oauth2 验证码拦截filter

最新推荐文章于 2024-06-24 10:29:33 发布
最新推荐文章于 2024-06-24 10:29:33 发布
阅读量3.1k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zb313982521/article/details/87919059
版权 
package com.huajie.cloud.auth.config;

/**
 * Description:
 *
 * @author IceZhang
 * Copyright  2018-2019  创捷运维智能科技有限公司
 * All rights reserved.
 * @version: 1.0
 * Reversion:
 * 1.0 - 新建
 */
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.NullRememberMeServices;
import org.springframework.security.web.authentication.RememberMeServices;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;
import org.springframework.util.Assert;
import org.springframework.web.filter.GenericFilterBean;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 参考 {@link org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter}
 * @version 0.1
 * @auth admin.
 * @time 2018/2/25 13:04
 * @since 0.1
 */
public class CodeFilter extends GenericFilterBean {

    /** Logger available to subclasses */
    protected final Log logger = LogFactory.getLog(getClass());

    //验证码拦截路径
    private static final String CODE_ANT_URL = "/oauth/mobile";
    private static final String SPRING_SECURITY_FORM_CAPTCHA_KEY = "code";

    private String captchaParameter = SPRING_SECURITY_FORM_CAPTCHA_KEY;

    private boolean postOnly = true;

    //请求路径匹配
    private RequestMatcher requiresAuthenticationRequestMatcher;

    private RememberMeServices rememberMeServices = new NullRememberMeServices();
    private AuthenticationFailureHandler failureHandler = new SimpleUrlAuthenticationFailureHandler(CODE_ANT_URL); //设置验证失败重定向路径

    public CodeFilter() {
        this.requiresAuthenticationRequestMatcher = new AntPathRequestMatcher(CODE_ANT_URL, "POST");
    }

    public CodeFilter(RequestMatcher requiresAuthenticationRequestMatcher) {
        Assert.notNull(requiresAuthenticationRequestMatcher,"requiresAuthenticationRequestMatcher cannot be null");
        this.requiresAuthenticationRequestMatcher = requiresAuthenticationRequestMatcher;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        // 不是需要过滤的路径,执行下一个过滤器
        if (!requiresAuthentication(request, response)) {
            filterChain.doFilter(request, response);
            return;
        }

        if (logger.isDebugEnabled()) {
            logger.debug("Request is to process authentication");
        }

        Authentication authResult;
        try {
            authResult = this.attemptAuthentication(request, response);
            if (authResult == null) {
                logger.error("Authentication is null!");
                // return immediately as subclass has indicated that it hasn't completed
                // authentication
                return;
            }

        } catch (InternalAuthenticationServiceException failed) {
            logger.error("An internal error occurred while trying to authenticate the user.",failed);
            return;
        } catch (AuthenticationException failed) {
            logger.error("Authentication failed.", failed);
            //Authentication failed
            unsuccessfulAuthentication(request, response, failed);
            return;
        }

        //认证成功,执行下个过滤器
        filterChain.doFilter(request, response);
    }

    private Authentication attemptAuthentication(HttpServletRequest request,
                                                 HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }
        //获取验证码
        String captcha = request.getParameter(captchaParameter);

        if (captcha == null) {
            captcha = "";
        }

        captcha = captcha.trim();

        CodeAuthenticationToken authRequest = new CodeAuthenticationToken(captcha);

        //这里可以直接省略掉,用provider直接验证
        CodeAuthenticationManager manager = new CodeAuthenticationManager(new CodeAuthenticationProvider());
        return manager.authenticate(authRequest);
    }

    /**
     * 比较需要过滤的请求路径
     *
     * @param request
     * @param response
     * @return
     */
    protected boolean requiresAuthentication(HttpServletRequest request,
                                             HttpServletResponse response) {
        return requiresAuthenticationRequestMatcher.matches(request);
    }

    /**
     * 处理验证码认证失败
     * 参考 {@link org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter}
     * Default behaviour for unsuccessful authentication.
     * <ol>
     * <li>Clears the {@link SecurityContextHolder}</li>
     * <li>Stores the exception in the session (if it exists or
     * <tt>allowSesssionCreation</tt> is set to <tt>true</tt>)</li>
     * <li>Informs the configured <tt>RememberMeServices</tt> of the failed login</li>
     * <li>Delegates additional behaviour to the {@link AuthenticationFailureHandler}.</li>
     * </ol>
     */
    protected void unsuccessfulAuthentication(HttpServletRequest request,
                                              HttpServletResponse response, AuthenticationException failed)
            throws IOException, ServletException {
        SecurityContextHolder.clearContext();

        if (logger.isDebugEnabled()) {
            logger.debug("Authentication request failed: " + failed.toString(), failed);
            logger.debug("Updated SecurityContextHolder to contain null Authentication");
            logger.debug("Delegating to authentication failure handler " + failureHandler);
        }

        rememberMeServices.loginFail(request, response);

        failureHandler.onAuthenticationFailure(request, response, failed);
    }
}

 

package com.huajie.cloud.auth.config;

/**
 * Description:
 *
 * @author IceZhang
 * Copyright  2018-2019  创捷运维智能科技有限公司
 * All rights reserved.
 * @version: 1.0
 * Reversion:
 * 1.0 - 新建
 */
import org.springframework.security.authentication.AbstractAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;

import java.util.Collection;

/**
 * 参考 {@link org.springframework.security.authentication.UsernamePasswordAuthenticationToken}
 * @version 0.1
 * @auth admin.
 * @time 2018/2/25 11:24
 * @since 0.1
 */
public class CodeAuthenticationToken extends AbstractAuthenticationToken{

    /**
     * 验证码
     */
    private Object captcha;

    /**
     * 验证码验证标识
     * true:通过
     * false:错误
     */
    private boolean flag;

    public CodeAuthenticationToken() {
        super(null);
    }

    public CodeAuthenticationToken(Object captcha) {
        super(null);
        this.captcha = captcha;
        this.flag = false;
        setAuthenticated(false);
    }

    public CodeAuthenticationToken(Collection<? extends GrantedAuthority> authorities, Object captcha) {
        super(authorities);
        this.captcha = captcha;
        this.flag = false;
        super.setAuthenticated(true); // must use super, as we override
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return null;
    }

    public Object getCaptcha() {
        return captcha;
    }

    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException(
                    "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        }

        super.setAuthenticated(false);
    }


    public boolean isFlag() {
        return flag;
    }

    public void setFlag(boolean flag) {
        this.flag = flag;
    }
}

 

package com.huajie.cloud.auth.config;

/**
 * Description:
 *
 * @author IceZhang
 * Copyright  2018-2019  创捷运维智能科技有限公司
 * All rights reserved.
 * @version: 1.0
 * Reversion:
 * 1.0 - 新建
 */
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.util.Assert;

/**
 * 验证码验证类
 * 参考 {@link org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider}
 * @version 0.1
 * @auth admin.
 * @time 2018/2/25 11:32
 * @since 0.1
 */
public class CodeAuthenticationProvider implements AuthenticationProvider {

    /** Logger available to subclasses */
    protected final Log logger = LogFactory.getLog(getClass());

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        logger.debug("custom captcha authentication");

        Assert.isInstanceOf(CodeAuthenticationToken.class, authentication,"错误的类");

        CodeAuthenticationToken custCaptchaToken = (CodeAuthenticationToken) authentication;
        String captcha = custCaptchaToken.getCaptcha().toString();

        if(captcha.equals("")){
            logger.debug("验证码为空");
            throw new CodeAuthenticationException("验证码错误!");
        }

        //写死一个验证码,具体可以自己修改
        if(!captcha.equals("1000")){
            logger.debug("验证码错误");
            throw new CodeAuthenticationException("验证码错误!");
        }

        //返回验证成功对象
        custCaptchaToken.setFlag(true);
        return custCaptchaToken;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return (CodeAuthenticationToken.class.isAssignableFrom(authentication));
    }
}

 

package com.huajie.cloud.auth.config;

/**
 * Description:
 *
 * @author IceZhang
 * Copyright  2018-2019  创捷运维智能科技有限公司
 * All rights reserved.
 * @version: 1.0
 * Reversion:
 * 1.0 - 新建
 */
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.util.Assert;

/**
 * 由于是拓展spring security的验证,不能在ProviderManager中调用到,这里单独处理一个验证管理器。
 * @version 0.1
 * @auth admin.
 * @time 2018/2/25 11:27
 * @since 0.1
 */
public class CodeAuthenticationManager implements AuthenticationManager {

    /**
     * 自己实现的验证码认证器
     */
    private AuthenticationProvider provider;

    public CodeAuthenticationManager(AuthenticationProvider provider) {
        Assert.notNull(provider, "provider cannot be null");
        this.provider = provider;
    }

    public Authentication authenticate(Authentication authentication)
            throws AuthenticationException {
        return this.provider.authenticate(authentication);
    }
}

 

package com.huajie.cloud.auth.config;

/**
 * Description:
 *
 * @author IceZhang
 * Copyright  2018-2019  创捷运维智能科技有限公司
 * All rights reserved.
 * @version: 1.0
 * Reversion:
 * 1.0 - 新建
 */
import org.springframework.security.core.AuthenticationException;

/**
 * 自定义验证码验证失败异常
 * @version 0.1
 * @auth admin.
 * @time 2018/2/25 11:37
 * @since 0.1
 */
public class CodeAuthenticationException extends AuthenticationException {

    public CodeAuthenticationException(String msg, Throwable t) {
        super(msg, t);
    }

    public CodeAuthenticationException(String msg) {
        super(msg);
    }
}

 

zb313982521
关注
oauth2 token为空拦截_oauth2 重写token验证错误返回数据模型
weixin_39759155的博客
12-19 1215
1. oauth2原始错误返回类型JSON格式为{"error": "invalid_token","error_description": "Invalid access token: 123123123"}2. 想要在返回的数据类型中加上一个字段3.源码中源码org.springframework.security.oauth2.provider.authentication.OAuth2Au...
filter java oauth_配合OAuth2进行单设备登录拦截
weixin_42298802的博客
12-24 354
要进行单设备登录,在其他地点登录后,本地的其他操作会被拦截返回登录界面。原理就在于要在登录时在redis中存储Session,进行操作时要进行Session的比对。具体实现,假设我们的OAuth 2的登录调用接口如下:Feign@Component@FeignClient("oauth-center")public interface Oauth2Client {/*** 获取access_tok...
Oauth2】五、登陆认证过滤器OAuth2LoginAuthenticationFilter
weixin_43333483的博客
07-23 780
outh2过滤器的学习记录
BADI - 采购申请增强ME_PROCESS_REQ_CUST行项目增强PROCESS_ITEM
最新发布
HeathlX的博客
06-24 449
【代码】BADI - 采购申请增强ME_PROCESS_REQ_CUST行项目增强PROCESS_ITEM,行项目长文本增强。
spring security
weixin_33716941的博客
02-18 171
Spring Security 启动流程 @EnableWebSecurity注解配置启动spring secuiry,导入WebSecurityConfiguration配置 @Retention(value = java.lang.annotation.RetentionPolicy.RUNTIME) @Target(value = { java.lang.annotation.Ele...
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制
热门推荐
Little_fxc的博客
06-18 1万+
Spring Security Oauth2 添加自定义过滤器和oauth2认证后API权限控制 在搭建完 spring-security-oauth2 整个微服务框架后,来了一个需求: 每个微服务都需要对访问进行鉴权,每个微服务应用都需要明确当前访问用户和他的权限。 auth 系统的主要功能是授权认证和鉴权。 授权认证已经完成,那么如何对用户的访问进行鉴权呢? 首先需要明确什么时候发生鉴权?...
10 令牌颁发 OAuth2TokenEndpointFilter
Markix的博客
10-09 1903
授权服务器提供令牌颁发接口(/oauth2/token),由客户端发起请求,授权服务器生成访问令牌(access_token)返回,客户端使用此令牌才能去调用资源服务器的接口。 Spring Authorization Server 目前支持如下三种令牌颁发策略:Authorization Code、Client Credentials、Refresh Token,分别对应 授权码模式、客户端凭证模式、刷新令牌模式。核心拦截器为 OAuth2TokenEndpointFilter
SpringCloudBoot + Oauth2 集成短信登陆方案
tan90
01-07 983
SpringCloud/Boot + Oauth2 集成短信登陆方案 登录框架有很多,Oauth2算是属于比较常用的一个框架了,诸如腾讯,阿里,字节跳动等产品登录都是使用Oauth2的。那么Oauth2怎么集成短信登陆和第三方登录呢? 最终我参考了这个作者的文章,把短信登录集成做好了,这个方案是属于非侵入式的解决方案,实现起来也相对来说简单。 1.实现思路: 首先需要做一个Filter,用来拦截/oauth/token的请求,并增加auth_type用来区分登录方式。 public class Integ
springcloud微服务架构+oauth2认证以及自定义登录方式(实现短信验证码登录)
weixin_41803602的博客
11-18 9686
111
Spring Security OAuth2学习
weixin_44677487的博客
11-12 677
Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。
jwt实现oauth2.0 java_SpringSecurity实现OAuth2+JWT
weixin_28696185的博客
02-17 320
一、基本概念1.1 认证方式1.1.1 基于session方式认证他的流程是:用户认证成功后,服务端生成相应的用户数据保存在session中,发给客户端的session_id保存在cookie中。这样用户请求时只要带上session_id就可以验证服务端是否存在session,以此完成用户的校验。当用户退出系统或session过期时,客户端的session_id也就无效了。1.1.2 基于toke...
OAuth2 实现password与secret加密传输,解决明文传输问题
uchiha1st的博客
06-05 899
解决oauth2获取Token过程中password与client_secret明文传输的问题
oauth过滤login_OAuth2AuthenticationProcessingFilter资源认证服务器过滤器
weixin_39859909的博客
01-13 546
资源服务器如何认证访问身份?一般会传入access_token,那资源认证服务器是如何解析令牌以及如何与资源认证服务器的token库进行对比的?核心代码在org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter#doFilterDebug验证:1、先用密码模式生成...
深入浅出SpringSecurity和OAuth2(二)—— 安全过滤器FilterChainProxy
你要悄悄的拔尖,然后惊艳所有人
07-28 2379
文章目录前言正文1. FilterChainProxy什么时候注入Spring容器中的2. springSecurityFilterChain()方法的作用3. 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,若遇到某些问题时无从下手,只能去百度去Google。这是因为对于SpringSecurity和OAuth
filter java oauth_Spring OAuth过滤器链和Java配置
weixin_39602560的博客
12-24 254
我正在尝试将spring-security-oauth添加到具有spring-security的现有应用程序中.我正在使用Java配置.我有一个现有的修改过滤器链(添加了一些自定义过滤器)但是对’/ oauth / token’的请求没有使用它,而是使用’默认’过滤器链.如何才能访问保护oauth端点的过滤器链,以便我可以在那里使用自定义过滤器,还是可以将OAuth端点连接到现有设置中?解决方法:...
深入OAuth 2.0:常见过滤器及其重要性
todoitbo的博客
12-28 1467
本文将深入探讨OAuth 2.0中的常见内置过滤器,解释它们各自的功能、工作原理以及如何在你的应用中实现它们。从认证请求、资源访问到令牌验证等,我们将一一剖析这些关键组件如何共同工作,保证应用的安全性。通过本文,你将获得必要的知识来理解和实施有效的安全认证策略。
spring security oauth2 自定义异常拦截InternalAuthenticationServiceException
fuck487的博客
01-08 1万+
转:https://blog.csdn.net/c5113620/article/details/89576545 待完善
filter java oauth_使用Spring Security和OAuth2实现RESTful服务安全认证
weixin_36005427的博客
12-24 184
Spring专题使用Spring Security和OAuth2实现RESTful服务安全认证这篇教程是展示如何设置一个OAuth2服务来保护REST资源. 源代码下载github. 你能下载这个源码就开始编写一个被OAuth方法保护的服务。该源码包含功能:* 用户注册和登录* Email验证* Password 丢失采取的技术有以下:*OAuth2 Protocol* Spring Secur...
filter java oauth_java – 带有自定义安全过滤器的Spring Boot OAuth2
weixin_31642733的博客
12-24 452
我有一个带有OAuth2授权和资源服务器的spring boot设置.用户可以通过向/ oauth / token发出POST请求来获取令牌.到现在为止还挺好.但是,我不想通过BASIC auth保护/ oauth / token,而是通过自定义安全过滤器.我尝试了以下内容,但从未调用过DemoAuthenticationFilter:@Configuration@EnableResourceSe...
oauth2手机验证码登录
05-16
在将OAuth2与手机验证码登录结合使用时,可以通过以下步骤实现: 1. 用户在第三方应用程序中选择使用手机验证码登录方式,并输入手机号码。 2. 第三方应用程序通过手机号码向后端服务器请求发送验证码。 3. 后端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值