基于java config的springSecurity(二)--自定义认证

最新推荐文章于 2024-07-25 17:13:55 发布
最新推荐文章于 2024-07-25 17:13:55 发布
阅读量2.2w 收藏 12
点赞数
分类专栏: security 文章标签: spring mvc spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiejx618/article/details/42609497
版权

可参考的资料:

http://blog.csdn.net/xiejx618/article/details/42523337

http://blog.csdn.net/xiejx618/article/details/22902343


本文在前文的基础上进行修改.
一.根据传过来的用户名和密码实现自定义的认证逻辑.将基于内存的AuthenticationProvider改为自定义的AuthenticationProvider,实现认证(Authentication),还没有实现授权(Authorization)
1.修改实体User类实现org.springframework.security.core.userdetails.UserDetails作为spring security管理的用户.修改实体Role类实现org.springframework.security.core.GrantedAuthority作为spring security管理的简单授权权限

2.先自定义UserDetailsService,以供AuthenticationProvider使用.使用构造方法注入UserRepository,调用org.exam.repository.UserRepositoryCustom#findByUsernameWithAuthorities,根据用户名来返回spring security管理的用户.因为org.exam.domain.User#authorities是懒加载的,可以参考http://blog.csdn.net/xiejx618/article/details/21794337来解决懒加载问题.

package org.exam.auth;
import org.exam.repository.UserRepository;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
/**
 * Created by xin on 15/1/10.
 */
public class UserDetailsServiceCustom implements UserDetailsService {
	private final UserRepository userRepository;
	public UserDetailsServiceCustom(UserRepository userRepository) {
		this.userRepository = userRepository;
	}
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		return userRepository.findByUsernameWithAuthorities(username);
	}
}
3.再自定义AuthenticationProvider. 
package org.exam.auth;
import org.springframework.security.authentication.*;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
/**
 * Created by xin on 15/1/10.
 */
public class AuthenticationProviderCustom implements AuthenticationProvider {
	private final UserDetailsService userDetailsService;
	public AuthenticationProviderCustom(UserDetailsService userDetailsService) {
		this.userDetailsService = userDetailsService;
	}
	@Override
	public Authentication authenticate(Authentication authentication) throws AuthenticationException {
		UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) authentication;
		String username = token.getName();
		//从数据库找到的用户
		UserDetails userDetails = null;
		if(username != null) {
			userDetails = userDetailsService.loadUserByUsername(username);
		}
		//
		if(userDetails == null) {
			throw new UsernameNotFoundException("用户名/密码无效");
		}else if (!userDetails.isEnabled()){
			throw new DisabledException("用户已被禁用");
		}else if (!userDetails.isAccountNonExpired()) {
			throw new AccountExpiredException("账号已过期");
		}else if (!userDetails.isAccountNonLocked()) {
			throw new LockedException("账号已被锁定");
		}else if (!userDetails.isCredentialsNonExpired()) {
			throw new LockedException("凭证已过期");
		}
		//数据库用户的密码
		String password = userDetails.getPassword();
		//与authentication里面的credentials相比较
		if(!password.equals(token.getCredentials())) {
			throw new BadCredentialsException("Invalid username/password");
		}
		//授权
		return new UsernamePasswordAuthenticationToken(userDetails, password,userDetails.getAuthorities());
	}

	@Override
	public boolean supports(Class<?> authentication) {
		//返回true后才会执行上面的authenticate方法,这步能确保authentication能正确转换类型
		return UsernamePasswordAuthenticationToken.class.equals(authentication);
	}
}

4.配置自定义的AuthenticationProvider

package org.exam.config;
import org.exam.auth.AuthenticationProviderCustom;
import org.exam.auth.UserDetailsServiceCustom;
import org.exam.repository.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
/**
 * Created by xin on 15/1/7.
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Autowired
	private UserRepository userRepository;
	@Bean
	public UserDetailsService userDetailsService(){
		UserDetailsService userDetailsService=new UserDetailsServiceCustom(userRepository);
		return userDetailsService;
	}
	@Bean
	public AuthenticationProvider authenticationProvider(){
		AuthenticationProvider authenticationProvider=new AuthenticationProviderCustom(userDetailsService());
		return authenticationProvider;
	}
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		//暂时使用基于内存的AuthenticationProvider
		//auth.inMemoryAuthentication().withUser("username").password("password").roles("USER");
		//自定义AuthenticationProvider
		auth.authenticationProvider(authenticationProvider());
	}
	@Override
	public void configure(WebSecurity web) throws Exception {
		web.ignoring().antMatchers("/static/**");
	}
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		//暂时禁用csrf,并自定义登录页和登出URL
		http.csrf().disable()
				.authorizeRequests().anyRequest().authenticated()
				.and().formLogin().loginPage("/login").failureUrl("/login?error").usernameParameter("username").passwordParameter("password").permitAll()
				.and().logout().logoutUrl("/logout").permitAll();
	}
}
5.在页面上可以使用如下的代码获得抛出的异常信息. 

 <c:if test="${SPRING_SECURITY_LAST_EXCEPTION.message != null}">
        <p>
           ${SPRING_SECURITY_LAST_EXCEPTION.message}
        </p>
    </c:if>

源码: http://download.csdn.net/detail/xiejx618/8349649 

二.加入验证码功能.看过Spring Security 3.x Cookbook的Spring Security with Captcha integration,觉得验证码附加到用户名这种方式非常丑陋,其实验证码验证逻辑也不应在UserDetailsService.loadUserByUsername方法,因为这个方法不止在输入用户码密码登录时调用,比如记住我自动登录功能,也会调用此方法.
基于xml的方式,可以使用<custom-filter position="FORM_LOGIN_FILTER" ref="multipleInputAuthenticationFilter" />来替换默认的UsernamePasswordAuthenticationFilter,但基于javaConfig的方式似乎没有等效的配置,所以替换默认的UsernamePasswordAuthenticationFilter的路不通.因为验证验证码逻辑比用户名密码的逻辑要先,我的思路在UsernamePasswordAuthenticationFilter之前再添加一个KaptchaAuthenticationFilter.
1.修改配置org.exam.config.WebSecurityConfig#configure

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterBefore(new KaptchaAuthenticationFilter("/login", "/login?error"), UsernamePasswordAuthenticationFilter.class)
            .csrf().disable()
            .authorizeRequests().anyRequest().authenticated()
            .and().formLogin().loginPage("/login").failureUrl("/login?error").usernameParameter("username").passwordParameter("password").permitAll()
            .and().logout().logoutUrl("/logout").permitAll();

}

HttpSecurity有addFilterBefore,addFilterAfter,就没有replaceFilter,不然第一行配置都省了,所以思路只能这么来.先看看KaptchaAuthenticationFilter,

注:http://docs.spring.io/spring-security/site/docs/4.1.0.RC2/reference/htmlsingle/#new开始提供HttpSecurity.addFilterAt

2.继承AbstractAuthenticationProcessingFilter或者UsernamePasswordAuthenticationFilter,是为了利用验证失败时的处理(跳到failureUrl显示异常信息) 
package org.exam.config;
import com.google.code.kaptcha.Constants;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
 * Created by xin on 15/1/7.
 */

public class KaptchaAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    private String servletPath;
    public KaptchaAuthenticationFilter(String servletPath,String failureUrl) {
        super(servletPath);
        this.servletPath=servletPath;
        setAuthenticationFailureHandler(new SimpleUrlAuthenticationFailureHandler(failureUrl));

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res=(HttpServletResponse)response;
        if ("POST".equalsIgnoreCase(req.getMethod())&&servletPath.equals(req.getServletPath())){
            String expect = (String) req.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY);
            if(expect!=null&&!expect.equalsIgnoreCase(req.getParameter("kaptcha"))){
                unsuccessfulAuthentication(req, res, new InsufficientAuthenticationException("输入的验证码不正确"));
                return;
            }
        }
        chain.doFilter(request,response);
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
        return null;

    }

}
attemptAuthentication回调不用理,重写了doFilter方法,它不会被调用,从以上代码可知使用了google的kaptcha生成验证码,下面看看如何配置.
3.kaptcha的依赖如下 
<dependency>
    <groupId>com.github.penggle</groupId>
    <artifactId>kaptcha</artifactId>
    <version>2.3.2</version>
</dependency>
然后在DispatcherServletInitializer添加一个kaptcha servlet,
org.exam.config.DispatcherServletInitializer#onStartup 
@Override
public void onStartup(ServletContext servletContext) throws ServletException {
    super.onStartup(servletContext);
    FilterRegistration.Dynamic encodingFilter = servletContext.addFilter("encoding-filter", CharacterEncodingFilter.class);
    encodingFilter.setInitParameter("encoding", "UTF-8");
    encodingFilter.setInitParameter("forceEncoding", "true");
    encodingFilter.setAsyncSupported(true);
    encodingFilter.addMappingForUrlPatterns(null, false, "/*");
    ServletRegistration.Dynamic kaptchaServlet = servletContext.addServlet("kaptcha-servlet", KaptchaServlet.class);
    kaptchaServlet.addMapping("/except/kaptcha");
}
4.不要忘了/except/kaptcha的请求被拦截了,所以要忽略掉
@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/static/**", "/except/**");
}
页面加入验证输入域,然后测试
<input type="text" id="kaptcha" name="kaptcha"/><img src="/testweb/except/kaptcha" width="80" height="25"/>



xiejx618
关注
专栏目录
Spring Security -- 自定义登录
smile_code_dog的博客
04-15 2581
Spring Security自定义登录 1 使用formLogin() http .formLogin() .loginPage("/myLogin") // 自定义登录页面 .loginProcessingUrl("/doLogin") // 自定义登录接口 .permitAll(); 2 自定义登录过滤器 SpringSecurity 默认使用的是 UsernamePasswordAuthenticationFilter 过滤器,我们可以实现 AbstractA
spring-security-digest:spring-security 与摘要认证示例
06-21
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛用于构建安全的 Java Web 应用程序。在这个特定的示例 "spring-security-digest" 中,我们关注的是摘要认证(Digest Authentication),这...
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
spring security 3 自定义认证,授权示例
iteye_6172的博客
05-09 216
  Spring Security 3.x 出来一段时间了,跟Acegi是大不同了,与2.x的版本也有一些小小的区别,网上有一些文档,也有人翻译Spring Security 3.x的guide,但通过阅读guide,无法马上就能很容易的实现一个完整的实例。   我花了点儿时间,根据以前的实战经验,整理了一份完整的入门教程,供需要的朋友们参考。 1,建一个web project,并导入所有...
SpringspringSecurity中WebSecurityConfigurerAdapter类中configure方法(5版本以下)
wosixiaokeai的博客
07-10 790
configure。
SpringSecurity自定义认证
张氏小毛驴的博客
08-11 4915
​ 学习了SpringSecurity的使用,以及跟着源码分析了一遍认证流程,掌握了这个登录认证流程,才能更方便我们做自定义操作。​ 下面我们来学习下怎么实现多种登录方式,比如新增加一种邮箱验证码登录的形式,但SpringSecurity默认的Usernamepassword方式不影响。自定义一个邮箱验证码的认证,将邮箱号码作为key,验证码作为value存放到Redis中缓存。首先回顾下之前源码分析的认证流程,如下图:首先前端是填写邮箱,点击获取验证码输入获取到的验证码,点击登录按钮,发送登录接口(/em
Spring Security (一):自定义认证
weixin_55136824的博客
07-28 771
Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架,spring security 在程序启动时,向spring中注入一个默认的filterChian,按照顺序,依次执行filter,对用户信息进行认证,授权。官网链接: Spring Security :: Spring SecurityCorsFilterCsrfFilterOpenIDSiteMinder其中,默认的认证过滤器为 UsernamePasswordAuthenticationFilter
Spring Security自定义用户认证
艾华生的博客
08-19 4310
Spring Security自定义用户认证Spring Boot中开启Spring Security一节中我们简单地搭建了一个Spring Boot + Spring Security的项目,其中登录页、用户名和密码都是由Spring Security自动生成的。Spring Security支持我们自定义认证的过程,如使用自定义的登录页替换默认的登录页,用户信息的获取逻辑、登录成功或失败后的处理逻辑等。这里将在上一节的源码基础上进行改造。 配置自定义登录页 为了方便起见,我们直接在src/main/
基于java configspringSecurity的基本集成配置()--自定义认证
01-11
基于java configspringSecurity的基本集成配置()--自定义认证,详细介绍:http://blog.csdn.net/xiejx618/article/details/42609497
examples-spring-security-java-config
06-15
这个"examples-spring-security-java-config"项目是专门展示如何通过 Java 配置而非 XML 配置来设置和管理 Spring Security 的一个实例。让我们深入探讨一下这个项目所涉及的关键知识点。 1. **Java 配置**: 在...
SpringSecurity 自定义用户认证
你今天真好看呀
08-24 1307
测试接口:启动项目访问// 当前登录用户的用户名 String remoteUser = request . getRemoteUser();// 判断当前用户是否具备某一个指定的角色 boolean admin = request . isUserInRole("admin");// 登录用户的用户名 System . out . println("remoteUser = " + remoteUser);} }
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
Spring Security 自定义身份认证处理器
u011618818的博客
06-10 491
概述 我们可以通过继承AuthenticationProvider或者其实现来完成自定义身份认证处理器 通常身份验证处理器主要是完成对用户名密码的验证和判断用户时候可用等 实现案例 以下是实现方法 1. 继承于AuthenticationProvider new AuthenticationProvider() { @Override public Authentication authenticate(Authentication authentication) throws Authenticati
SpringSecurity自定义认证规则
qq_51133939的博客
08-21 648
SpringSecurity自定义认证规则
Spring Security六:自定义认证
xiaxiaomao1981的博客
02-26 355
通过前面的学习我们可以使用spring security完成简单的认证和授权,但是实际项目中用户的数据往往都是存在数据库中,登录页面也需要可以自由定制,下面我们就来学习使用spring security如何完成 创建mavean项目选择模板 mavean-archetype-webapp 自定义登录页面: 创建登录页面,结构如下: 在WEBCONFIG.j...
SpringBoot Security 自定义用户认证
最新发布
weixin_59248828的博客
07-25 1970
下面将实现Spring boot整合Spring Security 实现自定义内存身份认证的实现。
自定义Spring Security】实现多种认证方式
乐哥说的专栏
06-18 1046
自定义Spring Security】实现多种认证方式
Spring Security 自定义身份认证过滤器
u011618818的博客
06-10 3106
概述 我们可以通过集成AbstractAuthenticationProcessingFilter或者现有的过滤器来完成自定义的身份认证过滤器 身份验证过滤器的主要责任是何时进行身份认证以及如何进行身份认证等 实现案例 以下是实现案例,可根据需求进行拓展和剔除 1. 继承AbstractAuthenticationProcessingFilter public class GetRequestAuthenticationFilter extends AbstractAuthenticationProcess
spring-authorization-server自定义认证配置
06-10
1. 创建一个实现了 `org.springframework.security.config.annotation.authentication.configurers.provisioning.UserDetailsManagerConfigurer` 接口的配置类,并在其中配置自定义的用户信息。 2. 在 `...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值