​SpringSecurity-7-自定义AuthenticationProvider实现图形验证码

已于 2022-04-01 00:29:37 修改
阅读量1.6k 收藏 3
点赞数
分类专栏: SpringSecurity 文章标签: java spring boot 后端
于 2022-03-26 20:24:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhoubangbang1/article/details/123762827
版权

SpringSecurity-7-自定义AuthenticationProvider实现图形验证码

上一章节我们介绍了如何使用过滤器(Filter)实现图形验证,这是属于Servlet层面,比较简单容易理解。那么这次我们介绍SpringSecurity提供的另一种比较高端的实现图形化验证码,这就是AuthenticationProvider自定义认证。

认证流程

我们在

图片

其中介绍了系统的用户信息,保存在SpringSecurity的主体(Principal)中。主体中包含了所有经过验证用户的权限,详细信息等内容。在SpringSecurity中将其封装放在Authentication中,代码如下

    public interface Authentication extends Principal, Serializable {
        /**
         * 获取用户权限
         * @return
         */
        Collection<? extends GrantedAuthority> getAuthorities();
        /**
         * 获取用于的凭证,用户密码
         * @return
         */
        Object getCredentials();
        /**
         * 用户的详细信息
         * @return
         */
        Object getDetails();
        /**
         * 用户凭证,一般为用户名
         * @return
         */
        Object getPrincipal();
        /**
         * 用户验证是否成功
         * @return
         */
        boolean isAuthenticated();
        void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
    }

说明:

  • Authentication中包含主体权限列表,主体凭据,主体的详细信息,及是否验证成功等。

  • AuthenticationProvider被SpringSecurity定义为一个验证过程

  • ProviderManager管理多个AuthenticationProvider

UsernamePasswordAuthenticationFilter

我们查看UsernamePasswordAuthenticationFilter类发现设置用户信息的方法setDetails方法

图片

从源码我们可以看出authenticationDetailsSource是由AbstractAuthenticationProcessingFilter提供的AbstractAuthenticationProcessingFilter部分源码如下

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean
      implements ApplicationEventPublisherAware, MessageSourceAware {

   protected ApplicationEventPublisher eventPublisher;

   protected AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource = new WebAuthenticationDetailsSource();
     ...
   }

WebAuthenticationDetailsSource

在UsernamePasswordAuthenticationFilter中使用的AuthenticationDetailsSource是一个标准的Web认证 源,携带的是用户的sessionId和IP地址。源码如图所示

图片

自定义WebAuthenticationDetails

有了HttpServletRequest之后,一切都将变得非常顺畅。基于图形验证码的场景,我们可以继承 WebAuthenticationDetails,并扩展需要的信息。因此我们可以自定义WebAuthenticationDetails存储额外信息。

/**
 *自定义WebAuthenticationDetails存储额外的图形验证信息
 */
public class ImageCodeWebAuthenticationDetails extends WebAuthenticationDetails {
    /**
     * 图形信息是否验证成功
     */
    private boolean imageCodeIsRight;

    public boolean getImageCodeIsRight(){
        return imageCodeIsRight;
    }
    public ImageCodeWebAuthenticationDetails(HttpServletRequest request) {
        super(request);
        // 先获取seesion中的验证码
        HttpSession session = request.getSession();
        String sessionCode = (String) session.getAttribute(CaptchaController.SESSION_KEY);
        // 获取用户输入的验证码
        String inpuCode = request.getParameter("code");
        if(!StringUtils.isEmpty(inpuCode)){
            //清除验证码,不论验证成功还是失败,都需要清除验证码,并且在验证失败的时候需要刷新验证码
            session.removeAttribute("code");
            if(!StringUtils.isEmpty(sessionCode)&& inpuCode.equalsIgnoreCase(sessionCode) ){
                this.imageCodeIsRight=true;
            }
        }

    }
}

自定义的AuthenticationDetailsSource。

@Component("imageCodeWebAuthenticationDetailsSource")
public class ImageCodeWebAuthenticationDetailsSource implements AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> {
    @Override
    public ImageCodeWebAuthenticationDetails buildDetails(HttpServletRequest context) {
        return new ImageCodeWebAuthenticationDetails(context);
    }
}

自定义AuthenticationProvider。

@Component("imageCodeAuthenticationProvider")
public class ImageCodeAuthenticationProvider extends DaoAuthenticationProvider {

    public ImageCodeAuthenticationProvider(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder) {
        this.setUserDetailsService(userDetailsService);
        this.setPasswordEncoder(passwordEncoder);

    }

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        //获取详细信息
        ImageCodeWebAuthenticationDetails  details = (ImageCodeWebAuthenticationDetails)authentication.getDetails();
        //如果验证码不正确,抛出异常
        if(!details.getImageCodeIsRight()){
            throw new ValidateCodeException("验证码输入错误");
        }
        super.additionalAuthenticationChecks(userDetails, authentication);
    }

}

修改配置类

想要应用自定义的 AuthenticationProvider 和 AuthenticationDetailsSource,还需在LearnSrpingSecurity中完成剩余的配置。

/**
 * 安全配置类
 */
@EnableWebSecurity
public class LearnSrpingSecurity extends WebSecurityConfigurerAdapter {

    @Autowired
    @Qualifier("imageCodeWebAuthenticationDetailsSource")
    private AuthenticationDetailsSource<HttpServletRequest,WebAuthenticationDetails> imageCodeWebAuthenticationDetailsSource;

    @Autowired
    @Qualifier("imageCodeAuthenticationProvider")
    private AuthenticationProvider imageCodeAuthenticationProvider;
    /**
     * 认证管理器
     * 1.认证信息提供方式(用户名、密码、当前用户的资源权限)
     * 2.可采用内存存储方式,也可能采用数据库方式等
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //super.configure(auth);
        auth.authenticationProvider(imageCodeAuthenticationProvider);
    }
    /**
     * 资源权限配置(过滤器链):
     * 1、被拦截的资源
     * 2、资源所对应的角色权限
     * 3、定义认证方式:httpBasic 、httpForm
     * 4、定制登录页面、登录请求地址、错误处理方式
     * 5、自定义 spring security 过滤器
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.csrf().disable() //禁用跨站csrf攻击防御,后面的章节会专门讲解
                .formLogin()
                .authenticationDetailsSource(imageCodeWebAuthenticationDetailsSource)
                .loginPage("/login/page")//一旦用户的请求没有权限就跳转到这个页面
                .loginProcessingUrl("/login/form")//登录表单form中action的地址,也就是处理认证请求的路径
                .usernameParameter("username")///登录表单form中用户名输入框input的name名,不修改的话默认是username
                .passwordParameter("password")//form中密码输入框input的name名,不修改的话默认是password
                //.defaultSuccessUrl("/syslog")//登录认证成功后默认转跳的路径
                //.failureHandler(failureHandler)
                .and()
                .authorizeRequests()
                .antMatchers("/login/page","/code/image").permitAll()//不需要通过登录验证就可以被访问的资源路径
                .anyRequest().authenticated();
    }
}

主要修改如图

图片

测试

我们使用浏览器浏览http://localhost:8888,输入错误的验证码,结果为

图片

如果您觉得本文不错,欢迎关注,点赞,收藏支持,您的关注是我坚持的动力!
原创不易,转载请注明出处,感谢支持!如果本文对您有用,欢迎转发分享!

Spring Security 实现图形验证码
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 250
Spring Security中,实现验证码校验的方式有很多种,最简单的方式就是自定义一个专门处理验证码逻辑的过滤器,将其添加到Spring Security过滤器链的合适位置。当匹配到登录请求时,立刻对验证码进行校验,成功则放行,失败则提前结束整个验证请求。说到Spring Security的过滤器,我们先回顾一下前面使用过的配置。//@EnableWebSecurity:开启SpringSecurity 之后会默认注册大量的过滤器servlet filter。
Spring Security系列】Spring Security使用自定义认证实现图形验证码
qq_28248897的博客
06-30 570
前面使用过滤器的方式实现了带图形验证码的验证功能,属于Servlet层面,简单、易理解。其实,Spring Security还提供了一种更优雅的实现图形验证码的方式,即自定义认证。 1.认识AuthenticationProvider 在学习Spring Security自定义认证之前,有必要了解Spring Security是如何灵活集成多种认证技术的。 我们所面对的系统中的用户,在Spring Security中被称为主体(principal)。主体包含了所有能够经过验证而获得系统访问权限的
【9】Spring Boot 3 集成组件 : 基于spring security的认证权限开发【认证】
寓教于乐。教己助人
12-07 1411
:book: 本文核心知识点: - [x] 认证和权限流程 - [x] 认证和权限控制说明 - [x] 认证流程在spring security中的相关理论知识 - [x] JWT认证 - [x] 用户名认证 - [x] session认证 - [x] 认证流程Sepring Security配置
学习笔记七-AuthenticationProvider
热门推荐
云智禅师的专栏
12-13 3万+
AuthenticationProvider 认证是由 AuthenticationManager 来管理的,但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider。AuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentication-provid
spring security核心 AuthenticationManager providerManager AuthenticationProvider介绍
LCY133的博客
04-02 1417
认证入口,协调认证流程。:管理多个。
Spring Boot Security自定义AuthenticationProvider
2201_75600005的博客
07-08 969
在配置器中我们去实例化一个认证管理器AuthenticationManager,这个认证管理器中包含了两个认证器,分别是MobilecodeAuthenticationProvider(手机验证码)、DaoAuthenticationProvider(用户名密码)。下面的只是名字不同改成自己的provider名字即可。
Spring Security 3.1 自定义 authentication provider
xyzroundo的专栏
07-26 1399
来源:http://www.xeclipse.com/?p=1359 前言 在使用Spring Security的时候,遇到一个比较特殊的情况,需要根据用户名、邮箱等多个条件去验证用户或者使用第三方的验证服务来进行用户名和密码的判断,这样SS(Spring Security,一下简称SS)内置的authentication provider和user detail se
SpringSecurity自定义AuthenticationProvider和AuthenticationFilter
weixin_34248849的博客
02-19 1271
AuthenticationProvider 默认实现:DaoAuthenticationProvider 授权方式提供者,判断授权有效性,用户有效性,在判断用户是否有效性,它依赖于UserDetailsService实例,开发人员可以自定义UserDetailsService的实现。 additionalAuthenticationChecks方法校验密码有效性 retrieveUser方...
Spring Security——实现自定义的认证提供者
程序员阿皓的博客
05-03 350
首先,创建一个类来实现接口,并覆盖 authenticate() 和 supports() 方法来定义自定义的认证逻辑。@Component@Autowired@Override// 自定义认证逻辑,例如调用UserService来验证用户信息if (user!= null) {// 如果认证成功,返回一个包含用户信息和权限的Authentication对象} else {@Override。
Spring Security实现验证码登录功能
08-25
Spring Security验证码登录功能是基于Java图形验证码技术实现的。该技术生成一个随机的验证码图片,用户需要输入正确的验证码以完成登录。这样可以防止自动化程序的攻击和恶意攻击。 知识点二:生成验证码...
Spring Security06 - 过滤器实现
最新发布
qq_43350524的博客
04-03 922
Spring Security06 - 过滤器实现
爆破专栏丨Spring Security系列教程之基于自定义的认证提供器实现图形验证码
关注我!带你一路 "狂飙" 到底!
10-15 392
???????????? 别忘了扫码领资料哦【高清Java学习路线图】 和【全套学习视频及配套资料】 前言 在上一个章节中,一一哥带大家实现了如何在Spring Security中添加执行自定义的过滤器,进而实现验证码校验功能。这种实现方式,只是实现验证码功能的方式之一,接下来我们再学习另一种实现方式,就是利用AuthenticationProvider实现验证码功能,通过这个案例,我们学习如何进行自定义AuthenticationProvider。 一. 认证提供器简介 在上一章节中
6. Spring Security AuthenticationProvider
一个人的人生
11-29 837
AuthenticationProvider 目录 1.1     用户信息从数据库获取 1.1.1    使用jdbc-user-service获取 1.1.2    直接使用JdbcDaoImpl 1.2     PasswordEncoder 1.2.1    使用内置的PasswordEncoder 1.2.2    使用自定义的PasswordEncoder      
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7864
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
Spring Security3》第六章第二部分翻译(自定义AuthenticationProvider
张卫滨的技术记录
09-18 270
  实现自定义AuthenticationProvider 在很多场景下,你的应用需要跳出Spring Security功能的边界,可能会需要实现自己的AuthenticationProvider。回忆在第二章中AuthenticationProvider的角色,在整个认证过程中,它接受安全实体请求提供的凭证(即Authentication对象或authentication tok...
Grails自定义AuthenticationProvider
03-29 234
为了加强我们新Grails应用程序中的安全性,我着手实现Spring Security Plugin 。 使用标准的用户名/密码进行安装和运行很简单,因为所有这些都由插件自动连接。 这解决了我一半的问题,但是我们还需要支持SAML身份验证,并且没有明确的示例来说明如何实现。 如果有人有类似的要求,我想分享一下我的作品。 我将不专注于SAML细节,而是关注如何在grails中构建任何自定义...
Security详解—自定义认证AuthenticationProvider(4)
myli92的博客
06-18 514
MyAuthenticationProvider类主要用于用户的登录认证@Slf4j@Autowired@Autowired@Override//获取输入用户名//获取输入明文密码//根据用户名查询匹配用户//判断用户账户状态if (!throw new DisabledException("该账户已被禁用,请联系管理员");throw new LockedException("该账号已被锁定");
Spring Security(七)-- AuthenticationProvider
学习不止境的博客
10-19 6902
Spring Security中的AuthenticationProvider负责身份验证逻辑。AuthenticationProvider接口的默认实现会将查找系统用户的职责委托给UserDetailsService。它还使用PasswordEncoder在身份验证过程中进行密码管理。}AuthenticationProvider的职责是与Authentication接口紧密耦合一起的。authenticate()方法会。
Spring Security 3与JCaptcha整合实现验证码验证
标题和描述中提到的“springsecurity3和JCaptcha的整合 验证码”,意味着我们将要讨论的是如何在Spring Security 3框架下整合JCaptcha组件,以便在Web应用程序中添加图形验证码功能,提高安全性。Spring Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值