springsecurity 登录form添加其他字段(基于java配置)

最新推荐文章于 2024-05-14 21:21:39 发布
最新推荐文章于 2024-05-14 21:21:39 发布
阅读量3.7k 收藏 1
点赞数 1
分类专栏: springSecurity

在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。

  注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。

  • 实现自定义的WebAuthenticationDetails

  该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthenticationDetails提供了remoteAddress与sessionId信息。开发者可以通过Authentication的getDetails()获取WebAuthenticationDetails。我们编写自定义类CustomWebAuthenticationDetails继承自WebAuthenticationDetails,添加我们关心的数据(以下是一个token字段)。

复制代码 
package com.cgs.courses.service;

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.web.authentication.WebAuthenticationDetails;

public class CustomWebAuthenticationDetails extends WebAuthenticationDetails {
    /**
     * 
     */
    private static final long serialVersionUID = 6975601077710753878L;
    private final String token;

    public CustomWebAuthenticationDetails(HttpServletRequest request) {
        super(request);
        token = request.getParameter("token");
    }

    public String getToken() {
        return token;
    }

    @Override
    public String toString() {
        StringBuilder sb = new StringBuilder();
        sb.append(super.toString()).append("; Token: ").append(this.getToken());
        return sb.toString();
    }
}
复制代码

 

   注:在登录页面,可将token字段放在form表单中,也可以直接加在url的参数中,进而把额外数据发送给后台。

  • 实现自定义的AuthenticationDetailsSource

  该接口用于在Spring Security登录过程中对用户的登录信息的详细信息进行填充,默认实现是WebAuthenticationDetailsSource,生成上面的默认实现WebAuthenticationDetails。我们编写类实现AuthenticationDetailsSource,用于生成上面自定义的CustomWebAuthenticationDetails。

复制代码 
package com.cgs.courses.service;

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.authentication.AuthenticationDetailsSource;
import org.springframework.security.web.authentication.WebAuthenticationDetails;
import org.springframework.stereotype.Component;

@Component
public class CustomAuthenticationDetailsSource implements AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> {

    @Override
    public WebAuthenticationDetails buildDetails(HttpServletRequest context) {
        return new CustomWebAuthenticationDetails(context);
    }
}
复制代码

 

  • 配置使用自定义的AuthenticationDetailsSource

  只要看这一句.formLogin().authenticationDetailsSource(authenticationDetailsSource)

复制代码 
    @Autowired
    private AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> authenticationDetailsSource;

    protected void configure(HttpSecurity http) throws Exception {
        http
            .headers()
                .cacheControl()
                .contentTypeOptions()
                .httpStrictTransportSecurity()
                .xssProtection()
                .and()
            .authorizeRequests()
                .antMatchers(
                    "/css/**",
                    "/js/**")
                .permitAll()
                .antMatchers("/**")
                .authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .defaultSuccessUrl("/todo.html", true)
                .authenticationDetailsSource(authenticationDetailsSource)
            .and()
                .logout()
                .logoutUrl("/logout")
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .logoutSuccessUrl("/login")
                .and()
            .csrf().disable();
    }
复制代码

 

  • 实现自定义的AuthenticationProvider

  AuthenticationProvider提供登录验证处理逻辑,我们实现该接口编写自己的验证逻辑。

复制代码 
package com.cgs.courses.service;

import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.stereotype.Component;

@Component
public class CustomAuthenticationProvider implements AuthenticationProvider {
    
    @Override
    public Authentication authenticate(Authentication authentication) 
            throws AuthenticationException {
        CustomWebAuthenticationDetails details = (CustomWebAuthenticationDetails) authentication.getDetails();  // 如上面的介绍,这里通过authentication.getDetails()获取详细信息
        // System.out.println(details); details.getRemoteAddress(); details.getSessionId(); details.getToken();
 // 下面是验证逻辑,验证通过则返回UsernamePasswordAuthenticationToken,
 // 否则,可直接抛出错误(AuthenticationException的子类,在登录验证不通过重定向至登录页时可通过session.SPRING_SECURITY_LAST_EXCEPTION.message获取具体错误提示信息)
        if (验证通过) {
            return UsernamePasswordAuthenticationToken(省略参数);
        } else {
            throw new AuthenticationException的子类("你要显示的错误信息")
        }
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }

}
复制代码

 

  • 配置使用自定义的AuthenticationProvider
复制代码 
  @Autowired
    private AuthenticationProvider authenticationProvider; 

  @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider);
    }
踏实_进取
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用Spring Security和创建自定义登录对话框
04-05
本技巧是关于spring安全性以及如何创建自定义JSP页面进行登录的。
Spring Security登录验证中增加额外数据(如验证码)
weixin_34248849的博客
07-13 973
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthe...
爆破专栏丨Spring Security系列教程之基于自定义的认证提供器实现图形验证码_webauthenticationdetailssource
最新发布
2401_84103045的博客
05-14 1016
我在上面给大家介绍过WebAuthenticationDetails这个类,知道该类中可以封装用户的额外信息,所以在这里我们自定义一个WebAuthenticationDetails类,封装验证码信息,并把用户传递过来的验证码与session中保存的验证码进行对比。在上面创建了Producer对象后,接着创建一个生成验证码的接口,该接口中负责生成验证码图片,并将验证码存储到session中。我们还是和之前的案例一样,可以先创建一个新的module,创建过程略。所以这里我们定义一个。
Spring Security在标准登录表单中添加一个额外的字段
08-26
主要介绍了Spring Security在标准登录表单中添加一个额外的字段,我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。 需要的朋友可以参考下
Spring Security 额外登录字段
白石的专栏
12-06 497
在本文中,我们将通过**向标准登录表单添加一个额外字段来使用**[Spring Security](https://projects.spring.io/spring-security/)实现自定义身份验证场景。
附加java参数,Spring Security登录中的附加参数
weixin_33623088的博客
03-02 403
I have managed the login function in my application with Spring Security. I'm doing that with the two default parameters (username and password) and it's work properly.However, I need to add an extra ...
spring-security 多类型用户登录+登录多参数验证
Microblue(严 武)
07-22 9297
如果一个系统分为前台用户和后台用户那么就不能使用spring-security的默认配置了。 需要自己来分开配置两种用户的登录方式。 首先创建spring-disuser-security.xml 与 spring-etuser-security.xml 两个配置文件,分别来配置两种用户登录的权限与验证方式 spring-disuser-security.xml的内容如下 &lt;?xml ...
Spring Security)实战干货二:标准登录表单,除用户名密码外增添其他字段
希克的博客
08-20 586
在很多的登录场景中,用户名和密码不是仅有的用于登录认证授权的字段,会有各类的情况。比如:学校系统登录时需要加选学生或老师身份,多组织系统登录时需要选择组织(域)等等。这篇文章描述用SS实现这类场景登录
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
bean配置spring security(mysql数据库)_spring security例子
09-24
Spring Security中,我们通常在`security-config.xml`或对应的Java配置类中设置安全规则。这包括定义哪些URL需要保护、如何进行身份验证和授权。例如,我们可以使用`http`元素来配置URL过滤器链,并使用`form-...
spring security2配置
04-20
Spring Security 是一个强大的Java安全框架,用于保护基于Spring的应用程序。它提供了全面的身份验证、授权和访问控制功能,使得开发者可以轻松地实现安全控制。在本文中,我们将深入探讨Spring Security 2的配置,...
spring-security-demo-04-bootstrap-登录表单:Ejemplo Spring Security 04登录表单con bootstrap
02-17
在本文中,我们将深入探讨一个基于Spring Security登录表单示例,该示例利用了流行的前端框架Bootstrap。Spring SecurityJava开发中广泛使用的安全框架,它提供了一整套安全控制机制,包括身份验证、授权等,...
Spring Security Oauth2 令牌增加额外信息
Little_fxc的博客
06-14 2432
Spring Security Oauth2 令牌增加额外信息 在实现了 Oauth2 后,我想要在令牌增加中额外信息,那么该怎么做? 下面是我的做法,首先实现 org.springframework.security.oauth2.provider.token.TokenEnhancer 接口: package com.fengxuechao.examples.auth.config; imp...
Spring Security Oauth2 中实现TokenEnhancer向jwt中添加额外信息
竹林幽深
10-15 2080
https://blog.csdn.net/cauchy6317/article/details/85123018 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/cauchy6317/article/details/85123018 在实现了Oauth2后,我们拿到的jwt中的jso...
Springboot整合SpringSecurity 06-登陆扩展之自定义登陆验证逻辑
枫林晚丶的博客
09-13 1830
Springboot整合SpringSecurity 06-登陆扩展之自定义登陆验证逻辑 前面我们使用JDBC来验证登陆其实平常开发已经够用了。 但是有时候会有一些特别的需求: 比如需要远程登陆,并不是我们本地的数据库进行账号密码验证,登陆接口在另一台远程服务器上面。 这个时候JDBC的方式已经不能满足我们了。 本章以远程登陆为例,讲解SpringSecurity如何实现自定义远程登陆验证账号密码...
spring security自定义登录增加为短信验证码校验实战
qq_32918041的博客
07-29 505
辛苦搞了2周终于搞出来了!遇到各种问题百度各中资料,各种尝试终于不辜负啊。 主要功能:用户输入用户名、密码、短信验证码,后台校验用户名、密码和手机验证码后登录成功。 技术栈:使用spring security框架搭建饼继承 (我没有使用xml配置模式看别人有用xml文件配置的,应该是异曲同工吧) 不多废话,正文附源码,疑问可评论。 1.继承WebSecurityConfigureAdapter的类:WebApplicationSecurityConfig 网上这个类的说明一抓一大把我也就是照猫画虎的本事,
SpringSecurityOAuth2采用JWT生成Token的模式自定义JWT数据
程序员劝退师的博客
12-12 1663
本文将结合SpringSecurityOAuth2采用JWT生成Token的模式自定义JWT数据内容,主要重点是在JWT自定义数据,所以不会过多介绍SpringSecurityOAuth2相关东西,详情请看过往文章 1.添加自定义JWT数据模板 /** * @author TAO * @description: 给生成的jwt签名中添加自定义数据 * @date 2020/12/12 0:20 */ @Slf4j public class TokenJwtEnhancer implements To
SpringBoot整合SpringSecurity登录表单添加额外自定义字段
u014295903的博客
05-18 2121
SpringSecurity登录表单添加额外自定义字段一、阐述1.1 重点必看二、实现2.1 拼接实现2.1.1 登录过滤,处理json2.1.2 用户验部分2.2 重写实现2.2.1 继承 UsernamePasswordAuthenticationToken2.2.2 实现 AuthenticationProvider2.2.3 继承 UsernamePasswordAuthenticationFilter三、结果截图 一、阐述 在使用Spring Security框架过程中,经常会在登录验证时,附带增
oauth2 出现 cannot be cast to .security.oauth2.provider.authentication.OAuth2AuthenticationDetails
My52Hz
02-09 2582
一、问题背景 在使用oauth2获取用户登录信息的时候,如果用户未登录,就会出现 org.springframework.security.web.authentication.WebAuthenticationDetails cannot be cast to org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationDetails; 问题如下: 二、原因 问题出现在以下两句代码: Authent
springsecurity中CSRF怎么使用
05-13
Spring Security提供了防止跨站点请求伪造(CSRF)攻击的机制。在Spring Security中使用CSRF可以通过以下步骤实现: 1. 在HTML表单中添加CSRF令牌。 2. 配置Spring Security以启用CSRF保护。 3. 配置CSRF令牌在表单提交时如何发送到服务器。 下面是一个基本的示例: 1. 在HTML表单中添加CSRF令牌 在表单中添加CSRF令牌可以防止攻击者向服务器发送伪造的请求。可以使用Spring Security的标签库来添加CSRF令牌。以下是一个示例: ```html <form method="post" action="/process-form"> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> <!-- 其他表单元素 --> <button type="submit">Submit</button> </form> ``` 在这个例子中,我们使用了隐藏的输入字段来存储CSRF令牌,并使用Spring Security的EL表达式来生成令牌名称和值。 2. 配置Spring Security以启用CSRF保护 要启用Spring Security的CSRF保护,需要配置一个CsrfTokenRepository。以下是一个示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } } ``` 在这个例子中,我们使用了CookieCsrfTokenRepository作为CsrfTokenRepository。这个仓库将生成一个CSRF令牌,并将其存储在一个cookie中,这个cookie会在每个请求中发送回服务器。 3. 配置CSRF令牌在表单提交时如何发送到服务器 当表单被提交时,需要将CSRF令牌发送回服务器。可以使用以下代码片段来从页面中的隐藏字段中提取CSRF令牌,并在表单提交时将其发送回服务器: ```javascript $(function () { var csrfToken = $("meta[name='_csrf']").attr("content"); var csrfHeader = $("meta[name='_csrf_header']").attr("content"); $(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(csrfHeader, csrfToken); }); }); ``` 在这个例子中,我们使用了jQuery来提取页面中的CSRF令牌,并将其作为请求头发送回服务器。 以上是一个基本的Spring Security中使用CSRF的示例。如果需要更高级的配置,可以参考Spring Security的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值