11-项目集成SpringSecurity-自定义认证过滤器核心逻辑

已于 2024-01-20 03:36:58 修改
阅读量499 收藏 7
点赞数 11
分类专栏: 项目:【今日指数金融】 # (十一)项目集成安全框架 文章标签: java SpringSecurity
于 2024-01-19 16:44:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44478828/article/details/135701924
版权

在第一章我们是基于SpringSecurity、JWT技术实现前后端无状态化认证授权,而我们当前的项目是前后端分离的架构,同样也可借助Security框架和Jwt实现前后端的无状态认证授权操作;

1、项目自定义认证过滤器

1.1 依赖导入

在stock_backend工程导入SpringSecurity启动依赖:

<!--引入security-->
<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

1.2 自定义认证过滤器

当前项目中认证登录信息的合法性,除了用户名、密码外,还需要校验验证码,所以认证过滤器需要注入redis模板对象:

新建com.itheima.stock.security.filter.JwtLoginAuthenticationFilter

package com.itheima.stock.security.filter;


import com.fasterxml.jackson.databind.ObjectMapper;
import com.itheima.stock.constant.StockConstant;
import com.itheima.stock.utils.JwtTokenUtil;
import com.itheima.stock.vo.req.LoginReqVo;
import com.itheima.stock.vo.resp.R;
import com.itheima.stock.vo.resp.ResponseCode;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Collection;
import java.util.HashMap;
import java.util.Map;
/**
 *认证过滤器,核心作用:认证用户信息,并颁发令牌
 */
public class JwtLoginAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    private RedisTemplate redisTemplate;


    public JwtLoginAuthenticationFilter(String loginUrl) {
        super(loginUrl);
    }

    public void setRedisTemplate(RedisTemplate redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    //认证方法
    //{"username":"itcast","password":"123456"}
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
        //MediaType:请求的媒体类型
        if (!request.getMethod().equalsIgnoreCase("POST") && MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(request.getContentType())) {
            throw new AuthenticationServiceException("Authentication method not supported" + request.getMethod());
        }
        //获取前端ajax传入的数据流并反序列化为LoginReqVo对象
        LoginReqVo reqVo = new ObjectMapper().readValue(request.getInputStream(), LoginReqVo.class);
        //去redis中校验输入的验证码是否正确
        String rCheckCode =(String) redisTemplate.opsForValue().get(StockConstant.CHECK_PREFIX + reqVo.getSessionId());
        //设置响应格式和编码
        response.setContentType("application/json;charset=utf-8");
        if (rCheckCode==null || ! rCheckCode.equalsIgnoreCase(reqVo.getCode())) {
            //响应验证码输入错误
            R<Object> error = R.error(ResponseCode.CHECK_CODE_ERROR.getMessage());
            //将error转换成json形式的字符串数据
            response.getWriter().write(new ObjectMapper().writeValueAsString(error));
            //返回null,不会进入下面的代码块,security会判断认证失败
            return null;
        }
        String username = reqVo.getUsername();
        username = (username != null) ? username.trim() : "";
        String password = reqVo.getPassword();
        password = (password != null) ? password : "";
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
        //调用认证管理器进行认证
        return this.getAuthenticationManager().authenticate(authRequest);
    }

    /**
     *
     * @param request
     * @param response
     * @param chain  过滤器链
     * @param authResult 认证对象
     * method.
     * @throws IOException
     * @throws ServletException
     */
    @Override
    //认证成功时的回调方法
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        User user = (User) authResult.getPrincipal();
        String username = user.getUsername();
        Collection<GrantedAuthority> authorities = user.getAuthorities();
        //生成token
        String tokenStr = JwtTokenUtil.createToken(username, authorities.toString());
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding("UTF-8");
        Map<String,String> info = new HashMap<>();
        info.put("msg","登陆成功");
        info.put("code","1");
        //返回token给前端
        info.put("data",tokenStr);
        response.getWriter().write(new ObjectMapper().writeValueAsString(info));
    }

    @Override
    //认证失败时的回调方法
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding("UTF-8");
        Map<String,String> info = new HashMap<>();
        info.put("msg","登陆失败");
        info.put("code","0");
        info.put("data","");
        response.getWriter().write(new ObjectMapper().writeValueAsString(info));
    }
}

敲代码的翠花
关注
  • 11
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
项目集成Spring-Security
IT_LD的博客
08-20 221
1.引入依赖: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.
Spring Security内置过滤器详解_springsecurity过滤器(1)
最新发布
2401_84166878的博客
04-17 991
/获取身份认证结果,并创建认证对象,由子类实现,OAuth2 使用的是OAuth2LoginAuthenticationFilter。//从授权服务器回调的URL请求中,将请求参数转换为map格式,key=参数名,value=参数值。//请求授权服务器的token-uri,进行身份认证,返回完整的OAuth2认证Token。//请求user-info-uri,获取资源所有者主体信息。//是否是登录请求,是否是重定向的错误请求,是否是登出地址。//该请求已经运行过该过滤,跳过,执行下一个过滤器
springsecurity项目集成
qq_15076569的博客
10-24 2590
springSecurity集成项目必须是集成spring项目 1.引入jar &lt;!--安全框架security--&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.security&lt;/groupId&gt; &lt;artifactId&gt;spring-security-web&lt;/arti...
项目中加入拦截器与过滤器,实现权限框架,Spring-Security的使用
qq_40613503的博客
07-19 1054
项目中加入拦截器与过滤器,实现权限框架,Spring-Security的使用拦截器、过滤器与权限框架 拦截器、过滤器与权限框架 在项目中加入拦截器与过滤器,实现权限框架,Spring-Security的使用 ...
spring整合security4.2完整实例
08-08
spring4.3.18 整合security4.2.7 springdata 完整项目实例
SpringSecurity结合Jwt实现定制化认证过滤器的详细步骤
qq_45105989的博客
11-03 1157
实现定制化认证过滤器只是认证,而授权还是交给Security框架实现。Payload本质上是一个Map集合,上面的命名表示Map集合默认键名,我们通过put()来定义参数。
SpringSecurity学习之自定义过滤器的实现代码
08-26
主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z
12-18
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z springboot集成spring-security实现基于验证码的登录认证。 在spring-boot-security的基础上实现角色管理。 spring-boot-security-jwt...
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
keycloak-springsecurity5-sample:Spring Security 5 OAuth2 ClientOIDC与Keycloak示例的集成
01-31
核心项目中的新OAuth2伞形模块将替换旧的Spring Security OAuth,Spring Social等。在另外的5.1中,计划实施OAuth2授权服务器和资源服务器,检查与。 与Spring Social不同,Spring Security 5 OAuth2客户端内置了...
SpringBoot前后端分离项目使用SpringSecurity+JWT做权限认证,修改自定义认证过滤器的访问路径
AmbitiousJun的博客
03-19 2381
写在前面: 这个问题在网上一直找不到我想要的答案,是通过我自己不断试错最后才成功的,故写出来分享一下。这是我的第一篇分享博客,如果有哪里写的不好的地方,请多多见谅! 需求提出: SpringSecurity自带的权限认证有很多种,有Form Login的形式,也有http basic的形式等等。我们之前的JSP项目是通过<form>标签表单提交来进行登录认证的,这时候使用SpringSecurity的Form Login认证是最适合的,并且我们也可以在配置类中可以使用HttpSecur.
SpringSecurity】 一文搞定从入门到项目集成
qq_42023953的博客
01-16 659
提到认证、授权、安全等关键词,当今比较热门的主要集中在以下两种其实springboot项目可以无脑选spring security 对于开发者而言并没有“重”多少,相反由于其本质是通过过滤器实现的玩法上会更加优雅,且对RESTFul的支持更好基本概念:通常的Web应用都需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 3912
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器链中。
过滤器Filter的使用,filter优先于springsecurity执行
qq_36741679的博客
05-28 3238
场景: springboot项目整合了springSecurity,所有的controller接口都需要认证通过才能访问。 现在需要对接第三方接口,接收第三方推送的数据。然而第三方推送接口的数据是固定的,不能传认证信息。 在这样的情况下,我们如何接收第三方推送的数据? (注: springSecurity的相关配置不能改动) 方案一: 另外构建一个项目,专门接收第三方数据。 方案二: 在原项目中添加过滤器,先执行该过滤器后执行springSecurity认证,在过...
狂神说SpringBoot18:集成SpringSecurity
热门推荐
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
项目集成Spring Security
weixin_34233618的博客
06-02 228
前言 之前写的 涂涂影院管理系统 这个 demo 是基于 shiro 来鉴权的,项目前后端分离后,显然集成 Spring Security 更加方便一些,毕竟,都用 Spring 了,权限管理当然 Spring Security. 花了半天时间整理的笔记,希望能对你有所帮助。 Spring Security 一句话概述:一组 filter 过滤器链组成的权限认证。 一、加入依赖...
spring boot 项目集成security
zoro_soro的博客
04-22 2682
springboot集成security需要三步: 一、引入依赖 <!--集成安全框架--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depen
springsecurity自定义多种登录方式
09-28
### 回答1: Spring Security提供了多种登录方式的支持,可以使用表单登录、Basic认证、OAuth2等方式进行身份验证。如果需要自定义多种登录方式,可以按照以下步骤进行: 1. 实现自定义的AuthenticationProvider AuthenticationProvider是Spring Security的一个核心接口,用于实现身份验证逻辑。通过实现自定义的AuthenticationProvider,可以实现多种不同的身份验证方式。 例如,可以实现一个LDAPAuthenticationProvider,用于基于LDAP的身份验证,或者实现一个SmsCodeAuthenticationProvider,用于基于短信验证码的身份验证。 2. 配置多个AuthenticationProvider 在Spring Security的配置文件中,可以通过配置多个AuthenticationProvider来支持多种登录方式。例如,可以同时配置一个基于表单登录的AuthenticationProvider和一个基于OAuth2的AuthenticationProvider。 3. 实现自定义的AuthenticationFilter AuthenticationFilter是Spring Security用于处理身份验证请求的过滤器。通过实现自定义的AuthenticationFilter,可以实现多种不同的身份验证方式。 例如,可以实现一个基于短信验证码的AuthenticationFilter,用于处理短信验证码登录请求。 4. 配置多个AuthenticationFilter 在Spring Security的配置文件中,可以通过配置多个AuthenticationFilter来支持多种登录方式。例如,可以同时配置一个基于表单登录的AuthenticationFilter和一个基于短信验证码的AuthenticationFilter。 总的来说,实现多种登录方式的关键在于实现自定义的AuthenticationProvider和AuthenticationFilter,并在Spring Security的配置文件中进行配置。 ### 回答2: Spring Security 提供了多种自定义登录方式的选项。以下是一些常见的方法: 1. 自定义用户名密码登录:可以使用 Spring Security 的表单登录功能,通过配置用户名和密码的输入框,实现用户名密码登录功能。 例如,可以通过配置 `formLogin()` 方法来实现: ```java protected void configure(HttpSecurity http) throws Exception { http .formLogin() .loginPage("/login") .usernameParameter("username") .passwordParameter("password") .defaultSuccessUrl("/home") .permitAll(); } ``` 2. 自定义第三方登录:可以使用 Spring Security OAuth2 来实现第三方登录,例如使用 Facebook、Google 或 Github 等社交媒体的账号进行登录。 Spring Security OAuth2 提供了很多集成第三方认证的实例代码,可以根据具体的需求进行自定义。 3. 自定义手机号码登录:可以通过继承 Spring Security 的 `AbstractAuthenticationProcessingFilter` 类来实现自定义手机号码登录。 可以在自定义过滤器中验证手机号码,并进行认证逻辑。 4. 自定义单点登录(SSO):可以通过集成 Spring Security 的 `AuthenticationProvider` 接口来实现自定义的单点登录认证。 可以通过实现该接口的 `authenticate()` 方法来处理单点登录的逻辑。 这些只是一些常见的自定义登录方式的示例,根据具体的需求,可以结合 Spring Security 提供的各种功能和扩展点,灵活地进行自定义实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

敲代码的翠花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值