SpringSecurity学习之自定义过滤器的实现代码

 更新时间:2019年01月23日 11:09:17   作者:聂晨  
这篇文章主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

我们系统中的认证场景通常比较复杂,比如说用户被锁定无法登录,限制登录IP等。而SpringSecuriy最基本的是基于用户与密码的形式进行认证,由此可知它的一套验证规范根本无法满足业务需要,因此扩展势在必行。那么我们可以考虑自己定义filter添加至SpringSecurity的过滤器栈当中,来实现我们自己的验证需要。

本例中,基于前篇的数据库的Student表来模拟一个简单的例子:当Student的jointime在当天之后,那么才允许登录

一、创建自己定义的Filter

我们先在web包下创建好几个包并定义如下几个类

CustomerAuthFilter:

package com.bdqn.lyrk.security.study.web.filter;

import com.bdqn.lyrk.security.study.web.authentication.UserJoinTimeAuthentication;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


public class CustomerAuthFilter extends AbstractAuthenticationProcessingFilter {

  private AuthenticationManager authenticationManager;


  public CustomerAuthFilter(AuthenticationManager authenticationManager) {

    super(new AntPathRequestMatcher("/login", "POST"));
    this.authenticationManager = authenticationManager;

  }

  @Override
  public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
    String username = request.getParameter("username");
    UserJoinTimeAuthentication usernamePasswordAuthenticationToken =new UserJoinTimeAuthentication(username);
    Authentication authentication = this.authenticationManager.authenticate(usernamePasswordAuthenticationToken);
    if (authentication != null) {
      super.setContinueChainBeforeSuccessfulAuthentication(true);
    }
    return authentication;
  }
}

该类继承AbstractAuthenticationProcessingFilter,这个filter的作用是对最基本的用户验证的处理,我们必须重写attemptAuthentication方法。Authentication接口表示授权接口,通常情况下业务认证通过时会返回一个这个对象。super.setContinueChainBeforeSuccessfulAuthentication(true) 设置成true的话,会交给其他过滤器处理。

二、定义UserJoinTimeAuthentication

package com.bdqn.lyrk.security.study.web.authentication;

import org.springframework.security.authentication.AbstractAuthenticationToken;

public class UserJoinTimeAuthentication extends AbstractAuthenticationToken {
  private String username;

  public UserJoinTimeAuthentication(String username) {
    super(null);
    this.username = username;
  }


  @Override
  public Object getCredentials() {
    return null;
  }

  @Override
  public Object getPrincipal() {
    return username;
  }
}

自定义授权方式,在这里接收username的值处理,其中getPrincipal我们可以用来存放登录名,getCredentials可以存放密码,这些方法来自于Authentication接口

三、定义AuthenticationProvider

package com.bdqn.lyrk.security.study.web.authentication;

import com.bdqn.lyrk.security.study.app.pojo.Student;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;

import java.util.Date;

/**
 * 基本的验证方式
 *
 * @author chen.nie
 * @date 2018/6/12
 **/
public class UserJoinTimeAuthenticationProvider implements AuthenticationProvider {
  private UserDetailsService userDetailsService;

  public UserJoinTimeAuthenticationProvider(UserDetailsService userDetailsService) {
    this.userDetailsService = userDetailsService;
  }

  /**
   * 认证授权,如果jointime在当前时间之后则认证通过
   * @param authentication
   * @return
   * @throws AuthenticationException
   */
  @Override
  public Authentication authenticate(Authentication authentication) throws AuthenticationException {
    String username = (String) authentication.getPrincipal();
    UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
    if (!(userDetails instanceof Student)) {
      return null;
    }
    Student student = (Student) userDetails;
    if (student.getJoinTime().after(new Date()))
      return new UserJoinTimeAuthentication(username);
    return null;
  }

  /**
   * 只处理UserJoinTimeAuthentication的认证
   * @param authentication
   * @return
   */
  @Override
  public boolean supports(Class<?> authentication) {
    return authentication.getName().equals(UserJoinTimeAuthentication.class.getName());
  }
}

AuthenticationManager会委托AuthenticationProvider进行授权处理,在这里我们需要重写support方法,该方法定义Provider支持的授权对象,那么在这里我们是对UserJoinTimeAuthentication处理。

四、WebSecurityConfig

package com.bdqn.lyrk.security.study.app.config;

import com.bdqn.lyrk.security.study.app.service.UserService;
import com.bdqn.lyrk.security.study.web.authentication.UserJoinTimeAuthenticationProvider;
import com.bdqn.lyrk.security.study.web.filter.CustomerAuthFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * spring-security的相关配置
 *
 * @author chen.nie
 * @date 2018/6/7
 **/
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

  @Autowired
  private UserService userService;

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    /*
      1.配置静态资源不进行授权验证
      2.登录地址及跳转过后的成功页不需要验证
      3.其余均进行授权验证
     */
    http.
        authorizeRequests().antMatchers("/static/**").permitAll().
        and().authorizeRequests().antMatchers("/user/**").hasRole("7022").
        and().authorizeRequests().anyRequest().authenticated().
        and().formLogin().loginPage("/login").successForwardUrl("/toIndex").permitAll()
        .and().logout().logoutUrl("/logout").invalidateHttpSession(true).deleteCookies().permitAll()
    ;

    http.addFilterBefore(new CustomerAuthFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);


  }

  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    //设置自定义userService
    auth.userDetailsService(userService);
    auth.authenticationProvider(new UserJoinTimeAuthenticationProvider(userService));
  }

  @Override
  public void configure(WebSecurity web) throws Exception {
    super.configure(web);
  }
}

在这里面我们通过HttpSecurity的方法来添加我们自定义的filter,一定要注意先后顺序。在AuthenticationManagerBuilder当中还需要添加我们刚才定义的AuthenticationProvider

启动成功后,我们将Student表里的jointime值改为早于今天的时间,进行登录可以发现:

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

相关文章

  • SpringCloud之Zuul网关原理及其配置讲解

    SpringCloud之Zuul网关原理及其配置讲解

    这篇文章主要介绍了SpringCloud之Zuul网关原理及其配置讲解,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-03-03
  • 使用Homebrew配置Java开发环境操作方法

    使用Homebrew配置Java开发环境操作方法

    下面小编就为大家带来一篇使用Homebrew配置Java开发环境操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2017-06-06
  • C++和Java命令行绘制心形图案

    C++和Java命令行绘制心形图案

    这篇文章主要为大家详细介绍了C++和Java命令行绘制心形图案,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-04-04
  • java 汉诺塔详解及实现代码

    java 汉诺塔详解及实现代码

    这篇文章主要介绍了java 汉诺塔详解及实现代码的相关资料,需要的朋友可以参考下
    2017-04-04
  • Mybatis-Plus开发提速器generator的使用

    Mybatis-Plus开发提速器generator的使用

    本文就介绍这款基于Mybatis-Plus的代码自助生成器,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2023-07-07
  • java中单例模式讲解

    java中单例模式讲解

    这篇文章主要介绍了java中单例模式,本文通过简单的案例,讲解了该模式在java中的使用,以下就是详细内容,需要的朋友可以参考下
    2021-08-08
  • java局部变量表的基础知识点及实例

    java局部变量表的基础知识点及实例

    在本篇文章里小编给大家整理的是一篇关于java局部变量表的基础知识点及实例,有需要的朋友们可以学习参考下。
    2021-06-06
  • java+MongoDB实现存图片、下载图片的方法示例

    java+MongoDB实现存图片、下载图片的方法示例

    这篇文章主要介绍了java+MongoDB实现存图片、下载图片的方法,结合实例形式详细分析了java结合MongoDB实现图片的存储与下载相关操作技巧,需要的朋友可以参考下
    2019-09-09
  • Java中使用正则检查有效日期的实现

    Java中使用正则检查有效日期的实现

    要判断一个字符串是否符合时间格式,可以使用正则表达式,本文主要介绍了Java中使用正则检查有效日期的实现,具有一定的参考价值,感兴趣的可以了解一下
    2023-10-10
  • java基于servlet实现文件上传功能

    java基于servlet实现文件上传功能

    这篇文章主要为大家详细介绍了java基于servlet实现文件上传功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-09-09

最新评论