Spring Security 额外登录字段

最新推荐文章于 2024-07-24 12:06:26 发布
最新推荐文章于 2024-07-24 12:06:26 发布
阅读量511 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring java spring boot
原文链接:https://www.baeldung.com/spring-security-extra-login-fields
版权

1. 简介

在本文中,我们将通过向标准登录表单添加一个额外字段来使用Spring Security实现自定义身份验证场景。

我们将专注于2 种不同的方法,以展示框架的多功能性和我们可以使用它的灵活方式。

我们的第一个方法将是一个简单的解决方案,它侧重于重用现有的核心 Spring Security 实现。

我们的第二种方法将是一个更加自定义的解决方案,可能更适合高级用例。

我们将建立在我们之前关于 Spring Security login的文章中讨论的概念之上。

2. Maven 设置

我们将使用 Spring Boot 启动器来引导我们的项目并引入所有必要的依赖项。

我们将使用的设置需要父声明、Web 启动器和安全启动器;我们还将包括 thymeleaf :

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.6.1</version>
    <relativePath/>
</parent>
 
<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
     </dependency>
     <dependency>
        <groupId>org.thymeleaf.extras</groupId>
        <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    </dependency>
</dependencies>

可以[在 Maven Central](https://search.maven.org/classic/#search|ga|1|g%3A"org.springframework.boot" AND a%3A"spring-boot-starter-security")找到最新版本的 Spring Boot security starter 。

3. 简单的项目设置

在我们的第一种方法中,我们将专注于重用 Spring Security 提供的实现。特别是,我们将重用DaoAuthenticationProviderUsernamePasswordToken,因为它们“开箱即用”。

关键组成部分将包括:

  • SimpleAuthenticationFilter – UsernamePasswordAuthenticationFilter的扩展
  • SimpleUserDetailsService – UserDetailsS ervice的一个实现
  • User – Spring Security提供的User类的扩展,它声明了额外的域字段
  • SecurityConfig – Spring Security配置,它将SimpleAuthenticationFilter插入过滤器链,声明安全规则并连接依赖项
  • login.html – 一个登录页面,包含用户名、密码和域

3.1. 简单的身份验证过滤器

在我们的SimpleAuthenticationFilter中,从请求中提取域和用户名字段。我们连接这些值并使用它们来创建一个UsernamePasswordAuthenticationToken的实例。

然后将令牌传递给AuthenticationProvider进行身份验证:

public class SimpleAuthenticationFilter
  extends UsernamePasswordAuthenticationFilter {

    @Override
    public Authentication attemptAuthentication(
      HttpServletRequest request, 
      HttpServletResponse response) 
        throws AuthenticationException {

        // ...

        UsernamePasswordAuthenticationToken authRequest
          = getAuthRequest(request);
        setDetails(request, authRequest);
        
        return this.getAuthenticationManager()
          .authenticate(authRequest);
    }

    private UsernamePasswordAuthenticationToken getAuthRequest(
      HttpServletRequest request) {
 
        String username = obtainUsername(request);
        String password = obtainPassword(request);
        String domain = obtainDomain(request);

        // ...

        String usernameDomain = String.format("%s%s%s", username.trim(), 
          String.valueOf(Character.LINE_SEPARATOR), domain);
        return new UsernamePasswordAuthenticationToken(
          usernameDomain, password);
    }

    // other methods
}

3.2. 简单 UserDetails 服务

UserDetailsService定义了一个名为loadUserByUsername的方法。我们的实现提取用户名和域。然后将这些值传递给UserRepository以获取用户:

public class SimpleUserDetailsService implements UserDetailsService {

    // ...

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        String[] usernameAndDomain = StringUtils.split(
          username, String.valueOf(Character.LINE_SEPARATOR));
        if (usernameAndDomain == null || usernameAndDomain.length != 2) {
            throw new UsernameNotFoundException("Username and domain must be provided");
        }
        User user = userRepository.findUser(usernameAndDomain[0], usernameAndDomain[1]);
        if (user == null) {
            throw new UsernameNotFoundException(
              String.format("Username not found for domain, username=%s, domain=%s", 
                usernameAndDomain[0], usernameAndDomain[1]));
        }
        return user;
    }
}

3.3. Spring Security 配置

我们的设置与标准的Spring Security配置不同,因为我们通过调用addFilterBefore将SimpleAuthenticationFilter插入到默认过滤器链之前:

@Override
protected void configure(HttpSecurity http) throws Exception {

    http
      .addFilterBefore(authenticationFilter(), 
        UsernamePasswordAuthenticationFilter.class)
      .authorizeRequests()
        .antMatchers("/css/**", "/index").permitAll()
        .antMatchers("/user/**").authenticated()
      .and()
      .formLogin().loginPage("/login")
      .and()
      .logout()
      .logoutUrl("/logout");
}

我们能够使用提供的DaoAuthenticationProvider,因为我们用SimpleUserDetailsService配置了它。回想一下,我们的SimpleUserDetailsService知道如何解析用户名和域字段,并在身份验证时返回适当的用户:

public AuthenticationProvider authProvider() {
    DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
    provider.setUserDetailsService(userDetailsService);
    provider.setPasswordEncoder(passwordEncoder());
    return provider;
}

因为我们使用了SimpleAuthenticationFilter,所以我们配置了自己的AuthenticationFailureHandler,以确保正确地处理失败的登录尝试:

public SimpleAuthenticationFilter authenticationFilter() throws Exception {
    SimpleAuthenticationFilter filter = new SimpleAuthenticationFilter();
    filter.setAuthenticationManager(authenticationManagerBean());
    filter.setAuthenticationFailureHandler(failureHandler());
    return filter;
}

3.4. 登录页面

我们使用的登录页面收集由我们的SimpleAuthenticationFilter提取的额外域字段:

<form class="form-signin" th:action="@{/login}" method="post">
 <h2 class="form-signin-heading">Please sign in</h2>
 <p>Example: user / domain / password</p>
 <p th:if="${param.error}" class="error">Invalid user, password, or domain</p>
 <p>
   <label for="username" class="sr-only">Username</label>
   <input type="text" id="username" name="username" class="form-control" 
     placeholder="Username" required autofocus/>
 </p>
 <p>
   <label for="domain" class="sr-only">Domain</label>
   <input type="text" id="domain" name="domain" class="form-control" 
     placeholder="Domain" required autofocus/>
 </p>
 <p>
   <label for="password" class="sr-only">Password</label>
   <input type="password" id="password" name="password" class="form-control" 
     placeholder="Password" required autofocus/>
 </p>
 <button class="btn btn-lg btn-primary btn-block" type="submit">Sign in</button><br/>
 <p><a href="/index" th:href="@{/index}">Back to home page</a></p>
</form>

当我们运行应用程序并访问http://localhost:8081的上下文时,我们会看到一个访问安全页面的链接。单击该链接将显示登录页面。正如预期的那样,我们看到了额外的域字段
在这里插入图片描述

3.5. 总结

在我们的第一个示例中,我们能够通过“伪造”用户名字段来重用DaoAuthenticationProvider和UsernamePasswordAuthenticationToken。

因此,我们能够通过最少的配置和额外的代码来添加对额外登录字段的支持

4. 自定义项目设置

我们的第二种方法与第一种方法非常相似,但可能更适合重要的用例。

我们第二种方法的关键组成部分将包括:

  • CustomAuthenticationFilter: UsernamePasswordAuthenticationFilter的扩展
  • CustomUserDetailsService: 自定义接口,声明loadUserbyUsernameAndDomain方法
  • CustomUserDetailsServiceImpl: CustomUserDetailsService的实现
  • CustomUserDetailsAuthenticationProvider: 对AbstractUserDetailsAuthenticationProvider的扩展
  • CustomAuthenticationToken: UsernamePasswordAuthenticationToken的扩展
  • User: Spring Security提供的User类的扩展,它声明了额外的域字段
  • SecurityConfig: Spring Security配置,将CustomAuthenticationFilter插入到过滤器链中,声明安全规则并连接依赖
  • login.html: 包含用户名、密码和域的登录页面

4.1. 自定义身份验证过滤器

在我们的CustomAuthenticationFilter中,我们从请求中提取用户名、密码和域字段。这些值用于创建我们的自定义AuthenticationToken实例,该实例将传递给AuthenticationProvider进行身份验证:

public class CustomAuthenticationFilter 
  extends UsernamePasswordAuthenticationFilter {

    public static final String SPRING_SECURITY_FORM_DOMAIN_KEY = "domain";

    @Override
    public Authentication attemptAuthentication(
        HttpServletRequest request,
        HttpServletResponse response) 
          throws AuthenticationException {

        // ...

        CustomAuthenticationToken authRequest = getAuthRequest(request);
        setDetails(request, authRequest);
        return this.getAuthenticationManager().authenticate(authRequest);
    }

    private CustomAuthenticationToken getAuthRequest(HttpServletRequest request) {
        String username = obtainUsername(request);
        String password = obtainPassword(request);
        String domain = obtainDomain(request);

        // ...

        return new CustomAuthenticationToken(username, password, domain);
    }

4.2. 自定义 UserDetails 服务

我们的CustomUserDetailsService定义了一个名为loadUserByUsernameAndDomain 的方法。

我们创建的CustomUserDetailsServiceImpl类简单地实现了契约并委托给我们的CustomUserRepository来获取User

 public UserDetails loadUserByUsernameAndDomain(String username, String domain) 
     throws UsernameNotFoundException {
     if (StringUtils.isAnyBlank(username, domain)) {
         throw new UsernameNotFoundException("Username and domain must be provided");
     }
     User user = userRepository.findUser(username, domain);
     if (user == null) {
         throw new UsernameNotFoundException(
           String.format("Username not found for domain, username=%s, domain=%s", 
             username, domain));
     }
     return user;
 }

4.3. 自定义 UserDetailsAuthenticationProvider

我们的CustomUserDetailsAuthenticationProvider扩展了AbstractUserDetailsAuthenticationProvider并委托给我们的CustomUserDetailService来检索User。这个类最重要的特性是retrieveUser方法的实现。

请注意,我们必须将身份验证令牌转换为我们的CustomAuthenticationToken才能访问我们的自定义字段:

@Override
protected UserDetails retrieveUser(String username, 
  UsernamePasswordAuthenticationToken authentication) 
    throws AuthenticationException {
 
    CustomAuthenticationToken auth = (CustomAuthenticationToken) authentication;
    UserDetails loadedUser;

    try {
        loadedUser = this.userDetailsService
          .loadUserByUsernameAndDomain(auth.getPrincipal()
            .toString(), auth.getDomain());
    } catch (UsernameNotFoundException notFound) {
 
        if (authentication.getCredentials() != null) {
            String presentedPassword = authentication.getCredentials()
              .toString();
            passwordEncoder.matches(presentedPassword, userNotFoundEncodedPassword);
        }
        throw notFound;
    } catch (Exception repositoryProblem) {
 
        throw new InternalAuthenticationServiceException(
          repositoryProblem.getMessage(), repositoryProblem);
    }

    // ...

    return loadedUser;
}

4.4. 总结

我们的第二种方法与我们首先介绍的简单方法几乎相同。通过实现我们自己的AuthenticationProviderCustomAuthenticationToken,我们避免了需要使用自定义解析逻辑来调整我们的用户名字段。

5. 结论

在本文中,我们在 Spring Security 中实现了一个使用额外登录字段的表单登录。我们以两种不同的方式做到了这一点:

  • 在我们的简单方法中,我们最大限度地减少了需要编写的代码量。通过使用自定义解析逻辑调整用户名,我们能够重用DaoAuthenticationProviderUsernamePasswordAuthentication
  • 在我们更加自定义的方法中,我们通过扩展 AbstractUserDetailsAuthenticationProvider 并提供我们自己的 CustomUserDetailsServiceCustomAuthenticationToken来提供自定义字段支持.

一如既往,所有源代码都可以在 GitHub 上找到

爱游泳的老白
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security登录口实现
三上
08-18 1137
ss3ex中配置的Spring Security一直是单登陆口,现改成多登录口,坚持少写代码的原则,但是不管怎么样,必须要解决以下几个问题: 1、用户未登录:访问权限页面,访问非权限页面 2、用户登录:访问权限页面(权限不够) 3、密码错误返回页面 4、注销页面 一个个问题来解决,第一个问题,用户未登录时访问访问非权限页面,直接就过了。麻烦的就是访问有权限的页面,因为Spring Se...
springsecurity
12-03
7. **会话管理**:Spring Security还提供了一套会话管理机制,包括会话固定保护(Session Fixation Protection)以防止会话劫持,以及会话超时和并发会话控制,确保只有一个用户能够使用同一账户登录。 总结,...
Spring Security在标准登录表单中添加一个额外字段
08-26
主要介绍了Spring Security在标准登录表单中添加一个额外字段,我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。 需要的朋友可以参考下
SpringSecurity增加额外登录参数
m0_37068073的博客
08-09 2956
参考连接 自定义认证逻辑的两种方式(高级玩法) 我的需求是需要在传多个参数,从数据库中查询 自定义UsernamePasswordAuthenticationFilter /** * @author Junisyoan * @date 2021年2月23日 * 验证登录用户密码 */ public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter { ...//省略 @Ove.
Spring Security 登录时如何获取其他参数(可用作校验验证码)
建设美丽祖国
03-29 6847
情景:在使用Security时,在校验用户名,也就是在自定义的UserDetailsService类中loadUserByUsername方法只传入一个用户名参数,但需求往往可能携带多个参数校验,如何获取另外的参数,可以增加自定义的Security过滤器链来获取表单的其他参数或者校验验证码,并把自定义的过滤器链设置在security的UsernamePasswordAuthenticationF...
Springboot项目通过filter修改接口的入参
凉茶冰
07-27 1939
在多个子工程的微服务开发的时候,后端通常情况下都是不止一个工程,前端深知也会不止一个工程,开发的团队也许也不止一个团队。这时候,在用户校验、权限控制、功能集成方面就会需要有一套架构方案来管控。在整体的架构方面有几个要求(1)根据业务需要独立拆分新建的子工程,只需要关注业务功能的代码开发即可,不需要再关注用户、角色、权限以及集成的问题;(2)子系统开发的时候,只需要引入pom依赖就可以非常方便获取用户信息以及对接口服务进行鉴权处理;...
五、SpringSecurity OAuth2扩展手机验证码授权模式
时间海绵
06-04 2013
SpringSecurity OAuth2原有的四种授权模式基础上进行扩展实现手机验证码授权模式,通过本案例可以轻松驾驭自定授权模式开发
Spring security 多端多用户实战、认证鉴权扩展深入
Hades_iphone的博客
07-25 2622
Spring security 多端多用户实战、认证鉴权扩展深入 前言从配置开始搭建从实战场景开始从基础的账号密码开始如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 当你阅读这篇文章的时候,我们假设你已经对Spring security有所了解,并且懂得如何初步使用。 前
基于OAuth2如何扩展另外一套认证方式?例如认证时不使用固定的用户名密码即可登录
dushaofei147的博客
08-20 1061
基于OAuth2授权如何拓展出自己的认证方式? 查看该博客我们默认读者已经清楚OAuth的认证流程以及AuthenticationManager,BearerTokenExtractor,OAuth2AuthenticationEntryPoint,各个类的原理和使用方式。 场景:例如,外部客户端或服务端如何使用不固定的参数登录到本系统? 比如当前我们的系统已经集成好了OAuth2协议,但是某些场景在给客户端或服务端提供对外接口时,这些接口的保护授权方式都是独立的,accessToken也是不会在he
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-05
本示例项目“基于SpringBoot+SpringSecurity+jwt实现的基于token的权限管理demo”提供了一个很好的起点,帮助新手理解如何在SpringBoot框架中集成SpringSecurity和JWT(JSON Web Token)来实现代理认证和授权。...
Spring Security)实战干货二:标准登录表单,除用户名密码外增添其他字段
希克的博客
08-20 597
在很多的登录场景中,用户名和密码不是仅有的用于登录认证授权的字段,会有各类的情况。比如:学校系统登录时需要加选学生或老师身份,多组织系统登录时需要选择组织(域)等等。这篇文章描述用SS实现这类场景登录
若依登录自定义扩展Springboot+security支持密码、验证码多种登录方式
liangshitian的博客
12-04 7230
若依开源框架登录使用的配置大部分都是security自定义的,目前希望在此框架基础上支持自定义的登录,如手机号+密码登录认证、手机号+短信验证码认证。 1、自定义登录实现思路 主要是实现继承DaoAuthenticationProvider类,重写additionalAuthenticationChecks方法,将通过密码标识来判断是不是需要验证密码和免密验证。 2、继承DaoAuthenticationProvider package com.tuitui.framework.security.
Spring Security 源码解读 :Username/Password认证
weixin_41866717的博客
02-04 1548
Spring Security 关于username/password方式登录
Springboot 利用servlet filter拦截器+jsp实现用户名密码登录界面
baidu_31788709的博客
12-30 1635
springboot中大家比较常用的是HandlerInterceptor接口,可是我不太习惯,习惯了使用servlet下的filter接口,以及jsp网页形式,所以不想改习惯。我一直觉得,编程语言这东西,各种语言以及语法都各有优劣,好坏不好乱下定义,但是最重要的,可能还是根据你的习惯来选择吧。话不多说,做一下记录吧。数据库的连接配置就不多说了,我用的mysql数据库。 大概分为七步走: 1.修......
Spring Security loadUserByUsername传递多个参数
愤怒的苹果ext的博客
08-16 4301
我们使用Spring Security登录,一般来说都要实现接口,代码如下。}是的,方法仅有一个username参数,如果我们是做SaaS平台,多渠道登录,名称允许重复的话,这可怎么玩儿。下面提供2种方法。新建,其实是把代码抄下来,修改了和。把的details属性作为扩展参数传入新的方法。...
spring security使用心得
demo1107536493的博客
03-22 1587
spring security里面的四个重要的类,都需自己去实现:1、UserDetailsService  读取登录用户信息、权限2、AbstractSecurityInterceptor 这个类是用来继承的,还要实现servler的Filter,作用过滤url3、FilterInvocationSecurityMetadataSource  读取url资源4、AccessDecisionMan...
springboot+webSocket对接chatgpt
最新发布
jiandanyou的博客
07-24 870
/ 如果websocket连接还没断开就关闭了窗口,后台server端会抛异常。// 所以增加监听窗口关闭事件,当窗口关闭时,主动去关闭websocket连接。// 判断当前浏览器是否支持WebSocket,是则创建WebSocket。// 关闭WebSocket连接。// 连接发生错误的回调方法。// 连接成功建立的回调方法。// 接收到消息的回调方法。// 连接关闭的回调方法。// 将消息显示在网页上。// 建立连接的方法
springsecurity自定义登录页面
09-20
### 回答1: Spring Security可以通过自定义登录页面来实现用户认证。具体步骤如下: 1. 创建一个登录页面,可以使用JSP、Thymeleaf等模板引擎来实现。 2. 在Spring Security配置文件中,配置登录页面的URL和处理登录请求的URL。 3. 在登录页面中,使用表单提交用户输入的用户名和密码。 4. 在Spring Security配置文件中,配置用户认证的方式,可以使用内存认证、数据库认证、LDAP认证等方式。 5. 在用户认证成功后,可以使用Spring Security提供的默认跳转页面,也可以自定义跳转页面。 6. 在用户认证失败后,可以在登录页面中显示错误信息,或者跳转到自定义的错误页面。 以上就是Spring Security自定义登录页面的基本步骤。 ### 回答2: Spring Security是一个用于认证和授权的框架,可以帮助我们实现安全的用户登录和权限管理。在Spring Security中,我们可以自定义登录页面来满足自己的需求。 首先,我们需要创建一个登录页面的JSP文件,可以放在项目的WEB-INF目录下。在该页面中,我们可以设计自己需要的输入框,例如用户名和密码的输入框,以及登录按钮。 接下来,在Spring Security的配置文件中,我们需要指定我们自定义的登录页面。可以使用`http.formLogin().loginPage("/login")`来指定登录页面的URL路径。 然后,我们需要编写一个用于处理登录请求的Controller。该Controller需要处理用户输入的用户名和密码,并进行相应的验证。验证通过后,可以使用Spring Security提供的API来进行登录操作。 在登录验证成功后,我们可以根据需要进行跳转,例如跳转到用户的首页或者其他页面。 另外,我们还可以对登录页面进行一些额外的自定义操作,例如添加验证码功能、记住我功能等等。通过自定义登录页面,我们可以根据自己的需求对用户登录进行个性化设计,提供更好的用户体验。 总结起来,自定义登录页面就是通过创建一个自定义的JSP文件,在Spring Security的配置中指定该JSP文件的URL路径,然后编写一个处理登录请求的Controller来验证用户输入的用户名和密码,并进行相应的登录操作。自定义登录页面可以让我们更好地满足项目的需求,提高用户的登录体验。 ### 回答3: Spring Security是一个功能强大的安全框架,可以用于保护和管理Web应用程序的身份验证和授权。默认情况下,Spring Security提供了一个简单的登录页面,但我们可以根据我们的需求自定义登录页面。 首先,我们需要创建一个自定义的登录页面。我们可以使用HTML、CSS和JavaScript来设计并构建登录页面。登录页面可以包含用户名和密码输入字段,以及登录按钮。可以添加额外的功能,如“忘记密码”链接或“注册”按钮,根据需求进行自定义。 在Spring Security的配置文件中,我们需要指定自定义登录页面的URL,并对其进行保护。我们可以使用Java配置或XML配置来完成这个步骤。例如,在Java配置中,我们可以使用`http.formLogin().loginPage("/custom-login")`来指定自定义登录页面的URL。 接下来,我们需要在自定义登录页面的表单中添加与Spring Security相关的字段。这些字段通常是“username”和“password”,以便Spring Security可以正确地验证用户凭据。 在后端,我们需要编写一个处理用户认证的逻辑。我们可以实现`UserDetailsService`接口来加载和验证用户的凭据。我们也可以自定义`AuthenticationProvider`来处理用户的认证请求,并提供自定义的逻辑。 最后,我们需要将我们的自定义登录页面与Spring Security整合起来。我们可以在Spring Security的配置文件中添加一个身份验证过滤器,将自定义登录页面的URL与处理用户认证的逻辑连接起来。 总结起来,要自定义Spring Security登录页面,我们需要创建一个自定义的登录页面,指定其URL,并对其进行保护。然后,我们需要在表单中添加与Spring Security相关的字段,并编写处理用户认证的逻辑。最后,将自定义登录页面与Spring Security整合起来。这样,我们就可以按照我们的需求来设计和实现自定义的登录页面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值