Security详解—自定义认证AuthenticationProvider(4)

已于 2025-02-22 19:10:34 修改
阅读量431 收藏 1
点赞数 1
分类专栏: # Securit授权认证 文章标签: java 开发语言
于 2023-06-18 22:38:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/myli92/article/details/131276931
版权

        对于Security默认使用表单认证,而表单认证则使用的是UsernamePasswordAuthenticationFilter过滤器。这篇文章主要是用于自定义认证。

AuthenticationManager默认使用ProviderManager,而ProviderManager的AuthenticationProvider默认DaoAuthenticationProvider,这篇文章就是重写DaoAuthenticationProvider。

1.Authentication类MyUsernamePasswordAuthenticationToken

        新建一个Authentication类,用于在认证过程中存放认证信息。

public class MyUsernamePasswordAuthenticationToken extends UsernamePasswordAuthenticationToken {

    public MyUsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(principal, credentials, authorities);
    }

}

2.新建过滤器MyFilter

        新建的过滤器继承AbstractAuthenticationProcessingFilter类

public class MyFilter extends AbstractAuthenticationProcessingFilter {

    public MyFilter() {
        super(new AntPathRequestMatcher("/mylogin", "GET"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
        if (!request.getMethod().equals("GET")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = request.getParameter("username");
            username = username != null ? username.trim() : "";
            String password = request.getParameter("password");
            password = password != null ? password : "";
            MyUsernamePasswordAuthenticationToken authRequest = new MyUsernamePasswordAuthenticationToken(username, password, Collections.emptyList());
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

    protected void setDetails(HttpServletRequest request, UsernamePasswordAuthenticationToken authRequest) {
        authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
    }
}

3. UserDetailsService接口实现类的实现 

        主要用户查询用户信息 

@Slf4j
public class MyUserDetailsService implements UserDetailsService {

    Map<String, String> user = new HashMap();
    Map<String, List<String>> userRole = new HashMap<>();

    {
        user.put("ls", "123456");
        user.put("zs", "111111");

        //hasRole 的处理逻辑和 hasAuthority 似乎是一样的,只是hasRole 这
        // 里会自动给传入的字符串前缀(默认是ROLE_ ),
        // 使用 hasAuthority 更具有一致性,不用考虑要不要加 ROLE_ 前缀,
        // 在UserDetailsService类的loadUserByUsername中查询权限,也不需要手动增加。
        // 在SecurityExpressionRoot 类中hasAuthority 和 hasRole
        // 最终都是调用了 hasAnyAuthorityName 方法。
        userRole.put("ls", Arrays.asList("ROLE_admin"));

        userRole.put("zs", Arrays.asList("query"));
    }

    @Autowired
    PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("MyUserDetailsService.loadUserByUsername 开始");
        if (!user.containsKey(username)) {
            throw new UsernameNotFoundException("username is not exists");
        }
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        if (userRole.containsKey(username)) {
            authorities = userRole.get(username).stream().map(row -> new SimpleGrantedAuthority(row))
                    .collect(Collectors.toList());
        }
        return new User(username, passwordEncoder.encode(user.get(username)), authorities);
    }
}

4. 认证核心代码类MyAuthenticationProvider

        MyAuthenticationProvider类主要用于用户的登录认证

@Slf4j
public class MyAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    UserDetailsService myUserDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        //获取输入用户名
        String username = authentication.getName();

        //获取输入明文密码
        String password = (String) authentication.getCredentials();

        //根据用户名查询匹配用户
        User user = (User) myUserDetailsService.loadUserByUsername(username);
        //判断用户账户状态
        if (!user.isEnabled()) {
            throw new DisabledException("该账户已被禁用,请联系管理员");

        } else if (!user.isAccountNonLocked()) {
            throw new LockedException("该账号已被锁定");

        } else if (!user.isAccountNonExpired()) {
            throw new AccountExpiredException("该账号已过期,请联系管理员");

        } else if (!user.isCredentialsNonExpired()) {
            throw new CredentialsExpiredException("该账户的登录凭证已过期,请重新登录");
        }
        //验证密码
        if (!passwordEncoder.matches(password, user.getPassword())) {
            throw new BadCredentialsException("输入密码错误!");
        }
        return new MyUsernamePasswordAuthenticationToken(username, password, user.getAuthorities());
    }

    @Override
    public boolean supports(Class<?> authentication) {
        log.info("supports class:" + authentication.getName());
//        return authentication.equals(MyUsernamePasswordAuthenticationToken.class);
        return true;
    }
}

5. SpringSecurity核心配置

     继承自WebSecurityConfigurerAdapter,作用为开启自定义配置,登录成功处理器、失败处理器等,定义规则什么资源拦截,什么可以直接访问等,即上面进行的操作,都要在这个类配置开启才能生效。     

  •  方式1: 登录方式可以直接使用/mylogin.html界面登录,它可以触发UsernamePasswordAuthenticationFilter过滤器进行认证。
  •  方式2: 使用GET方式调用mylogin接口,触发MyFilter进行认证。
  • 退出登录使用logout接口
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Autowired
    MyAuthenticationProvider myAuthenticationProvider;

    /**
     * formLogin() 默认使用了UsernamePasswordAuthenticationFilter
     * 默认使用了DaoAuthenticationProvider认证逻辑,使用configure可以配置UserDetailsService
     *
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        //忽略hellopost接口
        http.csrf().disable();

        http.authorizeRequests()
                .antMatchers("/index", "/loginalert", "/mylogin").permitAll()
                .antMatchers("/helloadmin").hasRole("admin")
                .antMatchers("/hellouser").hasAuthority("query")
                .anyRequest().authenticated()
                // 方式1: 默认使用页面登录
                .and().formLogin().loginPage("/mylogin.html")
                .usernameParameter("uname").passwordParameter("passwd")
                .permitAll()
                .loginProcessingUrl("/doLogin")
                .failureHandler((request, response, exception) -> {
                    String message = "login fail:" + exception.getMessage();
                    response.setContentType("text/html;charset=utf-8");
                    response.getWriter().write("<script>alert('" + message + "');window.location.href='/mylogin.html'</script>");
                }).successHandler(((request, response, authentication) -> {
                    String message = "login success:" + authentication.getName();
                    response.setContentType("text/html;charset=utf-8");
                    response.getWriter().write("<script>alert('" + message + "');window.location.href='/index'</script>");
                }));

        //权限失败
        http.exceptionHandling().accessDeniedHandler(((request, response, accessDeniedException) -> {
            String message = "access fail:" + accessDeniedException.getMessage();
            response.setContentType("text/html");
            response.getWriter().write("<script>alert('" + message + "');window.location.href='/index'</script>");
        }));


        http.authenticationManager(authenticationManager());
        http.addFilterBefore(myFilter(), UsernamePasswordAuthenticationFilter.class);
    }

//    //MyAuthenticationProvider中使用了UserDetailsService,所以不需要设置
//    @Autowired
//    UserDetailsService myUserDetailsService;
//    @Override
//    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        //auth.userDetailsService(myUserDetailsService);
//    }

    /**
     * 设置UsernamePasswordAuthenticationFilter的setAuthenticationManager
     *
     * @return
     * @throws Exception
     */
    public AuthenticationManager authenticationManager() throws Exception {
        return new ProviderManager(myAuthenticationProvider);
    }

    /**
     * 方式2: 自定义过滤器登录
     *
     * @return
     * @throws Exception
     */
    @Bean
    public MyCustomizeLoginFilter myFilter() throws Exception {
        MyCustomizeLoginFilter filter = new MyCustomizeLoginFilter();
        filter.setAuthenticationManager(authenticationManager());
        filter.setAuthenticationSuccessHandler(((request, response, authentication) -> {
            String message = "myfilter login success:" + authentication.getName();
            response.setContentType("text/html;charset=utf-8");
            response.getWriter().write("<script>alert('" + message + "');window.location.href='/index'</script>");
        }));

        filter.setAuthenticationFailureHandler((request, response, exception) -> {
            String message = "myfilter login fail:" + exception.getMessage();
            response.setContentType("text/html;charset=utf-8");
            response.getWriter().write("<script>alert('" + message + "');window.location.href='/mylogin.html'</script>");
        });
        return filter;
    }

}

 配置类:

@Configuration
public class MyConfig {


    @Bean
    PasswordEncoder bcryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    UserDetailsService myUserDetailsService() {
        return new MyUserDetailsService();
    }

    @Bean
    MyAuthenticationProvider myAuthenticationProvider() {
        return new MyAuthenticationProvider();
    }

}

6.测试验证

  •  方式1: mylogin.html登录触发UsernamePasswordAuthenticationFilter过滤器

74cbddd7df52444bbeda3cf06b42aa0b.png

  • 方式2: mylogin接口,触发MyFilter过滤器

557e9f873fc9456391c6bdc265a24e12.png

Spring Security学习(六)——配置多个Provider(存在两种认证规则)
sadoshi的专栏
02-21 3365
Spring Security学习(五)——账号密码的存取》一文已经能满足一般应用的情况。但实际商业应用也会存在如下的情况:用户提交的账号密码,能在本地的保存的账号密码匹配上,或者能在远端服务认证中匹配上,就算认证通过。这种通常类似于单点登录,或者认证中心之类的。本文不去探索这种架构,只是单纯讨论如果存在两种认证规则下如何处理。多种认证方式使用Spring Security时有好几种处理方式。根据不同的情况,架构师考虑不同的解决方案。本文先从比较简单的方案说起。
学习笔记七-AuthenticationProvider
热门推荐
云智禅师的专栏
12-13 3万+
AuthenticationProvider 认证是由 AuthenticationManager 来管理的,但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider。AuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentication-provid
AuthenticationManager+AuthenticationProvider处理认证
2401_85480529的博客
09-18 1006
在某些情况下,你可能想在控制器中手动调用。
Spring Security是如何实现自定义认证
最新发布
专注于技术分享
02-28 1050
使用浏览器开发者工具或 HTTP 客户端 (如 Postman) 查看 HTTP 请求和响应,以诊断认证问题。Spring Security 允许通过自定义认证机制来处理各种身份验证场景。调整 Spring Security 的日志级别 (例如,设置为。使用 Spring Security 配置类来启用自定义认证。方法中设置断点,逐步调试认证流程。),以获取更详细的输出。这是认证逻辑的核心。
Security(二)认证模块详解认证管理者、认证提供者
攻城狮的博客
02-05 504
AbstractUserDetailsAuthenticationProvider 是 Spring Security 中的一个抽象类,它实现了 AuthenticationProvider 接口。这个类为实现自定义的用户验证逻辑提供了基础。通过继承这个抽象类,你可以自定义如何从数据库或其他存储中加载用户详细信息,并验证这些信息。主要作用:additionalAuthenticationChecks:用来执行额外的认证检查。retrieveUser:用来从用户存储中获取用户详细信息。
6. Spring Security AuthenticationProvider
一个人的人生
11-29 825
AuthenticationProvider 目录 1.1     用户信息从数据库获取 1.1.1    使用jdbc-user-service获取 1.1.2    直接使用JdbcDaoImpl 1.2     PasswordEncoder 1.2.1    使用内置的PasswordEncoder 1.2.2    使用自定义的PasswordEncoder      
《Spring Security3》第六章第二部分翻译(自定义AuthenticationProvider
张卫滨的技术记录
09-18 261
  实现自定义AuthenticationProvider 在很多场景下,你的应用需要跳出Spring Security功能的边界,可能会需要实现自己的AuthenticationProvider。回忆在第二章中AuthenticationProvider的角色,在整个认证过程中,它接受安全实体请求提供的凭证(即Authentication对象或authentication tok...
Spring Boot Security自定义AuthenticationProvider
2201_75600005的博客
07-08 923
在配置器中我们去实例化一个认证管理器AuthenticationManager,这个认证管理器中包含了两个认证器,分别是MobilecodeAuthenticationProvider(手机验证码)、DaoAuthenticationProvider(用户名密码)。下面的只是名字不同改成自己的provider名字即可。
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7831
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
spring boot security 自定义AuthenticationProvider
wgq2020的博客
11-11 280
例如,如果仅支持用户名和密码认证,则返回UsernamePasswordAuthenticationToken.class。Spring Boot Security提供了一种易于扩展的方式来自定义AuthenticationProvider,以便在验证用户时使用自定义逻辑。在authenticate方法中实现自定义的用户认证逻辑。例如,可以从数据库中查询用户信息和密码,然后与用户提供的信息进行比较。这样,就可以使用自定义的逻辑来验证用户并授权他们的访问。
SpringSecurity Oauth2 - 密码模式完成身份认证获取令牌 [自定义UserDetailsService]
你今天真好看呀
09-01 1378
TokenStore是 Spring Security OAuth2 中用于管理 OAuth2 令牌(Access Token 和 Refresh Token)的接口。它的主要作用是定义如何生成、存储、读取和删除令牌。TokenStore的具体实现类决定了令牌的存储方式,例如存储在内存中、数据库中、Redis 中,或以 JWT 的形式进行编码。TokenStore的主要作用:① 生成和存储令牌:当客户端请求令牌时,TokenStore。
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
Spring Security自定义认证登录详解与步骤
本文主要介绍了Spring Security自定义认证登录的全过程,这是一种强大的基于Spring AOP和Servlet过滤器的安全框架,用于管理权限认证。Spring Security提供了四种常见的使用方式,从最简单的无数据库配置到更复杂的...
Spring Security自定义认证集成配置详解
Spring Security的集成和配置是一个复杂的主题,尤其对于初学者来说,理解如何自定义认证过程可以使得应用程序更加安全且符合特定的需求。接下来,我们会详细探讨如何使用Java配置实现Spring Security的基本集成,并...
SpringSecurity6实现自定义认证流程详解
4. 自定义认证提供者(AuthenticationProvider):创建一个认证提供者类,用于在认证流程中使用自定义的Token验证器。 5. 配置JWT认证入口点:在Spring Security配置中指定当认证失败时使用的默认认证入口点。 6. ...
看清spring security 认证流程,自定义认证方式
麻雀的博客
01-30 2117
读懂spring security认证的具体实现,自定义认证方式可支持多种登录模式
​SpringSecurity-7-自定义AuthenticationProvider实现图形验证码
zhoubangbang1的博客
03-26 1585
SpringSecurity-7-自定义AuthenticationProvider实现图形验证码上一章节我们介绍了如何使用过滤器(Filter)实现图形验证,这是属于Servlet层面,比较简单容易理解。那么这次我们介绍SpringSecurity提供的另一种比较高端的实现图形化验证码,这就是AuthenticationProvider自定义认证认证流程 Filter实现图形化验证码我们在SpringSecurity认证流程源码解析中介绍了SpringSecurity认证流程其中介绍了系统的用户信息,
spring security——工作笔记 实现自定义 AuthenticationProvider身份认证-使用不同的用户表订证登录
ourenyou的博客
06-08 1611
创建不同的数据查询入口第一种用户验证第二种用户验证先用一个接口继承再用一个类来实现. . . //通过 phone 获取用户信息,前提手机号码能定位唯一用户 public UserDetails loadUserByPhone(String phone) throws UsernameNotFoundException {//从持久层获取数据 User user = userMapper . getUserInfoByPhone(phone);
Spring Security Authentication Provider
qq_31230529的博客
09-22 916
1. OverviewThis tutorial will show how to set up an Authentication Provider in Spring Security to allow for additional flexibility compared to the standard scenario using a simple UserDetailsService.2.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值