required">
                                </p>
                                <!-- 
                                <p class="keeplogin"> 
                                    <input type="checkbox" name="loginkeeping" id="loginkeeping" value="loginkeeping"> 
                                    <label for="loginkeeping">保持登录</label>
                                </p>
                                 -->
                                <p class="login button"> 
                                    <input type="submit" id="submitId" value="登录"> 
                                </p>
                            </form>
                        </div>
                     </div>
                     </div>
</body>

    <script type="text/javascript">
        $(function(){
            /////登录提交
            $("#loginForm").submit(function() {
                var username=$("#username").val();
                var password=$("#password").val();
                var verifyCode=$("#verifyCode").val();
                var data={username:username,password:password,verifyCode:verifyCode}; 
                var url="/upsweb/user/login"; 
                 $.ajax({
                        type: "POST",
                        url: url,
                        data: data,
                       // contentType: "application/json",
                        dataType: "json",
                        success:function (result) {
                            if(result.ok){
                                location.href="/upsweb";
                            }else{
                                $(".error").remove();
                                $("#loginForm").prepend("<div class='error'><font color='red'>"+result.msg+"</font></div>");
                                $("#verify").attr("src","/upsweb/index?timestamp="+new Date().getTime());  // 刷新验证码
                            }
                        },
                        error:function(XMLHttpRequest, textStatus, errorThrown){
                       //     alert(XMLHttpRequest.status);  
                           //    alert(XMLHttpRequest.readyState);  
                            //   alert(textStatus);  
                               //alert(XMLHttpRequest.responseText);
                        alert('读取超时,请检查网络连接'); 
                        }
                    });
                 return false;
            });
            ///验证码更新/
            $("#verify").click(function(){
                   $(this).attr("src","/upsweb/index?timestamp="+new Date().getTime());
            });      
            
        });
        
        
        $(function ()
            { $("#dd").popover();
        });
    </script>
</html>

 

转载于:https://www.cnblogs.com/huangjiandong2012/p/4026634.html

Spring Security 实现图形验证码
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 148
Spring Security中,实现验证码校验的方式有很多种,最简单的方式就是自定义一个专门处理验证码逻辑的过滤器,将其添加到Spring Security过滤器链的合适位置。当匹配到登录请求时,立刻对验证码进行校验,成功则放行,失败则提前结束整个验证请求。Spring Security的过滤器,我们先回顾一下前面使用过的配置。//@EnableWebSecurity:开启SpringSecurity 之后会默认注册大量的过滤器servlet filter。
springcloud微服务架构+oauth2认证以及自定义登录方式(实现短信验证码登录
weixin_41803602的博客
11-18 9728
111
Spring Security实现认证与授权三方登录
weixin_34332905的博客
05-05 1486
1 开始开发 使用 Spring MVC 开发 RESTful API 3.2 查询请求 运行结果 用户详情请求 ...
Spring Security用户认证和权限控制(自定义实现)
热门推荐
Java大数据联盟
03-29 2万+
Spring Security用户认证和权限控制(自定义实现)1 明2 用户认证相关的自定义实现2.1 自定义用户认证页面2.2 自定义退出功能2.3 自定义用户认证拦截器2.4 自定义用户认证处理器2.5 自定义用户认证对象2.6 自定义用户认证成功处理器2.7 自定义用户认证失败处理器2.8 自定义用户认证处理逻辑的应用3 权限控制相关的自定义实现3.1 自定义权限数据获取类3.2 自定义权...
springboot spring-security 集成微信登录
luotuo818的专栏
12-01 1万+
首先,感谢https://github.com/liyiorg/weixin-popular,使用了一些关于微信的代码,其次,参考了网上一些springboot springsecurity oauth2 登录的文章。 自己的代码,自己测试过,微信登录木有问题。配置一下自己的appid和secret就可以使用,如果有问题,可以给我留言。 github:https://github.com/lu
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定
jamesluozhiwei的博客
07-11 1万+
tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) 文章目录项目配置依赖application.yml程序代码security相关security核心配置类鉴权各种情况处理类无权访问用户未登录时返回给前端的数据用户登录失败时返回给前端的数据(本程序未使用)用户登录成功时返回给前端的数据登出成功JWT自定义过滤器SelfUserDetailsSe...
认证篇:Spring Security 自定义验证码登录(下)之登录流程讲解
小奇学编程的博客
10-09 1527
认证(三)下篇:验证码登录流程讲解 本篇为自定义验证码登录的下篇,主要会对自定义登录的流程进行讲解;我们曾在认证(二):表单登录的源码解析中对 Spring Security认证流程有过比较详细的学习。 “模仿不是创作,但创作不能不有模仿”————周谷城。 我们可以从表单登录认证流程中寻找灵感,定制化开发出验证码登录认证。 流程分析 首先先回顾一下表单登录认证流程: 大致上有这么几个比较核心的类/接口: UsernamePasswordAuthenticationFilter过滤器,用以捕获表单登
Spring Security OAuth2.0认证授权 --- 基础篇
最新发布
shuai_h的博客
06-19 1090
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Spring Security(九)— 添加登录验证码自定义
m0_49532843的博客
09-20 605
自定义认证逻辑
SPRING-SECURITY安全Web框架配置
如切如磋,如琢如磨,臻于至善。
01-14 3297
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-inst
spring security 实现微信登录
一个正在崛起的小码农
01-04 1万+
介绍 上一章讲解了如何用QQ实现登录,这一回讲解的是用微信实现登录。 实现功能 实现微信登录。 开发步骤 引入jar包 jar包的引入和QQ引入的jar包一致。 微信实体信息 /** * @author lvhaibao * @description * @date 2019/1/4 0004 9:46 */ @Data public class WeixinUserInfo { ...
spring security 登录请求获取附加参数
看的恐惧
05-26 1838
[url]http://forum.springsource.org/showthread.php?t=15217&highlight=parameter[/url]
Spring security 浅谈用户验证机制
weixin_30915951的博客
07-23 432
step1:首先ApplicationUserDetailsService需要实现UserDetailsService接口(在 org.springframework.security.core.userdetails里面),实现获取用户Details信息的回调函数,必须要实现 loadUserByUsername方法,注意这里的User实现了UserDetails,CredentialsCo...
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3641
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security自定义验证码登录
大后生大大大的博客
11-19 2177
验证码登录
Spring Security登录验证中增加额外数据(如验证码
11-21 1769
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthentica...
朱晔和你聊Spring系列S1E10:强大且复杂的Spring Security(含OAuth2三角色+三模式完整例子)...
weixin_34392906的博客
11-02 258
Spring Security功能多,组件抽象程度高,配置方式多样,导致了Spring Security强大且复杂的特性。Spring Security的学习成本几乎是Spring家族中最高的,Spring Security的精良设计值得我们学习,但是结合实际复杂的业务场景,我们不但需要理解Spring Security的扩展方式还需要去理解一些组件的工作原理和流程(否则怎么去继承并改写需要改写的...
使用Spring进行JDBC数据的访问(上)
qq_38140644的博客
02-26 211
4.1使用普通的JDBC所带来的问题   4.2 引入Spring 的JDBC支持 三种数据库访问操作: 1、Template Method模式的实用程序类(JdbcTemplate,NamedParameterJdbcTemplate),删除程序中的代码块,处理资源清理,完成JDBC操作。 2、使用SimpleJdbcInsert和SimpleJdbcCall之类的类以及数据库元数据,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值