這篇文章給大家分享的是有關(guān)Spring3 Security如何在標(biāo)準(zhǔn)登錄表單中添加一個額外的字段的內(nèi)容�。小編覺得挺實(shí)用的��,因此分享給大家做個參考�����,一起跟隨小編過來看看吧�。
目前成都創(chuàng)新互聯(lián)已為近1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名����、虛擬主機(jī)、網(wǎng)站托管���、服務(wù)器托管�����、企業(yè)網(wǎng)站設(shè)計(jì)����、二道江網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向��、應(yīng)用為本的策略����,正道將秉承"和諧、參與�、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長��,共同發(fā)展�。
概述
在本文中,我們將通過向標(biāo)準(zhǔn)登錄表單添加額外字段來實(shí)現(xiàn)Spring Security的自定義身份驗(yàn)證方案�����。
我們將重點(diǎn)關(guān)注兩種不同的方法,以展示框架的多功能性以及我們可以使用它的靈活方式�。
我們的第一種方法是一個簡單的解決方案,專注于重用現(xiàn)有的核心Spring Security實(shí)現(xiàn)��。
我們的第二種方法是更加定制的解決方案����,可能更適合高級用例�����。
2. Maven設(shè)置
我們將使用Spring Boot啟動程序來引導(dǎo)我們的項(xiàng)目并引入所有必需的依賴項(xiàng)�。
我們將使用的設(shè)置需要父聲明,Web啟動器和安全啟動器;我們還將包括thymeleaf :
org.springframework.boot
spring-boot-starter-parent
2.0.0.M7
org.springframework.boot
spring-boot-starter-web
org.springframework.boot
spring-boot-starter-security
org.springframework.boot
spring-boot-starter-thymeleaf
org.thymeleaf.extras
thymeleaf-extras-springsecurity4
可以在Maven Central找到最新版本的Spring Boot安全啟動器�。
3.簡單的項(xiàng)目設(shè)置
在我們的第一種方法中,我們將專注于重用Spring Security提供的實(shí)現(xiàn)�����。特別是����,我們將重用DaoAuthenticationProvider和UsernamePasswordToken,因?yàn)樗鼈兪恰伴_箱即用”的�����。
關(guān)鍵組件包括:
?SimpleAuthenticationFilter - UsernamePasswordAuthenticationFilter的擴(kuò)展
?SimpleUserDetailsService - UserDetailsService的實(shí)現(xiàn)
?User - Spring Security提供的User類的擴(kuò)展,它聲明了我們的額外域字段
?SecurityConfig - 我們的Spring Security配置�,它將SimpleAuthenticationFilter插入到過濾器鏈中,聲明安全規(guī)則并連接依賴項(xiàng)
?login.html - 收集用戶名�����,密碼和域的登錄頁面
3.1. 簡單Authentication Filter
在我們的SimpleAuthenticationFilter中�,域和用戶名字段是從請求中提取的。我們連接這些值并使用它們來創(chuàng)建UsernamePasswordAuthenticationToken的實(shí)例��。
然后將令牌傳遞給AuthenticationProvider進(jìn)行身份驗(yàn)證:
public class SimpleAuthenticationFilter
extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(
HttpServletRequest request,
HttpServletResponse response)
throws AuthenticationException {
// ...
UsernamePasswordAuthenticationToken authRequest
= getAuthRequest(request);
setDetails(request, authRequest);
return this.getAuthenticationManager()
.authenticate(authRequest);
}
private UsernamePasswordAuthenticationToken getAuthRequest(
HttpServletRequest request) {
String username = obtainUsername(request);
String password = obtainPassword(request);
String domain = obtainDomain(request);
// ...
String usernameDomain = String.format("%s%s%s", username.trim(),
String.valueOf(Character.LINE_SEPARATOR), domain);
return new UsernamePasswordAuthenticationToken(
usernameDomain, password);
}
// other methods
}3.2.簡單的UserDetails服務(wù)
UserDetailsService定義了一個名為loadUserByUsername的方法�����。我們的實(shí)現(xiàn)提取用戶名和域名����。然后將值傳遞給我們的UserRepository以獲取用戶:
public class SimpleUserDetailsService implements UserDetailsService {
// ...
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
String[] usernameAndDomain = StringUtils.split(
username, String.valueOf(Character.LINE_SEPARATOR));
if (usernameAndDomain == null || usernameAndDomain.length != 2) {
throw new UsernameNotFoundException("Username and domain must be provided");
}
User user = userRepository.findUser(usernameAndDomain[0], usernameAndDomain[1]);
if (user == null) {
throw new UsernameNotFoundException(
String.format("Username not found for domain, username=%s, domain=%s",
usernameAndDomain[0], usernameAndDomain[1]));
}
return user;
}
}3.3. Spring Security配置
我們的設(shè)置與標(biāo)準(zhǔn)的Spring Security配置不同,因?yàn)槲覀冊谀J(rèn)情況下通過調(diào)用addFilterBefore將SimpleAuthenticationFilter插入到過濾器鏈中:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.addFilterBefore(authenticationFilter(),
UsernamePasswordAuthenticationFilter.class)
.authorizeRequests()
.antMatchers("/css/**", "/index").permitAll()
.antMatchers("/user/**").authenticated()
.and()
.formLogin().loginPage("/login")
.and()
.logout()
.logoutUrl("/logout");
}我們可以使用提供的DaoAuthenticationProvider���,因?yàn)槲覀兪褂肧impleUserDetailsService配置它���。回想一下,我們的SimpleUserDetailsService知道如何解析我們的用戶名和域字段�,并返回在驗(yàn)證時使用的相應(yīng)用戶。
public AuthenticationProvider authProvider() {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
provider.setUserDetailsService(userDetailsService);
provider.setPasswordEncoder(passwordEncoder());
return provider;
}由于我們使用的是SimpleAuthenticationFilter�����,因此我們配置自己的AuthenticationFailureHandler以確保正確處理失敗的登錄嘗試:
public SimpleAuthenticationFilter authenticationFilter() throws Exception {
SimpleAuthenticationFilter filter = new SimpleAuthenticationFilter();
filter.setAuthenticationManager(authenticationManagerBean());
filter.setAuthenticationFailureHandler(failureHandler());
return filter;
}3.4.登錄頁面
我們使用的登錄頁面收集我們的SimpleAuthenticationFilter提取的額外的字段:
Please sign in
Example: user / domain / password
Invalid user, password, or domain
Username
Domain
Password
Sign in
Back to home page
當(dāng)我們運(yùn)行應(yīng)用程序并訪問http:// localhost:8081上下文時���,我們會看到一個訪問安全頁面的鏈接。單擊該鏈接將顯示登錄頁面�����。正如所料�,我們看到了額外的域名字段
image
3.5.總結(jié)
在我們的第一個例子中,我們能夠通過“偽造”用戶名字段來重用DaoAuthenticationProvider和UsernamePasswordAuthenticationToken��。
因此����,我們能夠使用最少量的配置和其他代碼添加對額外登錄字段的支持。
4.自定義項(xiàng)目設(shè)置
我們的第二種方法與第一種方法非常相似��,但可能更適合于非平凡用例���。
我們的第二種方法的關(guān)鍵組成部分包括:
?CustomAuthenticationFilter - UsernamePasswordAuthenticationFilter的擴(kuò)展
?CustomUserDetailsService - 聲明loadUserbyUsernameAndDomain方法的自定義接口
?CustomUserDetailsServiceImpl - CustomUserDetailsService的實(shí)現(xiàn)
?CustomUserDetailsAuthenticationProvider - AbstractUserDetailsAuthenticationProvider的擴(kuò)展
?CustomAuthenticationToken - UsernamePasswordAuthenticationToken的擴(kuò)展
?User - Spring Security提供的User類的擴(kuò)展�����,它聲明了我們的額外域字段
?SecurityConfig - 我們的Spring Security配置�,它將CustomAuthenticationFilter插入到過濾器鏈中,聲明安全規(guī)則并連接依賴項(xiàng)
?login.html - 收集用戶名���,密碼和域的登錄頁面
4.1.自定義驗(yàn)證過濾器
在我們的CustomAuthenticationFilter中����,我們從請求中提取用戶名���,密碼和域字段��。這些值用于創(chuàng)建CustomAuthenticationToken的實(shí)例��,該實(shí)例將傳遞給AuthenticationProvider進(jìn)行身份驗(yàn)證:
public class CustomAuthenticationFilter
extends UsernamePasswordAuthenticationFilter {
public static final String SPRING_SECURITY_FORM_DOMAIN_KEY = "domain";
@Override
public Authentication attemptAuthentication(
HttpServletRequest request,
HttpServletResponse response)
throws AuthenticationException {
// ...
CustomAuthenticationToken authRequest = getAuthRequest(request);
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
private CustomAuthenticationToken getAuthRequest(HttpServletRequest request) {
String username = obtainUsername(request);
String password = obtainPassword(request);
String domain = obtainDomain(request);
// ...
return new CustomAuthenticationToken(username, password, domain);
}4.2.自定義UserDetails服務(wù)
我們的CustomUserDetailsService合約定義了一個名為loadUserByUsernameAndDomain的方法�����。
我們創(chuàng)建的CustomUserDetailsServiceImpl類只是實(shí)現(xiàn)并委托我們的CustomUserRepository來獲取用戶:
public UserDetails loadUserByUsernameAndDomain(String username, String domain)
throws UsernameNotFoundException {
if (StringUtils.isAnyBlank(username, domain)) {
throw new UsernameNotFoundException("Username and domain must be provided");
}
User user = userRepository.findUser(username, domain);
if (user == null) {
throw new UsernameNotFoundException(
String.format("Username not found for domain, username=%s, domain=%s",
username, domain));
}
return user;
}4.3.自定義UserDetailsAuthenticationProvider
我們的CustomUserDetailsAuthenticationProvider將AbstractUserDetailsAuthenticationProvider和委托擴(kuò)展到我們的CustomUserDetailService以檢索用戶��。這個類最重要的特性是retrieveUser方法的實(shí)現(xiàn)�����。
請注意����,我們必須將身份驗(yàn)證令牌強(qiáng)制轉(zhuǎn)換為CustomAuthenticationToken才能訪問我們的自定義字段:
@Override
protected UserDetails retrieveUser(String username,
UsernamePasswordAuthenticationToken authentication)
throws AuthenticationException {
CustomAuthenticationToken auth = (CustomAuthenticationToken) authentication;
UserDetails loadedUser;
try {
loadedUser = this.userDetailsService
.loadUserByUsernameAndDomain(auth.getPrincipal()
.toString(), auth.getDomain());
} catch (UsernameNotFoundException notFound) {
if (authentication.getCredentials() != null) {
String presentedPassword = authentication.getCredentials()
.toString();
passwordEncoder.matches(presentedPassword, userNotFoundEncodedPassword);
}
throw notFound;
} catch (Exception repositoryProblem) {
throw new InternalAuthenticationServiceException(
repositoryProblem.getMessage(), repositoryProblem);
}
// ...
return loadedUser;
}4.4.總結(jié)
我們的第二種方法幾乎與我們首先提出的簡單方法相同。通過實(shí)現(xiàn)我們自己的AuthenticationProvider和CustomAuthenticationToken����,我們避免了需要使用自定義解析邏輯來調(diào)整我們的用戶名字段。
5.結(jié)論
在本文中����,我們在Spring Security中實(shí)現(xiàn)了一個使用額外登錄字段的表單登錄��。我們以兩種不同的方式做到了這一點(diǎn)
?在我們簡單的方法中��,我們最小化了我們需要編寫的代碼量���。通過使用自定義解析邏輯調(diào)整用戶名�,我們能夠重用DaoAuthenticationProvider和UsernamePasswordAuthentication
?在我們更加個性化的方法中�,我們通過擴(kuò)展AbstractUserDetailsAuthenticationProvider并使用CustomAuthenticationToken提供我們自己的CustomUserDetailsService來提供自定義字段支持。
與往常一樣�,所有源代碼都可以在GitHub上找到�����。
感謝各位的閱讀�!關(guān)于“Spring3 Security如何在標(biāo)準(zhǔn)登錄表單中添加一個額外的字段”這篇文章就分享到這里了�����,希望以上內(nèi)容可以對大家有一定的幫助�����,讓大家可以學(xué)到更多知識����,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧��!
網(wǎng)站欄目:Spring3Security如何在標(biāo)準(zhǔn)登錄表單中添加一個額外的字段
文章起源:
http://weahome.cn/article/geegjs.html
重慶分公司
重慶分公司
