Spring Security 5.7.x及更高版本中配置多个AuthenticationProvider

最新推荐文章于 2024-05-01 14:27:11 发布
最新推荐文章于 2024-05-01 14:27:11 发布
阅读量617 收藏 7
点赞数 10
分类专栏: Java 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zbbmaster/article/details/135959442
版权

SpringBoot2.7.x版本中SpringSecurity账号和手机验证码登录多重认证实践

SecurityConfig配置

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Configuration
public class SecurityConfig {

	@Autowired
	private AuthenticationEntryPointImpl authenticationEntryPoint;

	@Autowired
	private RestfulAccessDeniedHandler accessDeniedHandler;

	@Autowired
	private UserDetailsService userDetailsService;

	@Autowired
	private JwtAuthenticationFilter jwtAuthenticationFilter;

	@Autowired
	private SmsAuthenticationProvider smsAuthenticationProvider;
	/**
	 * 访问路径白名单
	 */
	private static final String[] WHITE_PATH = new String[] { "/login/xx", "/login", "/register/**",
			"/send/sms/**", };

	/**
	 * get方式访问路径白名单
	 */
	private static final String[] GET_WHITE_PATH = new String[] { "/user/list" };
	
	private DaoAuthenticationProvider daoAuthenticationProvider() {
		DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
		daoAuthenticationProvider.setPasswordEncoder(new BCryptPasswordEncoder());
		daoAuthenticationProvider.setUserDetailsService(userDetailsService);
		return daoAuthenticationProvider;
	}
	
	@Bean
	public AuthenticationManager authenticationManager() throws Exception {
		ProviderManager authenticationManager = new ProviderManager(
				Arrays.asList(smsAuthenticationProvider, daoAuthenticationProvider()));
		// 不擦除认证密码
		authenticationManager.setEraseCredentialsAfterAuthentication(false);
		return authenticationManager;
	}

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		return http
				.csrf().disable().cors().and()
				.logout().disable().sessionManagement()
				.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
				.and()
				.exceptionHandling()
				.authenticationEntryPoint(authenticationEntryPoint)
				.accessDeniedHandler(accessDeniedHandler)
				.and()
				.authorizeRequests(authorize -> authorize
						.antMatchers(WHITE_PATH).permitAll()
						.antMatchers(HttpMethod.GET, GET_WHITE_PATH).permitAll()
						.anyRequest().authenticated())
				.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
				.build();
	}



	@Bean
	public BCryptPasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}
}

JWT认证过滤器

/**
 * JWT认证过滤器
 * 
 * @author admin
 *
 */
@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {


	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
			throws IOException, ServletException {

		String token = request.getHeader(Constants.TOKEN_HEADER);
		if (StrUtil.isEmpty(token) || !JwtTokenUtil.validateToken(token)) {
			chain.doFilter(request, response);
			return;
		}
		String username = JwtTokenUtil.getUsername(token);
		if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
			UserDetails userDetails = userDetailsService.loadUserByUsername(username);
			if (userDetails == null) {
				chain.doFilter(request, response);
				return;
			}
			UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
					userDetails, null, userDetails.getAuthorities());
			usernamePasswordAuthenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
			SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);

		}
		chain.doFilter(request, response);
	}
}

zbbmaster
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
详解Spring3.x 升级至 Spring4.x的方法
08-27
升级 Spring3.x 至 Spring4.x 需要注意多个方面,包括升级依赖包、quartz、jackson 版本的升级、非 Maven 项目的升级、替换 spring jdbc 的 queryForInt 方法、SpringMVC 返回 JSON 格式、新 XML 配置文件的 xsd...
springsecurity6.x实战学习笔记,可完美的移植到生产环境
03-28
Spring Security 6.x版本,这个框架进一步增强了其功能和易用性,适用于生产环境的实战项目。本实战学习笔记聚焦于如何利用SpringBoot 3.x集成SpringSecurity 6.x,实现灵活的用户认证和授权机制。 首先,...
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 4535
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
springsecurity配置及使用
又菜又爱玩的博客
08-29 1274
学习时是看b站狂神说java讲解的springsecurity发现WebSecurityConfigurerAdapter类已经被弃用(2.7.0以下版本可继续使用,2.7.0以上已被启用),于是看官方文档写的一个新版本配置,新旧对比学习。
SpringBoot整合SpringSercurity5完整实现例子
最新发布
Spell a的博客
05-01 483
super(msg);super(msg);return msg;@Component@OverrideString jsonString = JSONObject.toJSONString(ResponseResult.error(401, "您没有访问权限,请重新登录!"));
SpringSecurity5.7从入门到精通全套教程-入门篇
weixin_46040278的博客
04-26 2826
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
Spring Security 5.7 最新配置细节(直接就能用),WebSecurityConfigurerAdapter 已废弃
江帅帅
06-06 3万+
Spring Security 5.7.1 最新配置细节,WebSecurityConfigurerAdapter 已废弃
springboot 2.7整合spring security 5.7整合jwt实现用户登录注册与鉴权全记录
Ricardo.M.Yu的博客
10-08 1万+
springboot 2.7整合spring security 5.7整合jwt
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发,我们经常需要配置多个身份验证提供程序...
Spring Security 3.x 入门教程 文WORD版
11-06
6. **CSRF防护**: 3.x版本Spring Security默认开启了跨站请求伪造(CSRF)防护,教程会解释如何配置和使用相关标签库。 7. **异常处理**: 明白如何处理安全相关的异常,如未授权(Unauthorized)和未认证(Not ...
mysql-5.7.40数据库linux版
01-30
mysql-5.7.40数据库linux版
SpringSecurity5.7+最新案例 -- 授权 --
热门推荐
mose-x
08-07 3万+
书接上回 SpringSecurity5.7+最新案例 -- 用户名密码+验证码+记住我······ 本文 继续处理SpringSecurity授权 ...... 目前由 难 -> 简,即自定义数据库授权,注解授权,config配置授权
SpringSpring Security 5.7与6.0差异性对比
qq_38658567的博客
08-03 2723
Spring Security 默认处理登录数据的过滤器是,在这个过滤器,系统会通过 request.getParameter(this.passwordParameter) 的方式将用户名和密码读取出来,很明显这就要求前端传递参数的形式是 key-value。首先我们获取请求头,根据请求头的类型来判断请求参数的格式。如果是 JSON 格式的参数,就在 if 进行处理,否则说明是 key-value 形式的参数,那么我们就调用父类的方法进行处理即可。
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
u010152183的专栏
05-06 422
JWT登录认证1 说明2 项目环境Maven依赖如下:配置如下:3 编写项目基础类编写JWT工具类编写暂无权限处理类编写用户未登录处理类编写登录失败处理类编写登录成功处理类编写登出成功处理类4 编写Security核心类编写自定义登录验证类编写自定义PermissionEvaluator注解验证编写SpringSecurity核心配置类编写JWT接口请求校验拦截器6 权限注解和hasPermiss...
SpringBoot Security5.7.7:记录一个简单的项目升级示例
红烧栗子黄瓜鱼的博客
03-16 1015
自定义加密类,蛮记录下,SpringBoot Security5.7.7:记录一个简单的项目升级示例
Spring Security学习笔记
Shawn的个人博客
05-09 1922
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
Spring Security 之多AuthenticationProvider认证模式实现
OceanSky的专栏
08-07 2万+
AuthenticationProvider认证模式实现原理及源码分析可参考:https://github.com/mingyang66/spring-parent/blob/master/spring-security-oauth2-server-redis-service/providermanager.md 多AuthenticationProvider实现ProviderManager...
SpringSecurity5.7从入门到精通全套教程-认证篇使用数据库存储用户
weixin_46040278的博客
05-03 1002
本文章仅供学习参考,有很多地方都是借鉴大佬的文档,如文档有错误地方欢迎指正
Spring Security学习(六)——配置多个Provider(存在两种认证规则)
sadoshi的专栏
02-21 2131
Spring Security学习(五)——账号密码的存取》一文已经能满足一般应用的情况。但实际商业应用也会存在如下的情况:用户提交的账号密码,能在本地的保存的账号密码匹配上,或者能在远端服务认证匹配上,就算认证通过。这种通常类似于单点登录,或者认证心之类的。本文不去探索这种架构,只是单纯讨论如果存在两种认证规则下如何处理。多种认证方式使用Spring Security时有好几种处理方式。根据不同的情况,架构师考虑不同的解决方案。本文先从比较简单的方案说起。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值