在了解过Security的认证器后,如果想自定义登陆,只要实现AuthenticationProvider还有对应的Authentication就可以了

Authentication

首先要创建一个自定义的Authentication,Security提供了一个Authentication的子类AbstractAuthenticationToken

我们实现这个类可以了,他已经实现了Authentication的一些方法

public class NamePassAuthenticationToken extends AbstractAuthenticationToken {

    private static final long serialVersionUID = 520L;

    private final Object principal;

    private Object credentials;

//提供第一次进来的构造方法

    public NamePassAuthenticationToken(Object principal, Object credentials) {

        super((Collection)null);

        this.principal = principal;

        this.credentials = credentials;

        this.setAuthenticated(false);

    }

//提供填充Authentication的构造方法

    public NamePassAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {

        super(authorities);

        this.principal = principal;

        this.credentials = credentials;

        super.setAuthenticated(true);

    }

    @Override

    public Object getCredentials() {

        return this.credentials;

    }

    @Override

    public Object getPrincipal() {

        return this.principal;

    }

    @Override

    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {

        if (isAuthenticated) {

            throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");

        } else {

            super.setAuthenticated(false);

        }

    }

    @Override

    public void eraseCredentials() {

        super.eraseCredentials();

        this.credentials = null;

    }

}

这个类关键就是一个是认证的,一个没认证的的构造器

AuthenticationProvider

接着是AuthenticationProvider,需要实现他的authenticate方法

@Setter

public class NamePassAuthenticationProvider implements AuthenticationProvider {

    private CustomUserDetailsService userDetailsService;

    private PasswordEncoder passwordEncoder;

    @Override

    //具体认证逻辑

    public Authentication authenticate(Authentication authentication) {

        NamePassAuthenticationToken authenticationToken = (NamePassAuthenticationToken) authentication;

        String username = (String) authenticationToken.getPrincipal();

        String password = (String) authenticationToken.getCredentials();

        //让具体认证类去认证

        UserDetails user = userDetailsService.loadUserByUsername(username);

        boolean matches = passwordEncoder.matches(password, user.getPassword());

        if (!matches) {

            ResMsg.throwException(AuthExceptionGroup.AUTH_ERROR);

        }

        //填充Authentication

        NamePassAuthenticationToken authenticationResult = new NamePassAuthenticationToken(user, password, user.getAuthorities());

        authenticationResult.setDetails(authenticationToken.getDetails());

        return authenticationResult;

    }

    @Override

    //指定具体的Authentication

    //根据你指定的Authentication来找到具体的Provider

    public boolean supports(Class<?> authentication) {

        return NamePassAuthenticationToken.class.isAssignableFrom(authentication);

    }

}

SecurityConfigurerAdapter

接着就是填充配置了

@Component

public class NamePassAuthenticationSecurityConfig extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {

    @Autowired

    private CustomUserDetailsService customUserDetailsService;

    @Autowired

    private PasswordEncoder passwordEncoder;

    @Override

    public void configure(HttpSecurity http) {

        //phonePass provider

        NamePassAuthenticationProvider provider = new NamePassAuthenticationProvider();

        provider.setUserDetailsService(customUserDetailsService);

        provider.setPasswordEncoder(passwordEncoder);

        http.authenticationProvider(provider);

    }

}

接下来就是导入配置了

通常都会有一个实现了WebSecurityConfigurerAdapter的配置类

把配置类注入进来

@Autowired

private NamePassAuthenticationSecurityConfig namePassAuthenticationSecurityConfig; 

protected void configure(HttpSecurity http) throws Exception {

  http.apply(namePassAuthenticationSecurityConfig);

}

UserDetailsService

UserDetailsService是具体的认证实现类

这个类就非常熟悉了,只需要实现他的loadUserByUsername方法,就可以实现认证了

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        AuthmsViewAccount account = accountService.getAccount(username);

        if(account == null) {

            ResMsg.throwException(AUTH_ERROR);

        }

        if (account.getStatus() != 1) {

            ResMsg.throwException(ACCOUNT_HAS_BANED);

        }

        String spliceStaffInfo = String.format("%d-%s",account.getAccountId(),account.getUsername());

//只要Collection<? extends GrantedAuthority> authorities

//这个参数不为空,就表明认证通过,所以空集合也可以通过

        return new User(spliceStaffInfo,account.getPassword(), AuthorityUtils.NO_AUTHORITIES);

    }

把认证结果填充到上下文中

TokenFilter

如果结合了Token,那么需要从token中识别该用户

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {

    String bearerToken = resolveToken(request);

    if (bearerToken != null && !"".equals(bearerToken.trim()) && SecurityContextHolder.getContext().getAuthentication() == null) {

        //从redis中获取该用户

        NamePassAuthenticationToken namePassAuthenticationToken = authRedisHelper.get(bearerToken);

        if(namePassAuthenticationToken != null) {

            //将信息保存到上下文中

 SecurityContextHolder.getContext().setAuthentication(namePassAuthenticationToken);

        }

    }

    chain.doFilter(request, response);

}

private String resolveToken(HttpServletRequest request) {

        String bearerToken = request.getHeader("Authorization");

        if (StringUtils.hasText(bearerToken) && bearerToken.startsWith(TOKEN_PREFIX)) {

            return bearerToken.substring(7);

        }

        return null;

    }


public NamePassAuthenticationToken get(String bearerToken){

    String spliceStaffInfo = (String)redisRepository.get(formatKey(bearerToken));

    if(spliceStaffInfo == null) {

        return null;

    }

    return new NamePassAuthenticationToken(new AuthStaff(spliceStaffInfo),null,AuthorityUtils.NO_AUTHORITIES);

}

登录过程

在登录的时候,就需要用到这个自定义的认证器了



// 通过用户名和密码创建一个 Authentication 认证对象,实现类为 NamePassAuthenticationToken

NamePassAuthenticationToken authenticationToken = new NamePassAuthenticationToken(user.getUsername(), user.getPassword());

//通过 AuthenticationManager(默认实现为ProviderManager)的authenticate方法验证 Authentication 对象

//AuthenticationManager会通过你传入的authenticationToken来找到具体的Provider

Authentication authentication = authenticationManager.authenticate(authenticationToken);

//填充用户信息到secrity中的user里

User principal = (User) authentication.getPrincipal();

//获取认证后的信息

NamePassAuthenticationToken namePassAuthenticationToken = new NamePassAuthenticationToken(new AuthStaff(principal.getUsername()), null, authentication.getAuthorities());

// 生成token

String bearerToken = IdUtil.fastSimpleUUID();

// 加载到reids

authRedisHelper.set(bearerToken, namePassAuthenticationToken);

这样就实现了自定义的认证器了

Spring Security自定义认证器的更多相关文章

  1. Spring Security自定义认证页面(动态网页解决方案+静态网页解决方案)--练气中期圆满

    写在前面 上一回我们简单分析了spring security拦截器链的加载流程,我们还有一些简单的问题没有解决.如何自定义登录页面?如何通过数据库获取用户权限信息? 今天主要解决如何配置自定义认证页面 ...

  2. spring security自定义指南

    序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义Authent ...

  3. Spring Security 接口认证鉴权入门实践指南

    目录 前言 SpringBoot 示例 SpringBoot pom.xml SpringBoot application.yml SpringBoot IndexController SpringB ...

  4. Spring Security 自定义登录认证(二)

    一.前言 本篇文章将讲述Spring Security自定义登录认证校验用户名.密码,自定义密码加密方式,以及在前后端分离的情况下认证失败或成功处理返回json格式数据 温馨小提示:Spring Se ...

  5. Spring Cloud实战 | 第九篇:Spring Cloud整合Spring Security OAuth2认证服务器统一认证自定义异常处理

    本文完整代码下载点击 一. 前言 相信了解过我或者看过我之前的系列文章应该多少知道点我写这些文章包括创建 有来商城youlai-mall 这个项目的目的,想给那些真的想提升自己或者迷茫的人(包括自己- ...

  6. (二)spring Security 自定义登录页面与校验用户

    文章目录 配置 security 配置下 MVC 自定义登录页面 自定义一个登陆成功欢迎页面 效果图 小结: 使用 Spring Boot 的快速创建项目功能,勾选上本篇博客需要的功能:web,sec ...

  7. 解决Spring Security自定义filter重复执行问题

    今天做项目的时候,发现每次拦截器日志都会打两遍,很纳闷,怀疑是Filter被执行了两遍.结果debug之后发现还真是!记录一下这个神奇的BUG! 问题描述 项目中使用的是Spring-security ...

  8. 最简单易懂的Spring Security 身份认证流程讲解

    最简单易懂的Spring Security 身份认证流程讲解 导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确 ...

  9. 02 spring security 自定义用户认证流程

    1. 自定义登录页面 (1)首先在static目录下面创建login.html       注意: springboot项目默认可以访问resources/resources, resources/s ...

随机推荐

  1. (转)Angular中的拦截器Interceptor

    什么是拦截器? 异步操作 例子 Session 注入(请求拦截器) 时间戳(请求和响应拦截器) 请求恢复 (请求异常拦截) Session 恢复 (响应异常拦截器) 转之:http://my.osch ...

  2. 2022最新IntellJ IDEA的zheng开发部署文档

    目录 前景提示 一.环境整合 构建工具(参考工具部署方式) 二.git 导入编译器 三.模块描述浅析 四.配置文档 1.总配置 2.数据库配置 3.密码设置 4.配置建议 五.在IDEA中执行MySQ ...

  3. JVM调优篇

    点赞再看,养成习惯,微信搜索「小大白日志」关注这个搬砖人. 文章不定期同步公众号,还有各种一线大厂面试原题.我的学习系列笔记. 基础概念 一般JVM调优,重点在于调整JVM堆大小.调整垃圾回收器 jv ...

  4. 虚拟机(Vmvare)与配置,得到一台学习机

    准备: 1.Vmvare 2.CentOS7.4镜像 安装与配置操作系统: 1.配置虚拟机上网 2.配置静态ip地址 开始安装 1. 2.直接下一步选择我们准备好的镜像,然后下一步 3.修改虚拟机的名 ...

  5. Mysql数据库基础_复习思维导图

    Mysql复习的一个小总结,用xmind写的.(字数没有都不给我发博客) 下面是一些备注 子查询 MySQL子查询称为内部查询,而包含子查询的查询称为外部查询. 子查询可以在使用表达式的任何地方使用, ...

  6. 手脱NsPacK壳

    1.查壳 使用PEiD未能检测到壳信息,这时,我们更换其他工具 从图中可以看到壳的信息为[NsPacK(3.x)[-]] 2.百度壳信息 北斗程序压缩(Nspack)是一款压缩壳.主要的选项是:压缩资 ...

  7. HttpResponse,render,redirect,静态文件配置,request对象方法,pycharm连接MySQL,django连接MySQL,django ORM

    HttpResponse 主要用于返回字符串类型的数据 def index(request): return HttpResponse('index页面') 在页面中就会显示 index页面 rend ...

  8. UDP协议,多道技术,进程,同步与异步,阻塞与非阻塞

    UDP协议 简介 UDP叫做用户数据报协议,是OSI七层参考模型中传输层使用的协议,他提供的是不可靠传输,既它在传输过程 中不保证数据的完整性! 端口号 UDP使用IP地址和端口号进行标识,以此将数据 ...

  9. Nacos源码系列—订阅机制的前因后果(上)

    点赞再看,养成习惯,微信搜索[牧小农]关注我获取更多资讯,风里雨里,小农等你,很高兴能够成为你的朋友. 项目源码地址:公众号回复 nacos,即可免费获取源码 前因 我们在了解Nacos订阅机制之前, ...

  10. 层层剖析一次 HTTP POST 请求事故

    vivo 互联网服务器团队- Wei Ling 本文主要讲述的是如何根据公司网络架构和业务特点,锁定正常请求被误判为跨域的原因并解决. 一.问题描述 某一个业务后台在表单提交的时候,报跨域错误,具体如 ...