一个帐号,同时多处登陆的问题(apache security)

最新推荐文章于 2024-11-23 17:38:29 发布
原创 最新推荐文章于 2024-11-23 17:38:29 发布 · 505 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#登陆

本文介绍如何使用Spring Security来控制用户的并发会话,防止一个账户在多处同时登录。通过配置ConcurrentSessionFilter及相关的Bean,可以实现限制用户重复登录的功能,即后登录的用户将挤掉先前登录的会话。
找到的相关资料


急答:一个帐号,同时多处登陆的问题(apache security)

http://www.blogjava.net/beyondwcm/archive/2009/05/08/269545.html

定制的Spring Security(Acegi)的并发会话过滤器(ConcurrentSessionFilter)的编码过程


springsecurity扩展自定义会话管理(一)控制用户重复登陆

springsecurity有控制单账号只能在一个地方登陆的功能,后登陆用户将踢掉前登陆用户;或者限制账号重复登陆,一个账号没有退出,另外一个人想用这个账号就登陆不上

主要涉及的类如下(我自己的山寨理解):
HttpSessionEventPublisher 监听session创建和销毁
ConcurrentSessionFilter 每次有http请求时校验,看你当前的session是否是过期的
SessionRegistryImpl 存放session中的信息,并做处理
ConcurrentSessionControllerImpl 用户登入登出的控制
SessionInformation 存储session中信息的model

先实现springsecurity文档上的,限制用户重复登陆,后登陆用户将前登陆用户冲掉 ,只需要在xml中配置如下:
<authentication-manager alias="authenticationManager"
session-controller-ref="currentController" />
<beans:bean id="concurrentSessionFilter" class="org.springframework.security.concurrent.ConcurrentSessionFilter">
<custom-filter position="CONCURRENT_SESSION_FILTER" />
<beans:property name="sessionRegistry" ref="sessionRegistry" />
<!-- 踢出的用户转向的页面-->
<beans:property name="expiredUrl" value="/user/user.action" />
<beans:property name="logoutHandlers">
<beans:list>
<beans:bean class="org.springframework.security.ui.logout.SecurityContextLogoutHandler" />
<beans:bean
class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices">
<beans:property name="key" value="e37f4b31-0c45-11dd-bd0b-0800200c9a66"/>
<beans:property name="userDetailsService" ref="userDetailsService"/>
</beans:bean>
</beans:list>
</beans:property>
</beans:bean>
<beans:bean id="sessionRegistry" class="org.springframework.security.concurrent.SessionRegistryImpl" />
<beans:bean id="currentController"
class="org.springframework.security.concurrent.ConcurrentSessionControllerImpl">
<beans:property name="sessionRegistry" ref="sessionRegistry" />
<!-- true限制不允许第二个用户登录,false第二个登陆用户踢掉前一个登陆用户 -->
<beans:property name="exceptionIfMaximumExceeded" value="false" />
<!-- 等第二种情况是,允许同时多少个用户同时登陆 -->
<beans:property name="maximumSessions" value="2"/>
</beans:bean>

其中web.xml还需要添加:
<!-- 登入和登出时对SessionRegistryImpl进行处理 -->
<listener>
<listener-class>org.springframework.security.ui.session.HttpSessionEventPublisher</listener-class>
</listener>


随着业务的发展,公司部署的网站越来越多,有必要整合多个网站,采用统一的用户验证。目前想到的解决方案,主要有以下几种.
1.sso解决方案,部署独立的用户验证系统,利用cookie的保存登录ticket的基本思路,网上有很多种解决方案,有的过于复杂,需要配置很多东西,有的过于局限,只支持单一的语言。不知道各位有哪些比较好的解决方案,适合项目不是太多,配置不是太烦,支持多中语言,例如java和php等。
2.开放api,oauth验证方式,不仅适合对内项目,而且可以对外验证。感觉好像很好的,而且我们iteye论坛也有ROP等实现方式,自我感觉这种方式比较很不错.
3.统一的验证窗口,所有的登录都提交到统一的登录窗口,由其负责处理。实现最简单,不过,需要同一级域名。
不知,各位大牛们有什么比较好的意见?

个人感觉第一种比较不错,你可以采用单点登录在做到这点,一台服务器只作为验证服务器,随着项目的增多,每个项目的验证都可以使用这台验证服务器做单点登录,这也需要一个相同的登录界面,和第三种方案比较类似,不过需要注意的是,单点登录是可以跨域的(跨根域)
对于你的第三种方案,只要js比较牛的话,应该也是可以的,淘宝的不就是这样做的吗 ?


sso一般有两种实现,基于agent和proxy。

CAS是基于agent的


XMPP 简单研究
springsecurity 登录认证一(ajax)
冬阳
08-19 1365
UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请 求。入门案例的认证工作主要有它负责。 ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和 AuthenticationException 。 FilterSecurityInterceptor:负责权限校验的过滤器。通俗一点就是授权由它负责。(鉴权)
Springboot+vue+redis实现一个账户只能在一处登录
xiaoxiao1927的博客
11-25 2849
Springboot+vue+redis实现一个账户只能在一处登录(类似QQ)
Web 一个帐号多处登录问题
xiesaiqian的专栏
12-12 435
1.      理解JsessionId可以去网上找答案(jsessionId一般就是sessionId) 2.      用户登录之后保存JsessionId到数据库(与当前用户关联) 3.      用户登录先取得数据库里面的jsessionid放入自己的jsessionId 模拟一次请求(例如urlconnection)带入jsessionId找到另一处的session放入标识(找到另
同一账号多处登录问题
aleo的博客
05-07 1921
思路 用户每次登录时生存一个随机字符串保存在服务器和客户端,用户每次访问验证这个字符串,不通过时则要求用户下线, 如果有两个用户先后分别登录同一帐号,则后登录的那位产生的字符串必然会覆盖先登录的那位, 然后先登录的那位访问时字符串验证不通过,则要求其重新登录,实现一个帐号只能同时登录一个地方。 ...
spring security3.0控制个用户账号同时登录和管理员踢出用户(原创)
sinlff的专栏
09-18 1万+
声明一下,这篇文章不是基于acegi  spring security2.0写的,  我发现很文章都是基于老版本写的,  并不适用最新版。 下面跟大家分享一下在spring security3.0里如何正宗的做法达到控制账号请求的经验。   步骤1 下面只贴出关键部分, 为了不影响阅读。   注意: 不需要配置
设置用户帐号只能一个地方登录
weixin_34167819的博客
03-02 161
这个问题有很解决方案:1、Ajax定时请求 + 超时判定,也就是2楼说的,如果没有memcache,可以就用写入txt文本的方式储存,给上超时时间时间点,做判断就可以了。另外在客户端写个简单的js脚本,用setInterval()去定时发送一次在线请求给服务端用于更新超时时间。这种方法用于访问量比较少的地方,如ERP或管理后台等。缺点是如果给一些访问量大的页面,那么无疑是徒增了大量的交互线程占...
Spring Security 3用户登录实现之十一 退出
11-19 342
     Spring Security的退出功能由LogoutFilter过滤器实现,只需要一段简单的配置就可以在项目中实现退出功能,如下示     &lt;logout logout-url="/logout" logout-success-url="/login"/&gt;       1.logout-url表示退出的URL地址   2.logout-success-url表示...
【Spring Security】实现一个简单的用户登录
qq_39093164的博客
09-03 972
环境准备 IntelliJ IDEA Maven 3.2+ JDK 1.8 or later Git上的代码   创建工程   为了支持前端模板,还需要添加thymeleaf的依赖,完整的pom.xml文件如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/X
SpringBoot整合SpringSecurity实现一个简单的认证与授权应用
pan_junbiao的博客
11-23 1271
Spring Security一个功能强大且高度可定制的身份验证和访问控制框架,它是 Spring 项目组中用来提供安全认证服务的框架,能够为基于 Sprin g的企业应用系统提供声明式的安全访问控制解决方案。Spring Security 的前身是 Acegi Security。它是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。Spring Security 采用了 AOP(面向切面编程)思想,并基于 Servlet 过滤器实现。
从零开始java安全权限框架篇(一):spring security配置登录登出的配置
qq_35755863的博客
08-28 1580
目录 一:安全权限框架的选取 二:功能 三:登录登出 四:代码注释 1.将登陆交由Spring security完成 2.前台明文密码加密,与数据库比对 3.关键配置 4.自定义用户异常 5.ajax请求处理陈宫和失败的 6.MD5加密和对象转成json就不用我说了吧 五:记住我功能的原理和实现 1.原理 2.代码 六:验证码功能的实现 七:三次错误密码锁...
Spring Security OAuth2 实现登录互踢下线
公众号-老炮说Java
05-01 4915
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达▊老赵推荐(戳下方标题)阿里大牛程序员的Java问题排查工具单我已经不用 try catch 处理异常了!太烦了Sprin...
SpringSecurity3.1.2控制一个账户同时只能登录一次
aokunsang的博客
09-18 581
网上看了很资料,发现少少都有一些不足(至少我在使用的时候没成功),后来经过探索研究,得到解决方案。   具体SpringSecurity3怎么配置参考SpringSecurity3.1实践,这里只讲如何配置可以控制一个账户同时只能登录一次的配置实现。   网上很配置是这样的,在&lt;http&gt;标签中加入concurrency-control配置,设置max-sessio...
Spring Security 3.0控制一个帐号只允许登录一次的问题
weixin_30788731的博客
01-24 302
Spring Security 3 自定义UserDetails后,控制一个帐号只能登录一次的功能不能起作用,原因出在自定义的UserDetails上: org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy 里面的checkAuthenticationAllowed方法,调...
spring security3.0限制用户重复登录
天码星空
08-08 1152
由于项目框架比较老,近期被安全扫描到“会话固定漏洞”即,同一账号都可以同时登录。网上好方法都不行,只能自己读spring security源码来解决。经过两天的日夜研究终于看到想要的结果,特记录下来供大家参考。 在web.xml中添加监听 <!--一个用户只能在一个主机登录 --> <listener> <listener-class>org.springframework.security.web.session.HttpSessionEventPub
防止同一账号台电脑登录
gjp014的专栏
10-24 1779
1.实现HttpSessionListener 接口对session 进行监听 package com.tms.listener; import com.tms.bean.UserSession; import com.tms.constant.SystemConst; import com.tms.service.system.RedisCacheService; impor...
关于同一账号同时登录的token重复问题
热门推荐
weixin_33694172的博客
06-18 1万+
最近在项目上遇到了一个同一账号终端(或者说用户)同时登录导致的token重复问题。可以在浏览器相应地做一些防止表单重复提交的操作,比如登录按钮点击一次后变成不可点击的状态,等待服务器的响应之后再恢复成点击状态。不过这也并不能解决同一账号终端登录问题。 https://github.com/bluesnail9... 项目中的伪代码...
九、Spring Security 防止用户在多处同时登录一个用户同时只能登录一次)及源码分析
panchang199266的博客
07-12 9275
参见Spring Boot + Spring Security 防止用户在多处同时登录一个用户同时只能登录一次)及源码分析
spring security自定义登录授权过滤器限制同一账号同时在线数量
L_D_W的博客
10-25 2557
摘要:本文主要目的是解决spring security在使用自定义登录授权过滤器时,在protected void configure(final HttpSecurity http)方法中设置maximumSessions属性不生效的问题。本文只是进行了粗略的思路,包含主要的代码片段,并非完整的业务代码,仅供参考。
security实现登录方式 1
eugene03的博客
03-22 1666
​ 1.自定义MyUsernamePasswordFilter/*** 10:30// 自定拦截路由 private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/user/login" , "POST");} else {// 获取登录表单 getUser(request);= null?= null?
需求使用 spring Security 6 + spring Authorization server 1.2.7 搭建一个uaa服务 要求 1 微信扫码登录 2 账号密码登录 3 登录后生成 访问后续 web微服务的 token
最新发布
12-03
<think> 我们正在构建一个基于Spring Security 6和Spring Authorization Server 1.2.7的UAA(用户账户和认证)服务,该服务需要支持两种登录方式:微信扫码登录账号密码登录,并在登录成功后生成用于访问后续Web微服务的令牌。 步骤概述: 1. 搭建基础Spring Boot项目,引入Spring Security、Spring Authorization Server等相关依赖。 2. 配置授权服务器,包括端点的配置、令牌的管理、客户端信息配置等。 3. 实现账号密码登录:使用Spring Security的默认表单登录或自定义表单登录。 4. 扩展微信扫码登录:自定义授权类型(grant type)和相应的认证流程。 5. 将两种登录方式集成到授权服务器,并能够生成标准的OAuth2令牌(如JWT)。 详细步骤: 一、项目搭建与依赖 使用Spring Initializr(start.spring.io)创建一个Spring Boot项目,选择以下依赖: - Spring Web - Spring Security - Spring Authorization Server (注意选择版本1.2.7,因为Spring Boot 3.x默认的Authorization Server版本可能更高,需要手动调整版本号) 在pom.xml中明确指定Spring Authorization Server的版本(1.2.7)和Spring Security的版本(6.x,由于Spring Boot 3.x会管理Spring Security版本,通常只需指定boot版本即可,但需注意兼容性)。 二、配置授权服务器 1. 配置授权服务器端点(AuthorizationServerEndpointsConfigurer): - 配置令牌生成服务(AuthorizationServerTokenServices)和令牌存储(TokenStore),这里可以使用JWT令牌。 - 配置用户详情服务(UserDetailsService)用于账号密码登录的认证。 2. 配置客户端信息(RegisteredClientRepository): - 注册一个个客户端,指定客户端ID、密钥、授权类型(authorization_code, password, refresh_token等)和重定向URI。 注意:Spring Authorization Server 1.2.x的配置方式与旧版本(如0.x)有较大区别,不再使用@EnableAuthorizationServer注解,而是通过配置一个AuthorizationServerConfig的Bean。 三、账号密码登录 账号密码登录可以使用OAuth2的密码模式(password grant)或者通过授权码模式(authorization code)结合表单登录实现。但考虑到安全性和OAuth2的最佳实践,推荐使用授权码模式(authorization code)结合表单登录。 在Spring Security中,我们可以配置一个标准的登录表单,用户通过表单提交用户名和密码,然后由Spring Security的认证管理器进行认证。认证成功后,授权服务器会生成授权码,然后客户端使用授权码交换令牌。 四、扩展微信扫码登录 微信扫码登录需要自定义一个授权类型(grant type),比如我们可以命名为`wechat`。这需要以下步骤: 1. 创建自定义的授权类型(GrantType): - 定义一个新的GrantType,例如`GrantType.WECHAT`,值为"wechat"。 2. 创建自定义的认证令牌(AuthenticationToken): - 创建`WechatAuthenticationToken`,它应该继承自`AbstractAuthenticationToken`,并包含微信登录所需的参数(如临时授权码code)。 3. 创建认证提供者(AuthenticationProvider): - 实现`WxAuthenticationProvider`,用于处理`WechatAuthenticationToken`类型的认证。在该提供者中,使用微信的code调用微信接口获取用户信息(如openid),然后根据openid查询本地用户系统,如果用户存在则认证成功,否则可以注册新用户或返回错误。 4. 将自定义的认证提供者注册到认证管理器(AuthenticationManager)中。 5. 在授权服务器端点配置中注册自定义的授权类型(TokenGranter): - 需要自定义一个`WechatTokenGranter`,它应该继承`AbstractTokenGranter`,并在其中使用自定义的`AuthenticationProvider`。 6. 在客户端配置中允许使用`wechat`授权类型。 五、生成令牌 无论哪种登录方式,认证成功后,授权服务器都会使用`AuthorizationServerTokenServices`生成令牌(通常为JWT)。令牌中会包含用户信息和权限。 六、整合 将上述配置整合到授权服务器配置类中,确保两种登录方式都能正常工作。 代码示例(部分关键点): 1. 自定义微信认证令牌: ```java public class WechatAuthenticationToken extends AbstractAuthenticationToken { private final String code; // 微信临时授权码 private Object principal; // 认证成功后填充用户信息 public WechatAuthenticationToken(String code) { super(null); this.code = code; setAuthenticated(false); } // 其他方法... } ``` 2. 自定义微信认证提供者: ```java @Component public class WechatAuthenticationProvider implements AuthenticationProvider { @Autowired private WxAuthService wxAuthService; // 调用微信接口的服务 @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { WechatAuthenticationToken token = (WechatAuthenticationToken) authentication; String code = token.getCode(); // 调用微信服务获取用户信息(如openid) UserDetails userDetails = wxAuthService.wxAuth(code); // 这里返回UserDetails,如果用户不存在,可以在这里创建用户 // 创建已认证的Token WechatAuthenticationToken authenticatedToken = new WechatAuthenticationToken(userDetails, userDetails.getAuthorities()); authenticatedToken.setDetails(token.getDetails()); return authenticatedToken; } @Override public boolean supports(Class<?> authentication) { return WechatAuthenticationToken.class.isAssignableFrom(authentication); } } ``` 3. 自定义TokenGranter: ```java public class WechatTokenGranter extends AbstractTokenGranter { private static final GrantType WECHAT_GRANT_TYPE = new GrantType("wechat"); private final AuthenticationManager authenticationManager; protected WechatTokenGranter(AuthenticationManager authenticationManager, AuthorizationServerTokenServices tokenServices, ClientRegistrationService clientRegistrationService, OAuth2AuthorizationService authorizationService) { super(tokenServices, clientRegistrationService, authorizationService, WECHAT_GRANT_TYPE); this.authenticationManager = authenticationManager; } @Override protected OAuth2Authentication getOAuth2Authentication(Client client, TokenRequest tokenRequest) { Map<String, String> parameters = tokenRequest.getRequestParameters(); // 从请求参数中获取微信授权码 String code = parameters.get("code"); Authentication userAuth = new WechatAuthenticationToken(code); userAuth = authenticationManager.authenticate(userAuth); OAuth2Authentication authentication = new OAuth2Authentication(tokenRequest.createOAuth2Request(client), userAuth); return authentication; } } ``` 4. 在授权服务器配置中注册自定义TokenGranter: ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig { // ... 其他配置 @Autowired private AuthenticationManager authenticationManager; @Autowired private WechatAuthenticationProvider wechatAuthenticationProvider; @Bean public TokenGranter tokenGranter(AuthorizationServerEndpoints endpoints) { List<TokenGranter> tokenGranters = new ArrayList<>(); tokenGranters.add(new AuthorizationCodeTokenGranter(endpoints.getTokenServices(), endpoints.getAuthorizationCodeServices(), endpoints.getClientDetailsService(), endpoints.getOAuth2RequestFactory())); tokenGranters.add(new RefreshTokenGranter(endpoints.getTokenServices(), endpoints.getClientDetailsService(), endpoints.getOAuth2RequestFactory())); // 添加其他内置的TokenGranter... // 添加自定义的微信TokenGranter tokenGranters.add(new WechatTokenGranter( authenticationManager, endpoints.getTokenServices(), endpoints.getClientDetailsService(), endpoints.getAuthorizationService() )); return new CompositeTokenGranter(tokenGranters); } // 同时需要将自定义的AuthenticationProvider加入AuthenticationManager @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) { auth.authenticationProvider(wechatAuthenticationProvider); // 其他提供者,如DaoAuthenticationProvider用于密码登录 } } ``` 注意:以上代码仅为示例,实际开发中需要根据具体情况进行调整。 七、测试 使用Postman等工具分别测试账号密码登录和微信登录的令牌获取。 注意事项: - 微信登录需要到微信开放平台注册应用,获取appid和appsecret。 - 在自定义的微信认证服务(WxAuthService)中,需要调用微信的接口(如https://api.weixin.qq.com/sns/oauth2/access_token)用code换取access_token和openid。 通过以上步骤,我们可以搭建一个支持微信扫码登录账号密码登录的UAA服务,并为后续的Web微服务提供令牌。 引用说明: - 扩展自定义授权类型参考了引用[1]和[2]的思路。 - 令牌的生成与管理参考了引用[3]。 - 整个授权服务器的搭建可以参考引用[4]中的经验。 [^1]: Spring Security OAuth2 扩展微信授权登录。 [^2]: 定义与微信认证的service接口。 [^3]: createAccessToken()方法。 [^4]: SpringCloud+Spring Security+OAuth2授权登录(三)。 §§相关问题§§ 1. 如何在Spring Authorization Server中配置JWT令牌? 2. 如何自定义OAuth2令牌中的声明(claims)? 3. 微信扫码登录中,如何将微信用户与本地用户系统关联? 4. 如何实现单点登录(SSO)和统一登出? </think>### 使用 Spring Security 6 和 Spring Authorization Server 1.2.7 搭建 UAA 服务 以下是实现支持微信扫码登录 + 账号密码登录的 UAA 服务步骤: --- ### 一、基础环境搭建 **1. Maven 依赖** ```xml <dependencies> <!-- Spring Authorization Server --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-oauth2-authorization-server</artifactId> <version>1.2.7</version> </dependency> <!-- Spring Security 6 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- 微信登录支持 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> </dependency> </dependencies> ``` **2. 授权服务器配置** ```java @Configuration @EnableAuthorizationServer public class AuthServerConfig { @Bean public RegisteredClientRepository registeredClientRepository() { RegisteredClient client = RegisteredClient.withId(UUID.randomUUID().toString()) .clientId("web-client") .clientSecret("{bcrypt}$2a$10$...") // BCrypt 加密 .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE) .authorizationGrantType(AuthorizationGrantType.PASSWORD) .authorizationGrantType(AuthorizationGrantType.CLIENT_CREDENTIALS) .authorizationGrantType(AuthorizationGrantType.REFRESH_TOKEN) .redirectUri("http://localhost:8080/login/oauth2/code/web") .scope("user_info") .build(); return new InMemoryRegisteredClientRepository(client); } @Bean public JWKSource<SecurityContext> jwkSource() { RSAKey rsaKey = generateRsaKey(); JWKSet jwkSet = new JWKSet(rsaKey); return (jwkSelector, securityContext) -> jwkSelector.select(jwkSet); } } ``` --- ### 二、实现微信扫码登录 **1. 自定义微信认证令牌** ```java public class WechatAuthenticationToken extends AbstractAuthenticationToken { private final String code; // 微信临时授权码 public WechatAuthenticationToken(String code) { super(null); this.code = code; super.setAuthenticated(false); } // 实现 getCredentials() 和 getPrincipal() } ``` **2. 微信认证 Provider** ```java @Component public class WechatAuthenticationProvider implements AuthenticationProvider { @Autowired private WxAuthService wxAuthService; @Override public Authentication authenticate(Authentication auth) { WechatAuthenticationToken token = (WechatAuthenticationToken) auth; String code = token.getCode(); // 调用微信API获取用户信息 UserDetails user = wxAuthService.wxAuth(code); return new WechatAuthenticationToken(user, user.getAuthorities()); } @Override public boolean supports(Class<?> authentication) { return WechatAuthenticationToken.class.isAssignableFrom(authentication); } } ``` **3. 微信认证接口服务** ```java @Service public class WxAuthServiceImpl implements WxAuthService { private static final String WX_API = "https://api.weixin.qq.com/sns/oauth2/access_token"; @Override public UserDetails wxAuth(String code) { // 1. 调用微信API获取access_token String response = HttpClientUtils.get(WX_API + "?appid=APPID&secret=SECRET&code=" + code); // 2. 解析微信用户信息 WechatUserInfo userInfo = parseUserInfo(response); // 3. 查询或创建本地用户 return userRepository.findByOpenId(userInfo.getOpenid()) .orElseGet(() -> createUser(userInfo)); } } ``` --- ### 三、整合双登录方式 **1. 安全配置** ```java @Configuration public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeRequests(auth -> auth .antMatchers("/login/wechat").permitAll() .anyRequest().authenticated() ) .formLogin(withDefaults()) // 启用密码登录 .oauth2Login(oauth2 -> oauth2 // 启用OAuth2登录 .loginPage("/login") .authorizationEndpoint(authorization -> authorization .baseUri("/oauth2/authorize") ) ); return http.build(); } @Autowired public void bindAuthenticationProvider(AuthenticationManagerBuilder auth, WechatAuthenticationProvider wechatProvider) { auth.authenticationProvider(wechatProvider); } } ``` **2. 微信登录端点** ```java @RestController @RequestMapping("/login") public class AuthController { @PostMapping("/wechat") public ResponseEntity<?> wechatLogin(@RequestParam String code) { Authentication auth = new WechatAuthenticationToken(code); Authentication result = authenticationManager.authenticate(auth); // 生成OAuth2访问令牌 OAuth2AccessToken token = tokenServices.createAccessToken( new OAuth2Authentication(tokenRequest, result) ); return ResponseEntity.ok(token); } } ``` --- ### 四、令牌生成与验证 1. **令牌生成流程** - 微信登录:用户扫码 → 获取code → 认证 → 生成 `WechatAuthenticationToken` → 转换为 `OAuth2Authentication` → 生成JWT - 密码登录:提交表单 → `DaoAuthenticationProvider` 认证 → 生成 `UsernamePasswordAuthenticationToken` → 转换为 `OAuth2Authentication` → 生成JWT 2. **令牌验证** ```yaml # application.yml spring: security: oauth2: resourceserver: jwt: issuer-uri: http://localhost:9000 ``` --- ### 五、微服务调用验证 客户端在请求头中添加令牌: ```http GET /api/resource HTTP/1.1 Authorization: Bearer eyJhbGciOiJSUzI1NiIsInR5cCIg... ``` --- ### 注意事项 1. **微信开放平台配置** 需注册应用并配置授权回调域名:`http://your-uaa-service/login/wechat` 2. **用户数据同步** 首次微信登录时创建本地用户记录,绑定`openid` 3. **令牌增强** 自定义 `JwtEncoder` 在令牌中添加用户信息: ```java token.claims(claims -> claims .claim("user_id", user.getId()) .claim("avatar", user.getAvatar()) ); ``` 4. **安全加固** - 启用 CSRF 保护 - 配置 HTTPS - 令牌有效期缩短(建议 access_token 2小时) 该方案实现了: - ✅ 标准 OAuth2 授权服务器 - ✅ 微信扫码登录集成 - ✅ 账号密码登录支持 - ✅ JWT 令牌颁发 - ✅ 微服务资源保护 [^1]: Spring Security OAuth2 扩展微信授权登录 [^2]: 微信认证接口定义 [^3]: Spring Authorization Server 令牌生成机制
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值