java 用户登陆原理_Spring Security自定义登录原理及实现详解

最新推荐文章于 2024-07-22 22:27:46 发布
最新推荐文章于 2024-07-22 22:27:46 发布
阅读量967 收藏 1
点赞数
文章标签: java 用户登陆原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31616935/article/details/114222944
版权
本文详细介绍了Spring Security的自定义登录原理,包括form登录流程、Spring Security中的登录处理,以及如何通过自定义配置实现登录成功和失败的控制器。通过实战展示了如何创建一个可扩展的登录功能,支持多种登录方式,如短信、邮箱、扫码等。
摘要由CSDN通过智能技术生成

1. 前言

前面的关于 Spring Security 相关的文章只是一个预热。为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列 开始。安全访问的第一步就是认证(Authentication),认证的第一步就是登录。今天我们要通过对 Spring Security 的自定义,来设计一个可扩展,可伸缩的 form 登录功能。

2. form 登录的流程

下面是 form 登录的基本流程:

9db20b397f027195d06fb1d8a4ebdfda.png

只要是 form 登录基本都能转化为上面的流程。接下来我们看看 Spring Security 是如何处理的。

3. Spring Security 中的登录

昨天 Spring Security 实战干货:自定义配置类入口WebSecurityConfigurerAdapter 中已经讲到了我们通常的自定义访问控制主要是通过 HttpSecurity 来构建的。默认它提供了三种登录方式:

formLogin() 普通表单登录

oauth2Login() 基于 OAuth2.0 认证/授权协议

openidLogin() 基于 OpenID 身份认证规范

以上三种方式统统是 AbstractAuthenticationFilterConfigurer 实现的,

4. HttpSecurity 中的 form 表单登录

启用表单登录通过两种方式一种是通过 HttpSecurity 的 apply(C configurer) 方法自己构造一个 AbstractAuthenticationFilterConfigurer 的实现,这种是比较高级的玩法。 另一种是我们常见的使用 HttpSecurity 的 formLogin() 方法来自定义 FormLoginConfigurer 。我们先搞一下比较常规的第二种。

4.1 FormLoginConfigurer

该类是 form 表单登录的配置类。它提供了一些我们常用的配置方法:

loginPage(String loginPage) : 登录 页面而并不是接口,对于前后分离模式需要我们进行改造 默认为 /login。

loginProcessingUrl(String loginProcessingUrl) 实际表单向后台提交用户信息的 Action,再由过滤器UsernamePasswordAuthenticationFilter 拦截处理,该 Action 其实不会处理任何逻辑。

usernameParameter(String usernameParameter) 用来自定义用户参数名,默认 username 。

passwordParameter(String passwordParameter) 用来自定义用户密码名,默认 password

failureUrl(String authenticationFailureUrl) 登录失败后会重定向到此路径, 一般前后分离不会使用它。

failureForwardUrl(String forwardUrl) 登录失败会转发到此, 一般前后分离用到它。 可定义一个 Controller (控制器)来处理返回值,但是要注意 RequestMethod。

defaultSuccessUrl(String defaultSuccessUrl, boolean alwaysUse) 默认登陆成功后跳转到此 ,如果 alwaysUse 为 true 只要进行认证流程而且成功,会一直跳转到此。一般推荐默认值 false

successForwardUrl(String forwardUrl) 效果等同于上面 defaultSuccessUrl 的 alwaysUse 为 true 但是要注意 RequestMethod。

successHandler(AuthenticationSuccessHandler successHandler) 自定义认证成功处理器,可替代上面所有的 success 方式

failureHandler(AuthenticationFailureHandler authenticationFailureHandler) 自定义失败成功处理器,可替代上面所有的 success 方式

permitAll(boolean permitAll) form 表单登录是否放开

知道了这些我们就能来搞个定制化的登录了。

5. Spring Security 聚合登录 实战

接下来是我们最激动人心的实战登录操作。 有疑问的可认真阅读 Spring 实战 的一系列预热文章。

5.1 简单需求

我们的接口访问都要通过认证,登陆错误后返回错误信息(json),成功后前台可以获取到对应数据库用户信息(json)(实战中记得脱敏)。

我们定义处理成功失败的控制器:

@RestController

@RequestMapping("/login")

public class LoginController {

@Resource

private SysUserService sysUserService;

/**

* 登录失败返回 401 以及提示信息.

*

* @return the rest

*/

@PostMapping("/failure")

public Rest loginFailure() {

return RestBody.failure(HttpStatus.UNAUTHORIZED.value(), "登录失败了,老哥");

}

/**

* 登录成功后拿到个人信息.

*

* @return the rest

*/

@PostMapping("/success")

public Rest loginSuccess() {

// 登录成功后用户的认证信息 UserDetails会存在 安全上下文寄存器 SecurityContextHolder 中

User principal = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal();

String username = principal.getUsername();

SysUser sysUser = sysUserService.queryByUsername(username);

// 脱敏

sysUser.setEncodePassword("[PROTECT]");

return RestBody.okData(sysUser,"登录成功");

}

}

然后 我们自定义配置覆写 void configure(HttpSecurity http) 方法进行如下配置(这里需要禁用crsf):

@Configuration

@ConditionalOnClass(WebSecurityConfigurerAdapter.class)

@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)

public class CustomSpringBootWebSecurityConfiguration {

@Configuration

@Order(SecurityProperties.BASIC_AUTH_ORDER)

static class DefaultConfigurerAdapter extends WebSecurityConfigurerAdapter {

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

super.configure(auth);

}

@Override

public void configure(WebSecurity web) throws Exception {

super.configure(web);

}

@Override

protected void configure(HttpSecurity http) throws Exception {

http.csrf().disable()

.cors()

.and()

.authorizeRequests().anyRequest().authenticated()

.and()

.formLogin()

.loginProcessingUrl("/process")

.successForwardUrl("/login/success").

failureForwardUrl("/login/failure");

}

}

}

使用 Postman 或者其它工具进行 Post 方式的表单提交 http://localhost:8080/process?username=Felordcn&password=12345 会返回用户信息:

{

"httpStatus": 200,

"data": {

"userId": 1,

"username": "Felordcn",

"encodePassword": "[PROTECT]",

"age": 18

},

"msg": "登录成功",

"identifier": ""

}

把密码修改为其它值再次请求认证失败后 :

{

"httpStatus": 401,

"data": null,

"msg": "登录失败了,老哥",

"identifier": "-9999"

}

6. 多种登录方式的简单实现

就这么完了么?现在登录的花样繁多。常规的就有短信、邮箱、扫码 ,第三方是以后我要讲的不在今天范围之内。 如何应对想法多的产品经理? 我们来搞一个可扩展各种姿势的登录方式。我们在上面 2. form 登录的流程 中的 用户 和 判定 之间增加一个适配器来适配即可。 我们知道这个所谓的 判定就是 UsernamePasswordAuthenticationFilter 。

我们只需要保证 uri 为上面配置的/process 并且能够通过 getParameter(String name) 获取用户名和密码即可 。

我突然觉得可以模仿 DelegatingPasswordEncoder 的搞法, 维护一个注册表执行不同的处理策略。当然我们要实现一个 GenericFilterBean 在 UsernamePasswordAuthenticationFilter 之前执行。同时制定登录的策略。

6.1 登录方式定义

定义登录方式枚举 ``。

public enum LoginTypeEnum {

/**

* 原始登录方式.

*/

FORM,

/**

* Json 提交.

*/

JSON,

/**

* 验证码.

*/

CAPTCHA

}

6.2 定义前置处理器接口

public interface LoginPostProcessor {

/**

* 获取 登录类型

*

* @return the type

*/

LoginTypeEnum getLoginTypeEnum();

/**

* 获取用户名

*

* @param request the request

* @return the string

*/

String obtainUsername(ServletRequest request);

/**

* 获取密码

*

* @param request the request

* @return the string

*/

String obtainPassword(ServletRequest request);

}

6.3 实现登录前置处理过滤器

该过滤器维护了 LoginPostProcessor 映射表。 通过前端来判定登录方式进行策略上的预处理,最终还是会交给

package cn.felord.spring.security.filter;

import cn.felord.spring.security.enumation.LoginTypeEnum;

import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import org.springframework.security.web.util.matcher.RequestMatcher;

import org.springframework.util.Assert;

import org.springframework.util.CollectionUtils;

import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;

import java.util.Collection;

import java.util.HashMap;

import java.util.Map;

import static org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.SPRING_SECURITY_FORM_PASSWORD_KEY;

import static org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.SPRING_SECURITY_FORM_USERNAME_KEY;

/**

* 预登录控制器

*

* @author Felordcn

* @since 16 :21 2019/10/17

*/

public class PreLoginFilter extends GenericFilterBean {

private static final String LOGIN_TYPE_KEY = "login_type";

private RequestMatcher requiresAuthenticationRequestMatcher;

private Map processors = new HashMap<>();

public PreLoginFilter(String loginProcessingUrl, Collection loginPostProcessors) {

Assert.notNull(loginProcessingUrl, "loginProcessingUrl must not be null");

requiresAuthenticationRequestMatcher = new AntPathRequestMatcher(loginProcessingUrl, "POST");

LoginPostProcessor loginPostProcessor = defaultLoginPostProcessor();

processors.put(loginPostProcessor.getLoginTypeEnum(), loginPostProcessor);

if (!CollectionUtils.isEmpty(loginPostProcessors)) {

loginPostProcessors.forEach(element -> processors.put(element.getLoginTypeEnum(), element));

}

}

private LoginTypeEnum getTypeFromReq(ServletRequest request) {

String parameter = request.getParameter(LOGIN_TYPE_KEY);

int i = Integer.parseInt(parameter);

LoginTypeEnum[] values = LoginTypeEnum.values();

return values[i];

}

/**

* 默认还是Form .

*

* @return the login post processor

*/

private LoginPostProcessor defaultLoginPostProcessor() {

return new LoginPostProcessor() {

@Override

public LoginTypeEnum getLoginTypeEnum() {

return LoginTypeEnum.FORM;

}

@Override

public String obtainUsername(ServletRequest request) {

return request.getParameter(SPRING_SECURITY_FORM_USERNAME_KEY);

}

@Override

public String obtainPassword(ServletRequest request) {

return request.getParameter(SPRING_SECURITY_FORM_PASSWORD_KEY);

}

};

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

ParameterRequestWrapper parameterRequestWrapper = new ParameterRequestWrapper((HttpServletRequest) request);

if (requiresAuthenticationRequestMatcher.matches((HttpServletRequest) request)) {

LoginTypeEnum typeFromReq = getTypeFromReq(request);

LoginPostProcessor loginPostProcessor = processors.get(typeFromReq);

String username = loginPostProcessor.obtainUsername(request);

String password = loginPostProcessor.obtainPassword(request);

parameterRequestWrapper.setAttribute(SPRING_SECURITY_FORM_USERNAME_KEY, username);

parameterRequestWrapper.setAttribute(SPRING_SECURITY_FORM_PASSWORD_KEY, password);

}

chain.doFilter(parameterRequestWrapper, response);

}

}

6.4 验证

通过 POST 表单提交方式 http://localhost:8080/process?username=Felordcn&password=12345&login_type=0 可以请求成功。或者以下列方式也可以提交成功:

bf0dec9e40ffdad5eaf0389a48951f49.png

更多的登录方式 只需要实现接口 LoginPostProcessor 注入 PreLoginFilter

7. 总结

今天我们通过各种技术的运用实现了从简单登录到可动态扩展的多种方式并存的实战运用。

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

暮明天
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java培训爆破专栏之Spring Security系列教程之实现CAS单点登录上篇-概述
qf2019的博客
11-01 281
作者:千锋一一哥 前言 从本章节开始,一一哥 会给各位讲解一个很常见也很重要的知识点,就是单点登录!现在的大型分布式项目,基本都会考虑实现单点登录,而且现在网上也有很多单点登录实现方案、开源项目,但是针对单点登录实现原理,讲解的并不是很细。你可以参考其他开源案例项目,再结合本系列文章,就可以对单点登录有较为深入的认识。 如果你对单点登录是什么也不知道,那就先看本文,了解单点登录的含义吧。 一. 单点登录 产生背景 很早的时候,一家公司里可能只有一个Server,后来慢慢的Server开始变多了,而每个
Spring Security -- 自定义登录
smile_code_dog的博客
04-15 2558
Spring Security自定义登录 1 使用formLogin() http .formLogin() .loginPage("/myLogin") // 自定义登录页面 .loginProcessingUrl("/doLogin") // 自定义登录接口 .permitAll(); 2 自定义登录过滤器 SpringSecurity 默认使用的是 UsernamePasswordAuthenticationFilter 过滤器,我们可以实现 AbstractA
java实现用户登录_SpringSecurity动态加载用户角色权限实现登录及鉴权
weixin_39548606的博客
11-26 656
很多人觉得Spring Security实现登录验证很难,我最开始学习的时候也这样觉得。因为我好久都没看懂我该怎么样将自己写的用于接收用户名密码的ControllerSpring Security结合使用,这是一个先入为主的误区。后来我搞懂了:根本不用你自己去写Controller。你只需要告诉Spring Security用户信息、角色信息、权限信息、登录页是什么?登陆成功页是什么?或者其他有...
Spring Security 认证流程分析及多方式登录认证实践
最新发布
07-22 978
在项目开发过程中,会涉及到安全框架的配置。其中常用的就是shiro和, 在本文中将介绍的工作流程和实践应用,并基于此总结其使用心得和项目配置关键。本文主要介绍了登录相关的核心配置,以及验证码方式登录的实践,作为系统开发中常用的权限认证框架,在此基础上拓展了项目的多种登录方式,即手机验证码和邮箱验证码的方式,同时也介绍了前后端分离与不分离情况下的差异。本文总结了常用的使用方式,可以很好的为后续开发提供借鉴。所涉及的代码已经上传至gitee项目gitee地址。
实现用户登录原理和实践 java
热门推荐
tianluke1234的博客
07-13 1万+
实现用户登录原理和实践 java
Java自定义异常实现登录
qq_41355575的博客
03-10 647
一、用户登录功能 public class Login { private String userName = "admin"; private String password = "123456"; public void loginInfo(String userName, String password){ if(!userName.equals(this.userName)) { // TODO 处理用户名错误 }
java自定义登录_JavaWeb-SpringSecurity自定义登陆页面
weixin_36448245的博客
02-24 160
系列博文项目已上传至guthub  传送门JavaWeb-SpringSecurity初认识  传送门JavaWeb-SpringSecurity在数据库中查询登陆用户  传送门JavaWeb-SpringSecurity自定义登陆页面  传送门JavaWeb-SpringSecurity实现需求-判断请求是否以html结尾  传送门JavaWeb-SpringSecurity自定义登陆配置  传...
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我下次自动登录功能过程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍...
Spring Security基于json登录实现过程详解
10-14
传统的Spring Security主要通过表单方式实现用户登录,但在现代的Web应用中,基于RESTful API的交互越来越多地采用JSON格式的数据。因此,如何在Spring Security实现基于JSON的登录认证,成为了开发人员需要掌握的...
详解springSecurityjava配置篇
08-18
在本文中,我们将详细介绍 Spring SecurityJava 配置篇,包括如何使用 Java 配置 Spring Security,如何自定义登陆页面,如何使用多用户等。 一、 Java 配置 Spring Security 要使用 Java 配置 Spring ...
Spring Security自定义登录原理实现详解
09-07
主要介绍了Spring Security自定义登录原理实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java简单实现用户登录功能
12-07
java+jsp页面实现用户登录功能,适用于新手更好的理解和上手登录的整个流程。
SpringSecurity登录原理(源码级讲解)
WGH100817的博客
06-14 658
一、简单叙述 首先会进入UsernamePasswordAuthenticationFilter并且设置权限为null和是否授权为false,然后进入ProviderManager查找支持UsernamepasswordAuthenticationToken的provider并且调用provider.authenticate(authentication);再然...
Spring Security源码分析五:Spring Security实现短信登录
郑龙飞
01-14 4822
目前常见的社交软件、购物软件、支付软件、理财软件等,均需要用户进行登录才可享受软件提供的服务。目前主流的登录方式主要有 3 种:账号密码登录、短信验证码登录和第三方授权登录。我们已经实现了账号密码和第三方授权登录。本章我们将使用Spring Security实现短信验证码登录。 概述在Spring Security源码分析一:Spring Security认证过程和Spring Security源码
Java登录逻辑_Spring security登录过程逻辑详解
weixin_35795512的博客
03-02 577
1. 新建项目引入web和security包完整的pom.xml文件如下xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">4.0.0org.springframework.bootspring-boot-starter-parent2.2.6....
Spring Security(三) 自定义登录逻辑登录页面
奥迪的博客
09-28 1652
一、 自定义登录逻辑 当进行自定义登录逻辑时需要用到之前讲解的UserDetailsService 和 PasswordEncoder。 但是 Spring Security 要求:当进行自定义登录逻辑时容器内必须有 PasswordEncoder 实例。所以不能直接 new 对象。 1 编写配置类 新建类 com.bjsxt.config.SecurityConfig 编写下面内容 @Configuration public class SecurityConfig { @Bean pub
Spring Security--自定义登录和授权逻辑
weixin_44889894的博客
04-10 523
Spring Security自定义登录和授权逻辑 概念 SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。 SpringBoot对SpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecurity的基本使用。 1,导入相关依赖 <!--spring security--> <dependency&gt
从零开始java安全权限框架篇(一):spring security配置登录登出的配置
qq_35755863的博客
08-28 1371
目录 一:安全权限框架的选取 二:功能 三:登录登出 四:代码注释 1.将登陆交由Spring security完成 2.前台明文密码加密,与数据库比对 3.关键配置 4.自定义用户异常 5.ajax请求处理陈宫和失败的 6.MD5加密和对象转成json就不用我说了吧 五:记住我功能的原理实现 1.原理 2.代码 六:验证码功能的实现 七:三次错误密码锁...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值