2. 程式人生 > >spring security4自定義登陸加驗證碼配置

spring security4自定義登陸加驗證碼配置

阿新 發佈:2019-01-09

最近做的專案中使用了spring security來管理許可權,由於之前沒有接觸過所以在網上找了半天資料研究,打算記錄下來。
security的版本使用的是4.2,相信網上很多文章都已經說明了3.x和4.x的區別,這裡就不再說明了,下面說下準備工作。

相關jar包,pom下載:

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-ldap</artifactId>
    <version
 
>4.2.2.RELEASE</version>
</dependency>

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>4.2.2.RELEASE</version>
</dependency>

<dependency>
    <groupId>
 
org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>4.2.2.RELEASE</version>
</dependency>

說明一下本專案中使用的使用者是從公司的ldap獲取的所以還加入了spring-security-ldap包

配置:

接下來的就是security的配置了。關於配置可以分為”名稱空間“方式和”java config“的方式。

本文所使用的是名稱空間的配置方式

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:s="http://www.springframework.org/schema/security" 
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/security
                        http://www.springframework.org/schema/security/spring-security-4.2.xsd
                        http://www.springframework.org/schema/beans
                        http://www.springframework.org/schema/beans/spring-beans-4.2.xsd">


    <!-- 過濾的資源-->
    <!-- tip:如果將security="none"則這些路徑的資源將不在security的管控範圍之內 -->
    <s:http pattern="/images/**" security="none" />
    <s:http pattern="/js/**" security="none" />
    <s:http pattern="/css/**" security="none" />
    <!-- use-expressions表示是否使用表示式,auto-config設為true表示使用表單 -->
    <s:http use-expressions="true" auto-config='true'>
        <!-- access用來設定許可權如果設定為"ROLE_ANONYMOUS"表示可以匿名訪問也就是不用登陸可以訪問,但是屬於security的監控範圍內 -->
        <s:intercept-url pattern="/loginPage" access="hasRole('ROLE_ANONYMOUS')" />
        <s:intercept-url pattern="/**"
            access="hasAnyRole('ROLE_OPER','ROLE_ADMIN')" />
            <!-- form-login用來配置登陸的一些屬性(security預設會提供一個get的登入頁"/login"如果不想使用預設的登入頁也可以自定義配置如下使用了自定義的登入頁)-->
        <s:form-login login-page="/loginPage" 
                        username-parameter="username"
                        password-parameter="password" 
                        default-target-url='/homepage/index'
                        always-use-default-target='true' />
        <s:csrf disabled="false" />
        <s:logout logout-url="/logout" logout-success-url="/login" />
        <!-- 在FORM_LOGIN_FILTER之前插入一個自定義過濾器 -->
        <s:custom-filter before="FORM_LOGIN_FILTER" ref="myFilter" /> 
    </s:http>

    <!-- 自定義filter處理登陸的驗證及額外處理 -->
    <beans:bean id="myFilter" class="com.onstar.bdif.common.filters.MySpecialAuthenticationFilter">
        <property name="authenticationManager" ref="authenticationManager" />
        <!--呼叫登入認證成功後的處理 -->
        <property name="authenticationSuccessHandler" ref="successHandler" />
        <!--呼叫登入失敗後的處理配置 -->
        <property name="authenticationFailureHandler" ref="simpleUrlAuthenticationFailureHandler" />
    </beans:bean>
    <!--登入認證成功後的處理-->
    <bean id="successHandler" class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
        <property name="defaultTargetUrl" value="/homepage/index" />
    </bean>
    <!--登入失敗後的處理配置-->
    <bean id="simpleUrlAuthenticationFailureHandler"
     class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
        <property name="defaultFailureUrl" value="/loginPage" />
    </bean>

    <!-- ldap使用者認證 -->
    <!-- security在登陸認證完成之後預設會清除密碼資訊,如果設定erase-credentials=false則會保留密碼資訊,方便後續使用 -->
    <s:authentication-manager id="authenticationManager" erase-credentials="false">
        <!-- ldap的配置使用者資訊配置 -->
        <s:ldap-authentication-provider
            user-details-class="inetOrgPerson" group-search-filter="uniqueMember={0}"
            role-prefix="xx" group-search-base="ou=xx"
            user-dn-pattern="uid={0},ou=user,ou=xx" server-ref="ldapContextSource" />
    </s:authentication-manager>
    <!-- ldap地址 -->
    <s:ldap-server id="ldapContextSource"
        url="ldap://xx.xx.xx.xx:xx/ou=xx,ou=xx,o=xx.com" />
</beans>

由於在專案中使用了驗證碼的功能,並且在前端的登陸頁面還加入了密碼加密的一個方法,所以如上插入了一個自定義的filter來驗證驗證碼和還原未加密的密碼以供ldap驗證

//繼承了UsernamePasswordAuthenticationFilter
public class MySpecialAuthenticationFilter extends UsernamePasswordAuthenticationFilter {


    private Logger logger = LogManager.getLogger(MySpecialAuthenticationFilter.class);

    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "bdifacun";
    public static final String SPRING_SECURITY_FORM_BDIFACPWD_KEY = "bdifacpwd";
    private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
    private String bdifacpwdParameter = SPRING_SECURITY_FORM_BDIFACPWD_KEY;
    private boolean postOnly = true;

    //重寫原有的驗證方法
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }

        HttpSession session = request.getSession();
        String username = obtainUsername(request);
        String bdifacpwd = obtainPassword(request);
        // 驗證碼
        String inputValidateCode = request.getParameter("inputValidateCode");
        // 判斷使用者名稱登入密碼是否為空
        if (StringUtils.isEmpty(username) || StringUtils.isEmpty(bdifacpwd)) {
            session.setAttribute("errorMsg", "請輸入使用者名稱或者密碼!");
            throw new AuthenticationServiceException("username or bdifacpwd is not null!"); 
        }else {
            bdifacpwd = AesUtil.aesDecrypt(bdifacpwd, OnstarConstans.AES_LOGIN_KEY);
        }
        // 從session中獲得驗證碼,與使用者輸入的驗證碼做比較
        String sessionCaptcha = (String) session.getAttribute("validateCode");
        if (StringUtils.isEmpty(inputValidateCode) || StringUtils.isEmpty(sessionCaptcha)) {
            session.setAttribute("errorMsg", "驗證碼為空!");
            throw new AuthenticationServiceException("the session validate is not null!");
        }
        // 清空Sesion裡的驗證碼
        session.removeAttribute("validateCode");
        // 驗證碼輸入校驗
        if (!sessionCaptcha.equalsIgnoreCase(inputValidateCode)) {
            session.setAttribute("errorMsg", "驗證碼輸入錯誤!");
            throw new AuthenticationServiceException("the validate is error!");
        }
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, bdifacpwd);
        setDetails(request, authRequest);
        Authentication authen = null;
        // 執行ldap的登入驗證
        try {
            authen = this.getAuthenticationManager().authenticate(authRequest);
        } catch (AuthenticationException failed) {
            session.setAttribute("errorMsg", "使用者名稱或密碼錯誤!");
            throw new AuthenticationServiceException("the validate is error!");
        }
        session.setAttribute("managerSession", username);
        return authen;
    }

    protected String obtainPassword(HttpServletRequest request) {
        return request.getParameter(bdifacpwdParameter);
    }

    protected String obtainUsername(HttpServletRequest request) {
        return request.getParameter(usernameParameter);
    }

    protected void setDetails(HttpServletRequest request, UsernamePasswordAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }
}

以上則可以完成security登陸加驗證碼及前端自定義密碼加密驗證的過程,文章寫的比較簡潔哈哈,記錄下來以便日後翻閱。

相關推薦

spring security4定義登陸驗證配置

最近做的專案中使用了spring security來管理許可權,由於之前沒有接觸過所以在網上找了半天資料研究,打算記錄下來。 security的版本使用的是4.2,相信網上很多文章都已經說明了3.x和4.x的區別,這裡就不再說明了,下面說下準備工作。 相關j

定義隨機產生驗證

package com.duanlian.verificationcodedemo; import java.util.Random; import android.graphics.Bitmap; import android.graphics.Canvas; import android.graphi

定義View之驗證控制元件

先上圖鎮貼 最近專案中有需要驗證碼,不過Android端的驗證碼一般都是手機簡訊,點選獲取驗證碼,將請求向後臺以及向簡訊驗證碼平臺傳送。簡訊平臺將驗證碼傳送到前端及後臺,讓前端輸入驗證碼和後臺進行比較。驗證碼的存在就是提高安全性,即使拿到賬戶和密碼,也無法登陸。因為驗證碼是隨機性的,唯

藉助Spring定義註解完成多資料來源配置

前一段時間研究了一下spring多資料來源的配置和使用,為了後期從多個數據源拉取資料定時進行資料分析和報表統計做準備。由於之前做過的專案都是單資料來源的,沒有遇到這種場景,所以也一直沒有去了解過如何配置多資料來源。 後來發現其實基於spring來配置和使用多資

cas+shiro+springboot+pac4j 定義登陸介面以及驗證

首先 我把主要參考的文章貼出來: https://blog.csdn.net/weixin_39819191/article/details/80361301 https://blog.csdn.net/u010588262/article/category/7548325  

織夢dedecms給定義表單驗證的開發方法

前言 我們在開發織夢模板時,有時會用自定義表單來收集一些留言內容。但是加了自定義表單又有被機器人注入大量垃圾資訊的風險。為了避免這個風險,我們可以給表單加一個驗證碼。可以有效攔截垃圾資訊的注入。 開發方法 1、開啟 /plus/diy.php 檔案。找到: $fieldar

【轉】PHPCMS v9 定義表單添驗證驗證

pri phpcms v9 site per fig pcm amp session mes 1、 在 \phpcms\templates\default\formguide\show.html 中添加驗證碼顯示 <input type="text" id

CAS4.0.3服務的搭建實戰二【定義登陸介面、登陸驗證、返回使用者資訊】

一切技術框架都會有一個使用者自定義的入口檔案,cas中自定義配置檔案在deployerConfigContext.xml中。 一、自定義登陸驗證 Tips:本專案使用mysql資料庫,因此已經在pom中匯入mysql的驅動。 開啟deployerConfigCo

Spring Security 定義登入驗證定義回撥地址

1 配置檔案 security-ns.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/b

spring secrity 定義驗證

spring secrity 驗證預設是使用username和password。但是我專案的登入是根據使用者的   的工號和密碼進行驗證的,所有 有點不同。 關鍵點是 自己實現了   myAuthenticationProvider; <?

Spring Boot中使用Spring Security定義驗證

因為網上關於這個springboot+security自定義驗證有好多寫的有點雜亂,在仿寫的過程中總是出現莫名其妙的bug,所以專門寫一篇最基礎的出來。 本篇還是使用熟悉的springboot+mybatis+thymeleaf來搭最基礎的架構,當然不用資

######Spring第5天ssh整合(註解版)難理解知識點:【定義 方法註解的方式】給dao注入sessionFactory屬性+【搞清@Autowared和@Resource含義】

===【方法加註解的方式】給dao注入sessionFactory屬性(繼承父類的屬性),第一次見!===具體怎麼用的,看原始碼。(後面有寫) 以前都是屬性+註解注入屬性。 [email protected]和@Resource到底是幹嘛的? 剛學IOC時可能能

IOS 定義按鈕(代實現)+九宮格

uifont 排列 end uiview height iyu void rec name 在一些下載應用裏整個頁面都是按鈕,有好多好多,但是仔細觀察不難發現他們很有規律。就像下面一樣?? 很有規律的排列在屏幕上,那麽這需要我們怎麽去做能。 正如標題,我們需要了解兩個知

定義紙張 未驗證

開始 使用 復制 names 字符串 就會 設置 rsize 一個 using System; using System.Collections.Generic; using System.Text; using System.Drawing; using Sy

博客園定義公告顯示代

自定義 我的博客 cloc uda height ava cati hab mod 1.博客公告欄中顯示時間如圖所示。 2.在我的博客頁面點擊管理按鈕。 3.在管理界面中點擊設置按鈕。 4.在設置界面中找到下圖紅色區域,把相應的代碼加入其中即可。 5

Spring MVC 中使用 Google kaptcha 驗證

實用 pri 集成 auto req post bsp produce target 驗證碼是抵抗批量操作和惡意登錄最有效的方式之一。 驗證碼從產生到現在已經衍生出了很多分支、方式。google kaptcha 是一個非常實用的驗證碼生成類庫。 通過靈

6.1 如何在spring定義xml標簽

關聯 tex and 啟動流程 調用 mls ram 如果 .com dubbo自定義了很多xml標簽,例如<dubbo:application>,那麽這些自定義標簽是怎麽與spring結合起來的呢?我們先看一個簡單的例子。 一 編寫模型類 1 packa

定義頁尾代

自定義 begin 分享 png doc lock meta charset logs 自定義頁尾代碼 效果圖 <!--時鐘--><!DOCTYPE html><html xmlns="http://www.w3.org/1999

Spring Cloud - 定義引導屬性源

springcloud spring cloud springcloud微服務 微服務雲架構 引導過程添加的外部配置的默認屬性源是Config Server,但您可以通過將PropertySourceLocator類型的bean添加到引導上下文(通過spring.factories)添加其他源

Java定義載和ClassPath類載器

訪問 pub 需要 委派 iat 定義 pro logs repl 1 自定義類加載器: 實現規則: 自定義類加載器,需要重寫findClass,然後通過調用loadClass進行類加載(loadClass通過遞歸實現類的雙親委派加載) package com.daxin