Spring Security——"复杂"验证逻辑的实现

最新推荐文章于 2023-08-03 18:27:16 发布
最新推荐文章于 2023-08-03 18:27:16 发布
阅读量417 收藏
点赞数
分类专栏: Spring Security 文章标签: Spring Security 验证码 AuthenticationProvider
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaxuepiaopiao/article/details/103461952
版权

最近在复习spring security,随手写下这个文章,以方便自己记忆。本文将粗略介绍如何实现复杂验证逻 辑,以及介绍一部分源码。适合小白、中白看,需要之前对spring security有那么一丢丢的认识。我们将实现以下场景:
1)使用用户名、密码、手机号、暗号进行登陆,其中用户名、密码、手机号是用户注册时填写的,暗号是论坛的暗号“宫保鸡丁”。若登陆失败达到3次,该用户名对应的用户将锁定。
先说说我们的思路:
首先一个很自然的想法,就是我们提供一个过滤器对手机号、暗号进行验证,该过滤器在原生的用户名密码认证逻辑之前,只有这两个认证都通过后,认证流程才完成。
但是本文没有采用这种方式,因为这个过滤器filter对用户名手机号进行验证,这个验证逻辑就怕我们写得不够缜密(我还得去看原生的源码DaoAuthenticationProvider的authenticate方法,来写出缜密的认证流程!!),而且白白读多了一次数据库(读手机号),何不利用后面原生的用户名密码认证逻辑??——方案如下:暗号利用filter验证(因为不涉及用户信息),用户名、密码、手机号验证通过spring的认证框架AuthenticationProvider。
接下来我们开动改造啦!!
卖资源啦,本文对应工程请在https://download.csdn.net/download/xiaxuepiaopiao/12022396下载!
1)拓展原生的WebAuthenticationDetails,让认证的元素增加telephone参数。
该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthenticationDetails提供了remoteAddress与sessionId信息。开发者可以通过Authentication的getDetails()获取WebAuthenticationDetails。我们编写自定义类CustomWebAuthenticationDetails继承自WebAuthenticationDetails,添加我们关心的数据。

public class WebAuthenticationDetails implements Serializable {
   
	private static final long serialVersionUID = 510L;
	private final String remoteAddress;
	private final String sessionId;
	...
}

我们提供如下CustomWebAuthenticationDetails

@Getter
public class CustomWebAuthenticationDetails extends WebAuthenticationDetails {
   
    private final String telephone;
    public CustomWebAuthenticationDetails(HttpServletRequest request) {
   
        super(request);
        telephone = request.getParameter("telephone");
    }
}

telephone = request.getParameter(“telephone”)可以获得提交的表单中的telephone参数
2)提供自定义AuthenticationDetailsSource,该组件使用1)提供的WebAuthenticationDetails

@Component
public class CustomAuthenticationDetailsSource implements AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> {
   
    @Override
    public WebAuthenticationDetails buildDetails(HttpServletRequest httpServletRequest) {
   
        return new CustomWebAuthenticationDetails(httpServletRequest);
    }
}

该AuthenticationDetailsSource在spring security配置WebSecurityConfig中被调用,表示使用该组件:
@EnableWebSecurity

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
   
	...
    @Autowired
    private CustomAuthenticationDetailsSource customAuthenticationDetailsSource;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
   

    String[] permitUris = {
   "/css/**", "/js/**", "/login_result", "/anyone/**",
                "/login", "/userlogin**", "/UserLoginRegistry/**", "/index", "/static/**",
        "/api/conf","/registry","/indexA","/images/**","/manage**", "/login_code"};

    http.csrf().disable();
    http
        // 添加暗号校验filter,在默认校验器之前
        .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
        .authorizeRequests()
        .antMatchers(permitUris).permitAll()
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginPage("/login")
        .loginProcessingUrl("/userlogin") // 表示拦截到的路劲为/userlogin时,进入登录认证环节
        .successHandler(authenticationSuccessHandler) // 认证成功后逻辑
        .failureHandler(authenticationFailureHandler) // 认证失败后逻辑
        .authenticationDetailsSource(customAuthenticationDetailsSource); // 提供认证额外参数的能力

    }
}

3)定制AuthenticationProvider,拓展用户名密码验证模式为用户名密码手机号验证模式。
默认实现为DaoAuthenticationProvider,该类拓展了抽象类AbstractUserDetailsAuthenticationProvider。抽象类核心验证逻辑为public Authentication authenticate(Authentication authentication)。阅读源码,可知验证过程分三个阶段:preAuthenticationChecks、additionalAuthenticationChecks和postAuthenticationChec

最低0.47元/天 解锁文章
xiaxuepiaopiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity 认证逻辑实现
weixin_57801340的博客
07-22 311
自定义登陆逻辑 SpringSecurity支持通过配置文件的方式定义用户信息(账号密码和角色等),但这种方式有明显的缺点,那就是系统上线后,用户信息的变更比较麻烦。因此SpringSecurity还支持通过实现UserDetailsService接口的方式来提供用户认证授权信息,其应用过程如下: 第一步:定义security配置类 /** * 由@Configuration注解描述的类为spring中的配置类,配置类会在spring * 工程启动时优先加载,在配置类中通常会对第三方资源进行初始配置..
朱晔和你聊Spring系列S1E10:强大且复杂Spring Security(含OAuth2三角色+三模式完整例子)...
weixin_34392906的博客
11-02 234
Spring Security功能多,组件抽象程度高,配置方式多样,导致了Spring Security强大且复杂的特性。Spring Security的学习成本几乎是Spring家族中最高的,Spring Security的精良设计值得我们学习,但是结合实际复杂的业务场景,我们不但需要理解Spring Security的扩展方式还需要去理解一些组件的工作原理和流程(否则怎么去继承并改写需要改写的...
Spring Security 自定义认证逻辑
开源世界
01-20 759
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义的逻辑,主要包括以下内容: 一个自定义的 Authentication 实现类,与 UsernamePasswordAuthenticat
springSecurity自定义认证逻辑
qiuxinfa123的博客
04-14 708
springSecurity入门demo 中,用户信息是放在内存中的,而在真实的项目中,肯定是不会是这样的,一般是都是放在数据库中存储的。示例代码在GitHub中:https://github.com/qiuxinfa/springSecurity-study 。实现如下功能: (1)自定义用户信息的获取 (2)自定义认证成功以及失败后的回调 (3)实现记住我的功能 ...
复杂性配置Spring security
bailaoshi666的博客
06-15 174
上图相当于applicationContext.xml 上图相当于Springmvc.xml
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity中,我们使用JWT认证方式来实现认证,通过生成一个JWT token来验证用户的身份。在认证流程中,我们首先需要生成一个JWT token,然后将其传递给客户端,客户端在每次请求时都需要带上这个token,以便...
详解使用Spring Security进行自动登录验证
08-29
使用Spring Security进行自动登录验证需要我们遵守Spring Security的规定,创建相应的数据表,配置权限控制信息,并编写注册页面和处理逻辑。只有这样,我们才能实现自动登录验证,并提高网站的安全性。
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
spring-security实现复杂的权限管理
09-11
spring-security3.17复杂的权限管理实现,包括数据库等,能直接运行!
Spring Security复杂?试试这个轻量、强大、优雅的权限认证框架!
程序猿DD
09-22 919
各位程序猿小伙伴们,中秋快乐~在节日欢快的气氛中大家是不是还在奋笔疾书、沉浸在学习的海洋中呢?小编这两天休息在家一直在想一个问题,那就是我们在开发SpringBoot项目的时候,该怎么做好...
Spring Security自定义用户认证逻辑
taojin12的博客
05-06 269
Spring Security中,用户的校验逻辑是不需要自己是实现的。但是我们需要通过页面用户输入的信息和数据库的用户信息进行比较。 Spring Security中提供了一个 接口UserDetailsService, 在他的loadUserByUsername方法中,对从数据库获取的用户信息进行封装。 自定义实现UserDetailsService @Component public class MyUserDetailService implements UserDetailsService {
Spring Security登录认证逻辑(图)
AA123456L的博客
11-10 329
Spring Security有一系列的过滤器,网上很多只讲过滤器本身而不讲过滤器中的方法和逻辑,这里用图形和通俗语言将它们整理了出来,也不搞专业的UML图或者时序图了,整体上比较详细,至少我自己能看得懂。 下图只假设了yes或者success的路径,因为搞懂了认证成功路径也就弄明白了no或者fail(认证失败)的路径。 ...
说实话,其实Spring Security并没有看起来那么复杂(附源码)
Java烂猪皮
02-04 1014
权限管理是每个项目必备的功能,只是各自要求的复杂程度不同,简单的项目可能一个 Filter 或 Interceptor 就解决了,复杂一点的就可能会引入安全框架,如 Shiro, Spring Security 等。 其中 Spring Security 因其涉及的流程、类过多,看起来比较复杂难懂而被诟病。但如果能捋清其中的关键环节、关键类,Spring Security 其实也没有传说中那么复杂。本文结合脚手架框架的权限管理实现(jboost-auth模块,源码获取见文末),对 Spring Secur.
验证逻辑
weixin_34133829的博客
03-27 207
2019独角兽企业重金招聘Python工程师标准>>> ...
膜拜,阿里爆款SpringSecurity教程,太详细了
assdfgdfgjhtdo的博客
11-19 740
SpringSecurity使用分类 如何使用SpringSecurity,相信百度过的都知道,总共有四种用法,从简到深为: 不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo; 使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差; spring security和Acegi不同,它不能修改默认filter了,但支持插入filter,所以根据这个,我们可以插入自己的filter来灵活使用;
使用SpringSecurity
weixin_34097242的博客
04-29 79
前几天写了一个SpringBoot对拦截器的使用,在实际项目中,对一些情况需要做一些安全验证,比如在没有登录的情况下访问特定的页面应该解释的拦截处理。这一篇介绍使用SpringSecurity来做简单的安全控制,由于SpringSecurity比较复杂,如果有不对的地方可以大家一起学习。 新建项目,前端页面使用thymeleaf,加入security依赖,pom文件如下: &lt;?xml ver...
自定义注解实现复杂校验逻辑
最新发布
a762374026的专栏
08-03 102
EMAIL,ADDRESS定义了三个枚举值,分别表示EMAIL、PHONE_NUMBER和ADDRESS三个项目。if (!该处理器类实现了ApplicationContextAware和InitializingBean接口,用于获取应用上下文和初始化校验器。其中,ApplicationContextAware接口用于获取应用上下文,InitializingBean接口用于初始化校验器。
Spring security 如何实现身份验证,授权的
04-25
Spring Security 通过使用一些内置的安全机制,如用户名和密码验证、基于角色的访问控制(RBAC)、基于 URL 的授权、OAuth 等,来保护 Web 应用程序。 Spring Security 会为每个提交的请求检查这些安全机制,并确定是否允许访问资源。通过配置 Spring Security ,开发人员可以轻松地实现身份验证和授权,以保护他们的 Web 应用程序。其中,身份验证的过程通常包括用户的身份验证和密码验证。授权的过程通常涉及用户被授予的角色或权限,以确定他们是否被允许访问请求的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值