定义登录验证方法java_spring security自定义认证登录的全过程记录

最新推荐文章于 2022-11-14 17:26:33 发布
最新推荐文章于 2022-11-14 17:26:33 发布
阅读量512 收藏 1
点赞数
文章标签: 定义登录验证方法java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42138780/article/details/114566088
版权

spring security使用分类:

如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:

1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;

2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;

3、spring security和Acegi不同,它不能修改默认filter了,但支持插入filter,所以根据这个,我们可以插入自己的filter来灵活使用;

4、暴力手段,修改源码,前面说的修改默认filter只是修改配置文件以替换filter而已,这种是直接改了里面的源码,但是这种不符合OO设计原则,而且不实际,不可用。

本文主要介绍了关于spring security自定义认证登录的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。

1.概要

1.1.简介

spring security是一种基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。

1.2.spring security 自定义认证流程

1)认证过程

生成未认证的AuthenticationToken

↑(获取信息) (根据AuthenticationToken分配provider)

AuthenticationFilter -> AuthenticationManager -> AuthenticationProvider

↓(认证)

UserDetails(一般查询数据库获取)

↓(通过)

生成认证成功的AuthenticationToken

↓(存放)

SecurityContextHolder

2)将AuthenticationFilter加入到security过滤链(资源服务器中配置),如:

http.addFilterBefore(AuthenticationFilter, AbstractPreAuthenticatedProcessingFilter.class)

或者:

http.addFilterAfter(AuthenticationFilter, UsernamePasswordAuthenticationFilter.class)

2.以手机号短信登录为例

2.1.开发环境

SpringBoot

Spring security

Redis

2.2.核心代码分析

2.2.1.自定义登录认证流程

2.2.1.1.自定义认证登录Token

/**

* 手机登录Token

*

* @author : CatalpaFlat

*/

public class MobileLoginAuthenticationToken extends AbstractAuthenticationToken {

private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

private static final Logger logger = LoggerFactory.getLogger(MobileLoginAuthenticationToken.class.getName());

private final Object principal;

public MobileLoginAuthenticationToken(String mobile) {

super(null);

this.principal = mobile;

this.setAuthenticated(false);

logger.info("MobileLoginAuthenticationToken setAuthenticated ->false loading ...");

}

public MobileLoginAuthenticationToken(Object principal,

Collection extends GrantedAuthority> authorities) {

super(authorities);

this.principal = principal;

// must use super, as we override

super.setAuthenticated(true);

logger.info("MobileLoginAuthenticationToken setAuthenticated ->true loading ...");

}

@Override

public void setAuthenticated(boolean authenticated) {

if (authenticated) {

throw new IllegalArgumentException(

"Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");

}

super.setAuthenticated(false);

}

@Override

public Object getCredentials() {

return null;

}

@Override

public Object getPrincipal() {

return this.principal;

}

@Override

public void eraseCredentials() {

super.eraseCredentials();

}

}

注:

setAuthenticated():判断是否已认证

在过滤器时,会生成一个未认证的AuthenticationToken,此时调用的是自定义token的setAuthenticated(),此时设置为false -> 未认证

在提供者时,会生成一个已认证的AuthenticationToken,此时调用的是父类的setAuthenticated(),此时设置为true -> 已认证

2.2.1.1.自定义认证登录过滤器

/**

* 手机短信登录过滤器

*

* @author : CatalpaFlat

*/

public class MobileLoginAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

private boolean postOnly = true;

private static final Logger logger = LoggerFactory.getLogger(MobileLoginAuthenticationFilter.class.getName());

@Getter

@Setter

private String mobileParameterName;

public MobileLoginAuthenticationFilter(String mobileLoginUrl, String mobileParameterName,

String httpMethod) {

super(new AntPathRequestMatcher(mobileLoginUrl, httpMethod));

this.mobileParameterName = mobileParameterName;

logger.info("MobileLoginAuthenticationFilter loading ...");

}

@Override

public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {

if (postOnly && !request.getMethod().equals(HttpMethod.POST.name())) {

throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());

}

//get mobile

String mobile = obtainMobile(request);

//assemble token

MobileLoginAuthenticationToken authRequest = new MobileLoginAuthenticationToken(mobile);

// Allow subclasses to set the "details" property

setDetails(request, authRequest);

return this.getAuthenticationManager().authenticate(authRequest);

}

/**

* 设置身份认证的详情信息

*/

private void setDetails(HttpServletRequest request, MobileLoginAuthenticationToken authRequest) {

authRequest.setDetails(authenticationDetailsSource.buildDetails(request));

}

/**

* 获取手机号

*/

private String obtainMobile(HttpServletRequest request) {

return request.getParameter(mobileParameterName);

}

public void setPostOnly(boolean postOnly) {

this.postOnly = postOnly;

}

}

注:attemptAuthentication()方法:

过滤指定的url、httpMethod

获取所需请求参数数据封装生成一个未认证的AuthenticationToken

传递给AuthenticationManager认证

2.2.1.1.自定义认证登录提供者

/**

* 手机短信登录认证提供者

*

* @author : CatalpaFlat

*/

public class MobileLoginAuthenticationProvider implements AuthenticationProvider {

private static final Logger logger = LoggerFactory.getLogger(MobileLoginAuthenticationProvider.class.getName());

@Getter

@Setter

private UserDetailsService customUserDetailsService;

public MobileLoginAuthenticationProvider() {

logger.info("MobileLoginAuthenticationProvider loading ...");

}

/**

* 认证

*/

@Override

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

//获取过滤器封装的token信息

MobileLoginAuthenticationToken authenticationToken = (MobileLoginAuthenticationToken) authentication;

//获取用户信息(数据库认证)

UserDetails userDetails = customUserDetailsService.loadUserByUsername((String) authenticationToken.getPrincipal());

//不通过

if (userDetails == null) {

throw new InternalAuthenticationServiceException("Unable to obtain user information");

}

//通过

MobileLoginAuthenticationToken authenticationResult = new MobileLoginAuthenticationToken(userDetails, userDetails.getAuthorities());

authenticationResult.setDetails(authenticationToken.getDetails());

return authenticationResult;

}

/**

* 根据token类型,来判断使用哪个Provider

*/

@Override

public boolean supports(Class> authentication) {

return MobileLoginAuthenticationToken.class.isAssignableFrom(authentication);

}

}

注:authenticate()方法

获取过滤器封装的token信息

调取UserDetailsService获取用户信息(数据库认证)->判断通过与否

通过则封装一个新的AuthenticationToken,并返回

2.2.1.1.自定义认证登录认证配置

@Configuration(SpringBeanNameConstant.DEFAULT_CUSTOM_MOBILE_LOGIN_AUTHENTICATION_SECURITY_CONFIG_BN)

public class MobileLoginAuthenticationSecurityConfig extends SecurityConfigurerAdapter {

private static final Logger logger = LoggerFactory.getLogger(MobileLoginAuthenticationSecurityConfig.class.getName());

@Value("${login.mobile.url}")

private String defaultMobileLoginUrl;

@Value("${login.mobile.parameter}")

private String defaultMobileLoginParameter;

@Value("${login.mobile.httpMethod}")

private String defaultMobileLoginHttpMethod;

@Autowired

private CustomYmlConfig customYmlConfig;

@Autowired

private UserDetailsService customUserDetailsService;

@Autowired

private AuthenticationSuccessHandler customAuthenticationSuccessHandler;

@Autowired

private AuthenticationFailureHandler customAuthenticationFailureHandler;

public MobileLoginAuthenticationSecurityConfig() {

logger.info("MobileLoginAuthenticationSecurityConfig loading ...");

}

@Override

public void configure(HttpSecurity http) throws Exception {

MobilePOJO mobile = customYmlConfig.getLogins().getMobile();

String url = mobile.getUrl();

String parameter = mobile.getParameter().getMobile();

String httpMethod = mobile.getHttpMethod();

MobileLoginAuthenticationFilter mobileLoginAuthenticationFilter = new MobileLoginAuthenticationFilter(StringUtils.isBlank(url) ? defaultMobileLoginUrl : url,

StringUtils.isBlank(parameter) ? defaultMobileLoginUrl : parameter, StringUtils.isBlank(httpMethod) ? defaultMobileLoginHttpMethod : httpMethod); mobileLoginAuthenticationFilter.setAuthenticationManager(http.getSharedObject(AuthenticationManager.class)); mobileLoginAuthenticationFilter.setAuthenticationSuccessHandler(customAuthenticationSuccessHandler); mobileLoginAuthenticationFilter.setAuthenticationFailureHandler(customAuthenticationFailureHandler);

MobileLoginAuthenticationProvider mobileLoginAuthenticationProvider = new MobileLoginAuthenticationProvider(); mobileLoginAuthenticationProvider.setCustomUserDetailsService(customUserDetailsService);

http.authenticationProvider(mobileLoginAuthenticationProvider)

.addFilterAfter(mobileLoginAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

}

}

注:configure()方法

实例化AuthenticationFilter和AuthenticationProvider

将AuthenticationFilter和AuthenticationProvider添加到spring security中。

2.2.2.基于redis自定义验证码校验

2.2.2.1.基于redis自定义验证码过滤器

/**

* 验证码过滤器

*

* @author : CatalpaFlat

*/

@Component(SpringBeanNameConstant.DEFAULT_VALIDATE_CODE_FILTER_BN)

public class ValidateCodeFilter extends OncePerRequestFilter implements InitializingBean {

private static final Logger logger = LoggerFactory.getLogger(ValidateCodeFilter.class.getName());

@Autowired

private CustomYmlConfig customYmlConfig;

@Autowired

private RedisTemplate redisTemplate;

/**

* 验证请求url与配置的url是否匹配的工具类

*/

private AntPathMatcher pathMatcher = new AntPathMatcher();

public ValidateCodeFilter() {

logger.info("Loading ValidateCodeFilter...");

}

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,

FilterChain filterChain) throws ServletException, IOException {

String url = customYmlConfig.getLogins().getMobile().getUrl();

if (pathMatcher.match(url, request.getRequestURI())) {

String deviceId = request.getHeader("deviceId");

if (StringUtils.isBlank(deviceId)) {

throw new CustomException(HttpStatus.NOT_ACCEPTABLE.value(), "Not deviceId in the head of the request");

}

String codeParamName = customYmlConfig.getLogins().getMobile().getParameter().getCode();

String code = request.getParameter(codeParamName);

if (StringUtils.isBlank(code)) {

throw new CustomException(HttpStatus.NOT_ACCEPTABLE.value(), "Not code in the parameters of the request");

}

String key = SystemConstant.DEFAULT_MOBILE_KEY_PIX + deviceId;

SmsCodePO smsCodePo = (SmsCodePO) redisTemplate.opsForValue().get(key);

if (smsCodePo.isExpried()){

throw new CustomException(HttpStatus.BAD_REQUEST.value(), "The verification code has expired");

}

String smsCode = smsCodePo.getCode();

if (StringUtils.isBlank(smsCode)) {

throw new CustomException(HttpStatus.BAD_REQUEST.value(), "Verification code does not exist");

}

if (StringUtils.equals(code, smsCode)) {

redisTemplate.delete(key);

//let it go

filterChain.doFilter(request, response);

} else {

throw new CustomException(HttpStatus.BAD_REQUEST.value(), "Validation code is incorrect");

}

}else {

//let it go

filterChain.doFilter(request, response);

}

}

}

注:doFilterInternal()

自定义验证码过滤校验

2.2.2.2.将自定义验证码过滤器添加到spring security过滤器链

http.addFilterBefore(validateCodeFilter, AbstractPreAuthenticatedProcessingFilter.class)

注:添加到认证预处理过滤器前

3.测试效果

f254d67c339168a51fb49f664bdd7444.png

fa3a035e83b69a7fa731b0f1ab98130d.png

9155611ef3b6b8bb3d220683beddd0a2.png

9dbd5617e50a9cc4ad87ddf2d4d4ff4d.png

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。

蜜柚酱Lolita
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security自定义认证登录全过程记录
08-28
主要给大家介绍了关于spring security自定义认证登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
java登录 json_Spring Security基于json登录实现过程详解
weixin_39639260的博客
02-13 221
主要是重写attemptAuthentication方法导入依赖org.springframework.bootspring-boot-starter-securityorg.springframework.bootspring-boot-starter-web相关配置和代码application.properties配置密码spring.security.user.name=adminsprin...
Java-SpringBoot:用户认证Authentication)和用户授权(Authorization)
embelfe_segge的博客
05-14 6539
Java-SpringBoot-2 学习视频:B站 狂神说Java – https://www.bilibili.com/video/BV1PE411i7CV 学习文档: 微信公众号 狂神说 –https://mp.weixin.qq.com/mp/homepage?__biz=Mzg2NTAzMTExNg==&hid=1&sn=3247dca1433a891523d9e4176c90c499&scene=18&uin=&key=&devicetype=Win
Spring Security入门】06-QQ登录实现
通往神秘的道路的专栏
02-15 1235
准备工作 1、在QQ互联申请成为开发者,并创建应用,得到APP ID 和 APP Key。 2、了解QQ登录时的网站应用接入流程。(必须看完看懂) 为了方便各位测试,直接把我自己申请的贡献出来: 参数 值 APP ID 101386962 APP Key 2a0f820407df400b84a854d054be8b6a 回调地址 http://www...
java author 认证_spring security自定义认证登录全过程记录
weixin_36443823的博客
02-13 381
spring security使用分类:如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;3、spring security和Acegi不...
spring-security-oauth2(七) 自定义短信登陆开发
codeing-tiger
12-19 1755
短信登陆开发 原理 基本原理:SmsAuthenticationFilter接受请求生成SmsAuthenticationToken,然后交给系统的AuthenticationManager进行管理,然后找到SmsAuthenticationProvider,然后再调用UserDetailsService进行短信验证,SmsAuthenticationSecurityConfig进行配置 ...
springsecurity整合短信登录
jockha的博客
12-22 1263
逻辑图: 逻辑: 原有用户密码的逻辑: 1.先进入 UsernamePasswordAuthenticationFilter 中,根据输入的用户名和密码信息,构造出一个暂时没有鉴权的 UsernamePasswordAuthenticationToken,并将 UsernamePasswordAuthenticationToken 交给 AuthenticationManager 处理。 2.AuthenticationManager 本身并不做验证处理,他通过 for-each 遍历找到符合当前登录方式
Spring Security 解析(四) ——短信登录开发
banman4379的博客
09-02 226
Spring Security 解析(四) —— 短信登录开发   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 项目环境: J...
spring security自定义登录页面
08-29
在项目中我们肯定不能使用Spring自己生成的登录页面,而要用我们自己的登录页面,下面通过本文给大家分享spring security自定义登录页面的实现方法,一起看看吧
解析SpringSecurity自定义登录验证成功与失败的结果处理问题
08-25
主要介绍了SpringSecurity系列之自定义登录验证成功与失败的结果处理问题,本文通过实例给大家讲解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
ss.rar_java security_spring security_springsecurity4xss
09-23
spring security的中文学习文档,很好用的
史上最简单的Spring Security教程(二十五):UsernamePasswordAuthenFilter详解
银河架构师的博客
08-28 3570
​在Spring Security框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。 下面我们就来一起详细了解一下这个 Filter 的具体功用。 首先,既然是Filter,势必要实现 Filter 接口吧,不过,确实实现了 Filter 接口。 从上图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系,也确实实现了 Filter 接口。 那么,我们便从..
oauth2自定义granter与provider实现自定义身份认证
slxz001的博客
11-14 2875
自定义granter和provider,来实现特殊需求下的oauth认证和颁发令牌
JAVA学习之Spring Security
R_Scholar的博客
07-18 139
1、创建sprogboot项目,注入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、启动项目之后,控制台会打印密码(由于我们没有自定义用户名和密码,所以框架会生成UUID的默认密码。默认用户名为user),然后请求
java 用户登陆原理_Spring Security自定义登录原理及实现详解
weixin_31616935的博客
02-16 931
1. 前言前面的关于 Spring Security 相关的文章只是一个预热。为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列 开始。安全访问的第一步就是认证(Authentication),认证的第一步就是登录。今天我们要通过对 Spring Security自定义,来设计一个可扩展,可伸缩的 form 登录功能。2. form 登录的流程下面是 form 登...
java种的 author,在Intellij中自动完成@author
weixin_39564831的博客
02-27 468
I'm migrating from Eclipse to Intellij Idea. One thing I couldn't figure out yet is autocompletion of the @author JavaDoc tag.When typing @a in Eclipse, there are two proposals:@author - author name@a...
UsernamePasswordAuthenticationFilter源码解析
以爱护甲,爱满枫林。
03-05 711
这是 UsernamePasswordAuthenticationFilter的构造方法attemptAuthentication方法 主要内容在attemptAuthentication public UsernamePasswordAuthenticationFilter() { super(new AntPathRequestMatcher("/login", "POST")...
图解迪杰斯特拉(Dijkstra)最短路径算法.docx
最新发布
05-02
一、最短路径的概念及应用 在介绍最短路径之前我们首先要明白两个概念:什么是源点,什么是终点?在一条路径中,起始的第 一个节点叫做源点;终点:在一条路径中,最后一个的节点叫做终点;注意!源点和终点都只是相对 于一条路径而言,每一条路径都会有相同或者不相同的源点和终点。 而最短路径这个词不用过多解释,就是其字面意思: 在图中,对于非带权无向图而言, 从源点到终点 边最少的路径(也就是 BFS 广度优先的方法); 而对于带权图而言, 从源点到终点权值之和最少的 路径叫最短路径; 最短路径应用:道路规划; 我们最关心的就是如何用代码去实现寻找最短路径, 通过实现最短路径有两种算法:Dijkstra 迪杰斯 特拉算法和 Floyd 弗洛伊德算法, 接下来我会详细讲解 Dijkstra 迪杰斯特拉算法;
springsecurity自定义登录 运行时验证流程
05-20
Spring Security 自定义登录的运行时验证...需要注意的是,这只是 Spring Security 自定义登录的一个简单流程,实际上还有很多细节和配置需要关注,比如如何自定义认证 Provider、如何配置登录成功和失败的处理器等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值