SpringSecurity+Oauth+短信登录+第三方登录认证+Session管理

已于 2023-04-25 16:05:57 修改
阅读量1.6k 收藏 8
点赞数 2
分类专栏: Oauth + Shiro+SpringSecurity 文章标签: java
于 2022-02-10 11:56:10 首次发布
原文链接:https://www.cnblogs.com/chiangchou/p/springboot-2.html
版权

目录:

零、前言

在开始本文之前,底层这块已经有了很大的调整,主要是SpringBoot由之前的 1.5.9.RELEASE 升级至 2.1.0.RELEASE 版本,其它依赖的三方包基本也都升级到目前最新版了。

其次是整体架构上也做了调整:

sunny-parent:sunny 项目的顶级父类,sunny-parent 又继承自 spring-boot-starter-parent ,为所有项目统一 spring 及 springboot 版本。同时,管理项目中将用到的大部分的第三方包,统一管理版本号。

sunny-starter:项目中开发的组件以 starter 的方式进行集成,按需引入 starter 即可。sunny-starter 下以 module 的形式组织,便于管理、批量打包部署。

sunny-starter-core:核心包,定义基础的操作类、异常封装、工具类等,集成了 mybatis-mapper、druid 数据源、redis 等。

sunny-starter-captcha:验证码封装。

sunny-cloud:spring-cloud 系列服务,微服务基础框架,本篇文章主要集中在 sunny-cloud-security上,其它的以后再说。

sunny-cloud-security:认证服务和授权服务。

sunny-admin:管理端服务,业务中心。

在这里插入图片描述

一、SpringSecurity 简介

SpringSecurity 是专门针对基于Spring项目的安全框架,充分利用了AOP和Filter来实现安全功能。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。他提供了强大的企业安全服务,如:认证授权机制、Web资源访问控制、业务方法调用访问控制、领域对象访问控制Access Control List(ACL)、单点登录(SSO)等等。

核心功能:认证(你是谁)、授权(你能干什么)、攻击防护(防止伪造身份)。

基本原理:SpringSecurity的核心实质是一个过滤器链,即一组Filter,所有的请求都会经过这些过滤器,然后响应返回。每个过滤器都有特定的职责,可通过配置添加、删除过滤器。过滤器的排序很重要,因为它们之间有依赖关系。有些过滤器也不能删除,如处在过滤器链最后几环的ExceptionTranslationFilter(处理后者抛出的异常),FilterSecurityInterceptor(最后一环,根据配置决定请求能不能访问服务)。

二、标准登录

使用 用户名+密码 的方式来登录,用户名、密码存储在数据库,并且支持密码输入错误三次后开启验证码,通过这样一个过程来熟悉 spring security 的认证流程,掌握 spring security 的原理。
1、基础环境
① 创建 sunny-cloud-security 模块,端口号设置为 8010,在sunny-cloud-security模块引入security支持以及sunny-starter-core:
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

③ 不做任何配置,启动系统,然后访问 localhost:8010/test 时,会自动跳转到SpringSecurity默认的登录页面去进行认证。那这登录的用户名和密码从哪来呢?

在这里插入图片描述

启动项目时,从控制台输出中可以找到生成的 security 密码,从 UserDetailsServiceAutoConfiguration 可以得知,使用的是基于内存的用户管理器,默认的用户名为 user,密码是随机生成的UUID。

在这里插入图片描述

④ 使用 user 和生成的UUID密码登录成功后即可访问 /test 资源,最简单的一个认证就完成了。

在这里插入图片描述

2、自定义登录页面

① 首先开发一个登录页面,由于页面中会使用到一些动态数据,决定使用 thymeleaf 模板引擎,只需在 pom 中引入如下依赖,使用默认配置即可,具体有哪些配置可从 ThymeleafProperties 中了解到。

在这里插入图片描述
② 同时,在 resources 目录下,建 static 和 templates 两个目录,static 目录用于存放静态资源,templates 用于存放 thymeleaf 模板页面,同时配置MVC的静态资源映射。

在这里插入图片描述
③ 开发后台首页、登录页面的跳转地址,/login 接口用于向登录页面传递登录相关的数据,如用户名、是否启用验证码、错误消息等。

package com.lyyzoo.sunny.security.controller;

import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.web.WebAttributes;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.lyyzoo.sunny.captcha.CaptchaImageHelper;
import com.lyyzoo.sunny.core.base.Result;
import com.lyyzoo.sunny.core.message.MessageAccessor;
import com.lyyzoo.sunny.core.userdetails.CustomUserDetails;
import com.lyyzoo.sunny.core.userdetails.DetailsHelper;
import com.lyyzoo.sunny.core.util.Results;
import com.lyyzoo.sunny.security.constant.SecurityConstants;
import com.lyyzoo.sunny.security.domain.entity.User;
import com.lyyzoo.sunny.security.domain.service.ConfigService;
import com.lyyzoo.sunny.security.domain.service.UserService;

/**
 *
 * @author bojiangzhou 2018/03/28
 */
@Controller
public class SecurityController {

    private static final String LOGIN_PAGE = "login";

    private static final String INDEX_PAGE = "index";

    private static final String FIELD_ERROR_MSG = "errorMsg";
    
    private static final String FIELD_ENABLE_CAPTCHA = "enableCaptcha";

    @Autowired
    private CaptchaImageHelper captchaImageHelper;
    
    @Autowired
    private UserService userService;
    
    @Autowired
    private ConfigService configService;

    @RequestMapping("/index")
    public String index() {
        return INDEX_PAGE;
    }

    @GetMapping("/login")
    public String login(HttpSession session, Model model) {
        String errorMsg = (String) session.getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
        String username = (String) session.getAttribute(User.FIELD_USERNAME);
        if (StringUtils.isNotBlank(errorMsg)) {
            model.addAttribute(FIELD_ERROR_MSG, errorMsg);
        }
        if (StringUtils.isNotBlank(username)) {
            model.addAttribute(User.FIELD_USERNAME, username);
            User user = userService.getUserByUsername(username);
            if (user == null) {
                model.addAttribute(FIELD_ERROR_MSG, MessageAccessor.getMessage("login.username-or-password.error"));
            } else {
                //用户名密码正确后这里进行验证码的校验
                if (configService.isEnableCaptcha(user.getPasswordErrorTime())) {
                    model.addAttribute(FIELD_ENABLE_CAPTCHA, true);
                }
            }
        }
        session.removeAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
        return LOGIN_PAGE;
    }
    //请求验证码图片
    @GetMapping("/public/captcha.jpg")
    public void captcha(HttpServletResponse response) {
        captchaImageHelper.generateAndWriteCaptchaImage(response, SecurityConstants.SECURITY_KEY);
    }
     //获取当前用户的信息
    @GetMapping("/user/self")
    @ResponseBody
    public Result test() {
        CustomUserDetails details = DetailsHelper.getUserDetails();
        return Results.successWithData(details);
    }

}

④ 从 spring boot 官方文档可以得知,spring security 的核心配置都在 WebSecurityConfigurerAdapter 里,我们只需继承该适配器覆盖默认配置即可。首先来看看默认的登录页面以及如何配置登录页面。

通过 HttpSecurity 配置安全策略,首先开放了允许匿名访问的地址,除此之外都需要认证,通过 formLogin() 来启用表单登录,并配置了默认的登录页面,以及登录成功后的首页地址。

在这里插入图片描述
默认请求/index后返回index首页面。

启动系统,访问资源跳转到自定义的登录页面了:
在这里插入图片描述

三、用户认证代码实现

① 首先设计并创建系统用户表:
在这里插入图片描述
② CustomUserDetails
自定义 UserDetails,根据自己的需求将一些常用的用户信息封装到 UserDetails 中,便于快速获取用户信息,比如用户ID、昵称等。

package com.lyyzoo.sunny.core.userdetails;

import java.util.Collection;
import java.util.Objects;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;


/**
 * 定制的UserDetail对象
 *
 * @author bojiangzhou 2018/09/02
 */
public class CustomUserDetails extends User {

    private static final long serialVersionUID = -4461471539260584625L;

    private Long userId;

    private String nickname;

    private String language;

    public CustomUserDetails(String username, String password, Long userId, String nickname, String language,
                             Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
        this.userId = userId;
        this.nickname = nickname;
        this.language = language;
    }

    public Long getUserId() {
        return userId;
    }

    public void setUserId(Long userId) {
        this.userId = userId;
    }

    public String getNickname() {
        return nickname;
    }

    public void setNickname(String nickname) {
        this.nickname = nickname;
    }

    public String getLanguage() {
        return language;
    }

    public void setLanguage(String language) {
        this.language = language;
    }

    @Override
    public boolean equals(Object o) {
        if (this == o) {
            return true;
        }
        if (!(o instanceof CustomUserDetails)) {
            return false;
        }
        if (!super.equals(o)) {
            return false;
        }

        CustomUserDetails that = (CustomUserDetails) o;

        if (!Objects.equals(userId, that.userId)) {
            return false;
        }
        return false;
    }

    @Override
    public int hashCode() {
        int result = super.hashCode();
        result = 31 * result + userId.hashCode();
        result = 31 * result + nickname.hashCode();
        result = 31 * result + language.hashCode();
        return result;
    }

}

③ CustomUserDetailsService
自定义 UserDetailsService 来从数据库获取用户信息,并将用户信息封装到 CustomUserDetails

package com.lyyzoo.sunny.security.core;

import java.util.ArrayList;
import java.util.Collection;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
import com.lyyzoo.sunny.core.message.MessageAccessor;
import com.lyyzoo.sunny.core.userdetails.CustomUserDetails;
import com.lyyzoo.sunny.security.domain.entity.User;
import com.lyyzoo.sunny.security.domain.service.UserService;

/**
 * 加载用户信息实现类
 *
 * @author bojiangzhou 2018/03/25
 */
@Component
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.getUserByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException(MessageAccessor.getMessage("login.username-or-password.error"));
        }
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        //调用构造方法封装用户信息
        return new CustomUserDetails(username, user.getPassword(), user.getId(),
                user.getNickname(), user.getLanguage(), authorities);
    }

}

UserServiceImpl:

package com.lyyzoo.sunny.security.domain.service.impl;

import javax.servlet.http.HttpServletRequest;

import com.lyyzoo.sunny.core.exception.CommonException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.social.connect.web.ProviderSignInUtils;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;
import com.lyyzoo.sunny.core.base.BaseService;
import com.lyyzoo.sunny.security.domain.entity.User;
import com.lyyzoo.sunny.security.domain.mapper.UserMapper;
import com.lyyzoo.sunny.security.domain.service.UserService;
import org.springframework.web.context.request.ServletWebRequest;

/**
 *
 * @author bojiangzhou 2018/09/04
 */
@Service
public class UserServiceImpl extends BaseService<User> implements UserService {

    @Autowired
    private UserMapper userMapper;
    @Autowired
    private ProviderSignInUtils providerSignInUtils;
    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public User getUserByUsername(String username) {
        return userMapper.selectByUsername(username);
    }

    @Override
    @Transactional(rollbackFor = Exception.class)
    public void loginFail(Long userId) {
        User user = select(userId);
        user.loginFail();

        update(user);
    }

    @Override
    public void loginSuccess(Long userId) {
        User user = select(userId);
        user.loginSuccess();

        update(user);
    }

    @Override
    public void bindProvider(String username, String password, HttpServletRequest request) {
        // login
        User user = select(User.FIELD_USERNAME, username);
        if (user == null || !passwordEncoder.matches(password, user.getPassword())) {
            throw new CommonException("user.error.login.username-or-password.error");
        }

        providerSignInUtils.doPostSignUp(user.getUserId().toString(), new ServletWebRequest(request));
    }

}

④ CustomWebAuthenticationDetails

自定义 WebAuthenticationDetails 用于封装传入的验证码以及缓存的验证码,用于后续校验。

package com.lyyzoo.sunny.security.core;

import javax.servlet.http.HttpServletRequest;
import com.lyyzoo.sunny.captcha.CaptchaResult;
import org.springframework.security.web.authentication.WebAuthenticationDetails;

/**
 * 封装验证码
 *
 * @author bojiangzhou 2018/09/18
 */
public class CustomWebAuthenticationDetails extends WebAuthenticationDetails {

    public static final String FIELD_CACHE_CAPTCHA = "cacheCaptcha";
   
    private String inputCaptcha;   //输入的验证码
    
    private String cacheCaptcha;   //缓存中的验证码

    public CustomWebAuthenticationDetails(HttpServletRequest request) {
        super(request);
        cacheCaptcha = (String) request.getAttribute(FIELD_CACHE_CAPTCHA);
        inputCaptcha = request.getParameter(CaptchaResult.FIELD_CAPTCHA);
    }

    public String getInputCaptcha() {
        return inputCaptcha;
    }

    public String getCacheCaptcha() {
        return cacheCaptcha;
    }

    @Override
    public boolean equals(Object object) {
        if (this == object) {
            return true;
        }
        if (object == null || getClass() != object.getClass()) {
            return false;
        }
        if (!super.equals(object)) {
            return false;
        }

        CustomWebAuthenticationDetails that = (CustomWebAuthenticationDetails) object;

        return inputCaptcha != null ? inputCaptcha.equals(that.inputCaptcha) : that.inputCaptcha == null;
    }

    @Override
    public int hashCode() {
        int result = super.hashCode();
        result = 31 * result + (inputCaptcha != null ? inputCaptcha.hashCode() : 0);
        return result;
    }
}

⑤ CustomAuthenticationDetailsSource

当然了,还需要一个构造验证码的 AuthenticationDetailsSource

package com.lyyzoo.sunny.security.core;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationDetailsSource;
import org.springframework.security.web.authentication.WebAuthenticationDetails;
import org.springframework.stereotype.Component;
import com.lyyzoo.sunny.captcha.CaptchaImageHelper;
import com.lyyzoo.sunny.security.constant.SecurityConstants;

/**
 * 自定义获取AuthenticationDetails 用于封装传进来的验证码
 *
 * @author bojiangzhou 2018/09/18
 */
@Component
public class CustomAuthenticationDetailsSource implements AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> {

    @Autowired
    private CaptchaImageHelper captchaImageHelper;

    @Override
    public WebAuthenticationDetails buildDetails(HttpServletRequest request) {
        String cacheCaptcha = captchaImageHelper.getCaptcha(request, SecurityConstants.SECURITY_KEY);
        request.setAttribute(CustomWebAuthenticationDetails.FIELD_CACHE_CAPTCHA, cacheCaptcha);
        return new CustomWebAuthenticationDetails(request);
    }

}

package com.lyyzoo.sunny.captcha;

import java.awt.image.BufferedImage;
import java.util.concurrent.TimeUnit;
import javax.imageio.ImageIO;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.google.code.kaptcha.impl.DefaultKaptcha;
import com.lyyzoo.sunny.captcha.autoconfigure.CaptchaProperties;
import com.lyyzoo.sunny.captcha.message.CaptchaMessageSource;
import com.lyyzoo.sunny.core.exception.MessageException;
import com.lyyzoo.sunny.core.redis.RedisHelper;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.util.WebUtils;

/**
 * 图片验证码输出
 *
 * @author bojiangzhou 2018/08/08
 */
public class CaptchaImageHelper {

    private static final Logger LOGGER = LoggerFactory.getLogger(CaptchaImageHelper.class);

    @Autowired
    private DefaultKaptcha captchaProducer;
    @Autowired
    private CaptchaProperties captchaProperties;
    @Autowired
    private RedisHelper redisHelper;


    /**
     * 生成验证码并输出图片到指定输出流,验证码的key为UUID,设置到Cookie中,key和验证码将缓存到Redis中
     *
     * @param response HttpServletResponse
     * @param captchaCachePrefix 缓存验证码的前缀
     */
    public void generateAndWriteCaptchaImage(HttpServletResponse response, String captchaCachePrefix) {
        response.setDateHeader("Expires", 0);
        response.setHeader("Cache-Control", "no-store, no-cache, must-revalidate");
        response.addHeader("Cache-Control", "post-check=0, pre-check=0");
        response.setHeader("Pragma", "no-cache");
        response.setContentType("image/jpeg");
        ServletOutputStream out = null;
        try {
            String captcha = captchaProducer.createText();

            String captchaKey = CaptchaGenerator.generateCaptchaKey();
            Cookie cookie = new Cookie(CaptchaResult.FIELD_CAPTCHA_KEY, captchaKey);
            cookie.setPath(StringUtils.defaultIfEmpty("/", "/"));
            cookie.setMaxAge(-1);
            response.addCookie(cookie);

            // cache
            redisHelper.strSet(captchaCachePrefix + ":captcha:" + captchaKey, captcha, captchaProperties.getImage().getExpire(), TimeUnit.MINUTES);

            // output
            BufferedImage bi = captchaProducer.createImage(captcha);
            out = response.getOutputStream();
            ImageIO.write(bi, "jpg", out);
            out.flush();
        } catch (Exception e) {
            LOGGER.info("create captcha fail: {}", e);
        } finally {
            if (out != null) {
                try {
                    out.close();
                } catch (Exception e) {
                    LOGGER.info("captcha output close fail: {}", e);
                }
            }
        }
    }

    /**
     * 校验验证码
     *
     * @param request HttpServletRequest
     * @param captcha captcha
     * @param captchaCachePrefix captcha cache prefix
     */
    public CaptchaResult checkCaptcha(HttpServletRequest request, String captcha, String captchaCachePrefix) {
        Cookie captchaKeyCookie = WebUtils.getCookie(request, CaptchaResult.FIELD_CAPTCHA_KEY);
        if (captchaKeyCookie == null) {
            throw new MessageException("captcha key not null");
        }
        CaptchaResult captchaResult = new CaptchaResult();
        if (StringUtils.isBlank(captcha)) {
            captchaResult.setSuccess(false);
            captchaResult.setMessage(CaptchaMessageSource.getMessage("captcha.validate.captcha.notnull"));
            return captchaResult;
        }
        String captchaKey = captchaKeyCookie.getValue();
        String cacheCaptcha = redisHelper.strGet(captchaCachePrefix + ":captcha:" + captchaKey);
        redisHelper.delKey(captchaCachePrefix + ":captcha:" + captchaKey);
        if (!StringUtils.equalsIgnoreCase(cacheCaptcha, captcha)) {
            captchaResult.setSuccess(false);
            captchaResult.setMessage(CaptchaMessageSource.getMessage("captcha.validate.captcha.incorrect"));
            return captchaResult;
        }
        captchaResult.setSuccess(true);
        return captchaResult;
    }

    /**
     * 从request cookie 中获取验证码
     *
     * @param request HttpServletRequest
     * @param captchaCachePrefix captcha cache prefix
     */
    public String getCaptcha(HttpServletRequest request, String captchaCachePrefix) {
        Cookie captchaKeyCookie = WebUtils.getCookie(request, CaptchaResult.FIELD_CAPTCHA_KEY);
        if (captchaKeyCookie == null) {
            return null;
        }
        String captchaKey = captchaKeyCookie.getValue();
        String captcha = redisHelper.strGet(captchaCachePrefix + ":captcha:" + captchaKey);
        redisHelper.delKey(captchaCachePrefix + ":captcha:" + captchaKey);
        return captcha;
    }

    /**
     * 获取验证码
     *
     * @param captchaCachePrefix 缓存前缀
     * @param captchaKey 验证码KEY
     * @return 验证码
     */
    public String getCaptcha(String captchaCachePrefix, String captchaKey) {
        String captcha = redisHelper.strGet(captchaCachePrefix + ":captcha:" + captchaKey);
        redisHelper.delKey(captchaCachePrefix + ":captcha:" + captchaKey);
        return captcha;
    }

}

⑥ CustomAuthenticationProvider
自定义认证处理器,主要加入了验证码的检查,如果用户密码输入错误三次以上,则需要验证码。

//验证码工具类

package com.lyyzoo.sunny.security.core;

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;
import com.lyyzoo.sunny.security.domain.entity.User;
import com.lyyzoo.sunny.security.domain.service.ConfigService;
import com.lyyzoo.sunny.security.domain.service.UserService;

/**
 * 自定义认证器
 *
 * @author bojiangzhou 2018/09/09
 */
@Component
public class CustomAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {

    @Autowired
    private UserService userService;
    @Autowired
    private CustomUserDetailsService detailsService;
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Autowired
    private ConfigService configService;


    @Override
    protected UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        // 如有其它逻辑处理,可在此处进行逻辑处理...
        return detailsService.loadUserByUsername(username);
    }

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        String username = userDetails.getUsername();
        User user = userService.getUserByUsername(username);
        // 检查验证码
        if (authentication.getDetails() instanceof CustomWebAuthenticationDetails) {
            if (configService.isEnableCaptcha(user.getPasswordErrorTime())) {
                CustomWebAuthenticationDetails details = (CustomWebAuthenticationDetails) authentication.getDetails();
                String inputCaptcha = details.getInputCaptcha();
                String cacheCaptcha = details.getCacheCaptcha();
                if (StringUtils.isEmpty(inputCaptcha) || !StringUtils.equalsIgnoreCase(inputCaptcha, cacheCaptcha)) {
                    throw new AuthenticationServiceException("login.captcha.error");
                }
                authentication.setDetails(null);
            }
        }

        // 检查密码是否正确
        String password = userDetails.getPassword();
        String rawPassword = authentication.getCredentials().toString();
        boolean match = passwordEncoder.matches(rawPassword, password);
        if (!match) {
            throw new BadCredentialsException("login.username-or-password.error");
        }
    }
}

⑦ CustomAuthenticationSuccessHandler

自定义认证成功处理器,用户认证成功,将密码错误次数置零。

package com.lyyzoo.sunny.security.core;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;
import com.lyyzoo.sunny.security.domain.entity.User;
import com.lyyzoo.sunny.security.domain.service.UserService;

/**
 * 登录认证成功处理器
 *
 * @author bojiangzhou 2018/03/29
 */
@Component
public class CustomAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

    @Autowired
    private UserService userService;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                    Authentication authentication) throws IOException, ServletException {
        String username = request.getParameter("username");
        User user = userService.getUserByUsername(username);
        userService.loginSuccess(user.getId());
        super.onAuthenticationSuccess(request, response, authentication);
    }
}

⑧ CustomAuthenticationFailureHandler

用户认证失败,记录密码错误次数,并重定向到登录页面。

package com.lyyzoo.sunny.security.core;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.DefaultRedirectStrategy;
import org.springframework.security.web.RedirectStrategy;
import org.springframework.security.web.WebAttributes;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.stereotype.Component;
import com.lyyzoo.sunny.core.message.MessageAccessor;
import com.lyyzoo.sunny.security.config.SecurityProperties;
import com.lyyzoo.sunny.security.domain.entity.User;
import com.lyyzoo.sunny.security.domain.service.UserService;

/**
 * 登录失败处理器
 *
 * @author bojiangzhou 2018/03/29
 */
@Component
public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Autowired
    private SecurityProperties securityProperties;
    @Autowired
    private UserService userService;

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                    AuthenticationException exception) throws IOException, ServletException {
        String username = request.getParameter("username");
        //request.getSession(true):若存在会话则返回该会话,否则新建一个会话。
        //request.getSession(false):若存在会话则返回该会话,否则返回NULL
        //当向Session中存取登录信息时,一般建议:HttpSession session =request.getSession();
        //当从Session中获取登录信息时,一般建议:HttpSession session =request.getSession(false);
        HttpSession session = request.getSession(false);
        if (session != null) {
            session.setAttribute("username", username);
            session.setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION,
                            MessageAccessor.getMessage(exception.getMessage(), exception.getMessage()));
        }
        if (exception instanceof BadCredentialsException) {
            User user = userService.getUserByUsername(username);
            userService.loginFail(user.getId());
        }
        redirectStrategy.sendRedirect(request, response, securityProperties.getLoginPage() + "?username=" + username);
    }
}

⑨ 配置

前面的开发完成当然还需做配置,通过 formLogin() 来配置认证成功/失败处理器等。

通过 AuthenticationManagerBuilder 配置自定义的认证器。

SpringSecurity提供了一个 PasswordEncoder 接口用于处理加密解密。该接口有两个方法 encode 和 matches 。encode 对密码加密,matches 判断用户输入的密码和加密的密码(数据库密码)是否匹配。

package com.lyyzoo.sunny.security.config;

import com.lyyzoo.sunny.security.core.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * Security 主配置器
 *
 * @author bojiangzhou
 */
@Configuration
@EnableConfigurationProperties(SecurityProperties.class)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private SecurityProperties properties;
    @Autowired
    private CustomAuthenticationDetailsSource authenticationDetailsSource;
    @Autowired
    private CustomAuthenticationProvider authenticationProvider;
    @Autowired
    private CustomAuthenticationSuccessHandler authenticationSuccessHandler;
    @Autowired
    private CustomAuthenticationFailureHandler authenticationFailureHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/static/**", "/webjars/**", "/public/**", "/login", "/favicon.ico")
            .permitAll() // 允许匿名访问的地址
            .and() // 使用and()方法相当于XML标签的关闭,这样允许我们继续配置父类节点。
            .authorizeRequests()
            .anyRequest()
            .authenticated() // 其它地址都需进行认证
            .and()
            .formLogin() // 启用表单登录
            .loginPage(properties.getLoginPage()) // 登录页面
            .defaultSuccessUrl("/index") // 默认的登录成功后的跳转地址
            .authenticationDetailsSource(authenticationDetailsSource)
            .successHandler(authenticationSuccessHandler)
            .failureHandler(authenticationFailureHandler)
            .and()
            .csrf()
            .disable()
        ;

    }

    /**
     * 设置认证处理器
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider);
        super.configure(auth);
    }

    /**
     * 密码处理器
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

⑩ 登录页面
在这里插入图片描述
实现流程:对静态资源和login方法放行,进入登录首页输入用户密码,会进行用户名密码校验,如果错误则会记录错误次数,当达到三次则会开启验证码验证,会调用生成验证码工具类生成验证码图片,并重新对用户名密码和验证码进行校验,校验成功则返回前端成功的信息并把用户信息和权限带过去,跳到资源首页,失败则返回失败信息,重定向到登录页面。

其他的实现方式参考以下链接:

参考链接

bst@微胖子
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud OAuth2 扩展登陆方式:账户密码登陆、 手机验证码登陆、 二维码扫码登陆
CHIKA2333的博客
08-12 497
自定义过滤器,实现AbstractAuthenticationProcessingFilter,在attemptAuthentication方法中根据不同登陆类型获取对于参数、 并生成自定义的 MyAuthenticationToken。@Override// 登陆类型:user:用户密码登陆;phone:手机验证码登陆;qr:二维码扫码登陆// 手机验证码登陆// 二维码扫码登陆// 账号密码登陆else {
Spring Security 中定义多种登录方式,比如邮箱、手机验证码登录
xxxzzzqqq_的博客
03-21 3423
自定义认证方式总体来说还是很简单的;需要从头重写的也就三个类,然后就是将其配置到Spring Security 中。如果需要再自定义手机号验证码登录,按照上述流程再走一遍就行。其实也是 copy 一份,然后进行小幅度的修改即可。
Spring boot 入门教程-在Spring Security+Oauth2
最新发布
2401_84103216的博客
04-30 331
笔者已经把面试题和答案整理成了面试专题文档uth/"开头请求。笔者已经把面试题和答案整理成了面试专题文档[外链图片转存中…(img-oYzZ0zSC-1714449803826)][外链图片转存中…(img-auIfyMou-1714449803827)][外链图片转存中…(img-y7BZ2FNv-1714449803827)][外链图片转存中…(img-oF2p7QRv-1714449803827)][外链图片转存中…(img-qtAB9DQv-1714449803827)]
Spring Security OAuth2 Provider 之 第三方登录简单演示
05-01
NULL 博文链接:https://rensanning.iteye.com/blog/2386309
Spring Security OAuth2 优雅的集成短信验证码登录以及第三方登录
weixin_34304013的博客
04-13 1971
前言 基于SpringCloud做微服务架构分布式系统时,OAuth2.0作为认证的业内标准,Spring Security OAuth2也提供了全套的解决方案来支持在Spring Cloud/Spring Boot环境下使用OAuth2.0,提供了开箱即用的组件。但是在开发过程中我们会发现由于Spring Security OAuth2...
spring security 浏览器第三方登录
lzf2284466的博客
08-09 1655
spring security 浏览器第三方登录OAuth 协议1、概要简介2、四种授权模式3、spring social基本原理4、使用spring social实现第三方登录5、QQ第三方登录实现 OAuth 协议 1、概要简介 服务器提供商不提供账号密码的情况下,通过发放令牌,让第三方应用可以进行认证、授权并访问资源 (1)采用账号密码登录第三方 弊端 ① 应用可以访问用户在微信上的所有数据 ② 用户只有修改密码,才能收回权限 ③ 密码泄露的可能性大大提高 (2)采用令牌登录OAuth协议) 2
SpringSecurity+OAUTH2集成多种登录方式
无望丶
04-11 3163
Authorization Code(授权码模式):授权码模式, 通过授权码获取token进行资源访问。Implicit(简化模式):用于移动应用程序或 Web 应用程序,这种模式比授权码模式少了code环节,回调url直接附带token。Resource Owner Password Credentials(密码模式):资源所有者和客户端之间具有高度信任时(例如,客户端是设备的操作系统的一部分,或者是一个高度特权应用程序, 比如APP, 自研终端等),因为client可能存储用户密码
[Spring Security] Spring Social开发第三方登录
ShotMoon的博客
06-06 627
社交账号登录在当今互联网应用中使用已经相当广泛,像是国内比较流行的qq账号登录、微信登录等,为用户提供便利的同时,通过OAuth协议认证大大保证了用户数据的安全性。一. OAuth协议认证流程:服务提供商(Provider):社交软件提供(微信)资源所有者(Resource Owner):用户第三方应用(Client):程序员开发的第三方应用认证服务器(Authorization Server):...
spring-boot示例项目
03-25
Spring Boot为Spring平台及第三方库提供开箱即用的设置,这样你就可以有条不紊地开始。多数Spring Boot应用只需要很少的Spring配置。 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Sprin
FCat企业级基础功能框架-其他
06-12
用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。 10、JWT 提供了一种用于发布接入令牌(Access Token),并对发布的签名接入令牌进行验证的方法。 令牌(Token)本身包含了一系列声明,应用程序...
JAVA上百实例源码以及开源项目
01-03
 QQ客户端登录界面,中部有三个JPanel,有一个叫选项卡窗口管理。还可以更新好友列表,响应用户双击的事件,并得到好友的编号,把聊天界面加入到管理类,设置密码保护等。 Java编写的网页版魔方游戏 内容索引:JAVA...
SpringSecurity配置多种登录方式
qq_53318060的博客
10-13 3937
SpringSecurity配置多种登陆方式
Spring Security】实现多种认证方式
hui_ss的博客
12-13 1459
首先针对每一种登录方式,我们可以定义其对应的认证器AuthenticationProvider,以及对应的认证信息Authentication实际场景中这两个一般是配套使用认证器AuthenticationProvider有一个认证方法authenticate(),我们需要实现该认证方法,认证成功之后返回认证信息Authentication。
超简单实现,oauth2 增加短信登录spring security oauth2增加短信认证sms
test1372965955的博客
03-02 1114
重写认证逻辑,通过TokenRequest 拿到手机号等参数->先校验手机号 验证码 手机号关联的用户 是否都正确 ->创建用户对象(用户信息及权限)-> 将用户信息和客户端请求信息作为参数创建 OAuth2Authentication 授权信息返回。2配置文件添加自己的授权类型 tokenGranter(endpoints) 这个方法是将sms自定义认证方式添加。请求头记得添加basic 这个就是客户端id和密码 base64加密的。3. tokenGranter(endpoints) 实现!
Spring Security渐入佳境(四) -- 第三方应用授权登录
分享技术,共同进步!
12-11 1427
单点登录(Single Sign On,简称SSO),它的用途在于,不管多么复杂的应用群,只要在用户权限范围内,那么就可以做到,用户只需要登录一次就可以访问权限范围内的所有应用子系统。对于用户而言,访问多个应用子系统只需要登录一次,同样在需要注销的时候也只需要注销一次。①各应用间的关系:OAuth2.0授权服务端和第三方客户端不属于一个互相信任的应用群(通常都不是同一个公司提供的服务),第三方客户端的用户不属于OAuth2.0授权服务端的官方用户;而单点登录的服务端和接入的客户端都在一个互相信任的应用群(通
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码短信验证码和github三种登录方式)
向心行者
09-15 8288
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
【深入浅出 Spring Security(十二)】使用第三方(Github)授权登录
qq_63691275的博客
06-23 3129
这里的Github授权登录,就是使用OAuth2权限模式中的授权码模式。过程即通过向Github进行授权,授权成功的话会返回一个授权码,后端通过授权码可以去向Github申请Access-Token,通过这个Token,即可读取一些Github的用户资源,观察到获取的用户信息里只有ROLE_USER,即user角色,所以说是获取Github上的用户的一些信息资源。
SpringBoot + Spring Security多种登录方式:账号+微信网页授权登录
Java知音
04-02 5041
一、概述实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号、密码。二、准备工作要实现该功能,首先需要掌握Spring Security框架和微信扫码登录接口相关技术,如果对这两块还不太熟悉,可以参考:1、Springboot + Spring Security实现前后端分离登录认证及权...
springsecurity+oauth2+jwt实现单点登录
12-16
Spring Security 是一个功能强大的身份验证和权限控制框架,OAuth2 是一个授权框架,JWT(JSON Web Token)是一种用于跨域身份验证的开放标准。当它们结合在一起时,可以实现单点登录(SSO)功能。 首先,Spring Security 用于处理用户认证和授权,可以通过用户名密码登录或者其他方式获取访问令牌。然后,OAuth2 提供了标准的授权流程,以确保用户可以安全地获取访问令牌,并且在需要时进行刷新。JWT 则是一种用于在不同系统之间安全传输信息的方式,通常用于在不同系统之间传递身份验证信息。当用户成功登录并获得访问令牌后,可以将访问令牌嵌入在 JWT 中,然后将 JWT 传递给需要进行单点登录的其他系统。 通过这种方式,用户只需要在一个系统中登录成功后,就可以在其他系统中使用同一个访问令牌进行身份验证,从而实现了单点登录的功能。同时,由于使用了标准的 OAuth2 和 JWT,可以确保用户的身份验证与授权是安全可靠的。 总之,通过结合使用 Spring SecurityOAuth2 和 JWT,可以实现单点登录功能,提供更加便捷、安全的用户体验。同时,也可以方便地集成其他系统,实现统一的用户身份验证和授权管理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值