溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家分享的是有關Spring3 Security如何在標準登錄表單中添加一個額外的字段的內容。小編覺得挺實用的,因此分享給大家做個參考,一起跟隨小編過來看看吧。
概述
在本文中,我們將通過向標準登錄表單添加額外字段來實現Spring Security的自定義身份驗證方案。
我們將重點關注兩種不同的方法,以展示框架的多功能性以及我們可以使用它的靈活方式。
我們的第一種方法是一個簡單的解決方案,專注于重用現有的核心Spring Security實現。
我們的第二種方法是更加定制的解決方案,可能更適合高級用例。
2. Maven設置
我們將使用Spring Boot啟動程序來引導我們的項目并引入所有必需的依賴項。
我們將使用的設置需要父聲明,Web啟動器和安全啟動器;我們還將包括thymeleaf :
<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.0.0.M7</version> <relativePath/> </parent> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</artifactId> </dependency> </dependencies>
可以在Maven Central找到最新版本的Spring Boot安全啟動器。
3.簡單的項目設置
在我們的第一種方法中,我們將專注于重用Spring Security提供的實現。特別是,我們將重用DaoAuthenticationProvider和UsernamePasswordToken,因為它們是“開箱即用”的。
關鍵組件包括:
?SimpleAuthenticationFilter - UsernamePasswordAuthenticationFilter的擴展
?SimpleUserDetailsService - UserDetailsService的實現
?User - Spring Security提供的User類的擴展,它聲明了我們的額外域字段
?SecurityConfig - 我們的Spring Security配置,它將SimpleAuthenticationFilter插入到過濾器鏈中,聲明安全規則并連接依賴項
?login.html - 收集用戶名,密碼和域的登錄頁面
3.1. 簡單Authentication Filter
在我們的SimpleAuthenticationFilter中,域和用戶名字段是從請求中提取的。我們連接這些值并使用它們來創建UsernamePasswordAuthenticationToken的實例。
然后將令牌傳遞給AuthenticationProvider進行身份驗證:
public class SimpleAuthenticationFilter
extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(
HttpServletRequest request,
HttpServletResponse response)
throws AuthenticationException {
// ...
UsernamePasswordAuthenticationToken authRequest
= getAuthRequest(request);
setDetails(request, authRequest);
return this.getAuthenticationManager()
.authenticate(authRequest);
}
private UsernamePasswordAuthenticationToken getAuthRequest(
HttpServletRequest request) {
String username = obtainUsername(request);
String password = obtainPassword(request);
String domain = obtainDomain(request);
// ...
String usernameDomain = String.format("%s%s%s", username.trim(),
String.valueOf(Character.LINE_SEPARATOR), domain);
return new UsernamePasswordAuthenticationToken(
usernameDomain, password);
}
// other methods
}3.2.簡單的UserDetails服務
UserDetailsService定義了一個名為loadUserByUsername的方法。我們的實現提取用戶名和域名。然后將值傳遞給我們的UserRepository以獲取用戶:
public class SimpleUserDetailsService implements UserDetailsService {
// ...
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
String[] usernameAndDomain = StringUtils.split(
username, String.valueOf(Character.LINE_SEPARATOR));
if (usernameAndDomain == null || usernameAndDomain.length != 2) {
throw new UsernameNotFoundException("Username and domain must be provided");
}
User user = userRepository.findUser(usernameAndDomain[0], usernameAndDomain[1]);
if (user == null) {
throw new UsernameNotFoundException(
String.format("Username not found for domain, username=%s, domain=%s",
usernameAndDomain[0], usernameAndDomain[1]));
}
return user;
}
}3.3. Spring Security配置
我們的設置與標準的Spring Security配置不同,因為我們在默認情況下通過調用addFilterBefore將SimpleAuthenticationFilter插入到過濾器鏈中:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.addFilterBefore(authenticationFilter(),
UsernamePasswordAuthenticationFilter.class)
.authorizeRequests()
.antMatchers("/css/**", "/index").permitAll()
.antMatchers("/user/**").authenticated()
.and()
.formLogin().loginPage("/login")
.and()
.logout()
.logoutUrl("/logout");
}我們可以使用提供的DaoAuthenticationProvider,因為我們使用SimpleUserDetailsService配置它。回想一下,我們的SimpleUserDetailsService知道如何解析我們的用戶名和域字段,并返回在驗證時使用的相應用戶。
public AuthenticationProvider authProvider() {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
provider.setUserDetailsService(userDetailsService);
provider.setPasswordEncoder(passwordEncoder());
return provider;
}由于我們使用的是SimpleAuthenticationFilter,因此我們配置自己的AuthenticationFailureHandler以確保正確處理失敗的登錄嘗試:
public SimpleAuthenticationFilter authenticationFilter() throws Exception {
SimpleAuthenticationFilter filter = new SimpleAuthenticationFilter();
filter.setAuthenticationManager(authenticationManagerBean());
filter.setAuthenticationFailureHandler(failureHandler());
return filter;
}3.4.登錄頁面
我們使用的登錄頁面收集我們的SimpleAuthenticationFilter提取的額外的字段:
<form class="form-signin" th:action="@{/login}" method="post">
<h3 class="form-signin-heading">Please sign in</h3>
<p>Example: user / domain / password</p>
<p th:if="${param.error}" class="error">Invalid user, password, or domain</p>
<p>
<label for="username" class="sr-only">Username</label>
<input type="text" id="username" name="username" class="form-control"
placeholder="Username" required autofocus/>
</p>
<p>
<label for="domain" class="sr-only">Domain</label>
<input type="text" id="domain" name="domain" class="form-control"
placeholder="Domain" required autofocus/>
</p>
<p>
<label for="password" class="sr-only">Password</label>
<input type="password" id="password" name="password" class="form-control"
placeholder="Password" required autofocus/>
</p>
<button class="btn btn-lg btn-primary btn-block" type="submit">Sign in</button><br/>
<p><a href="/index" rel="external nofollow" th:href="@{/index}" rel="external nofollow" >Back to home page</a></p>
</form>當我們運行應用程序并訪問http:// localhost:8081上下文時,我們會看到一個訪問安全頁面的鏈接。單擊該鏈接將顯示登錄頁面。正如所料,我們看到了額外的域名字段
image
3.5.總結
在我們的第一個例子中,我們能夠通過“偽造”用戶名字段來重用DaoAuthenticationProvider和UsernamePasswordAuthenticationToken。
因此,我們能夠使用最少量的配置和其他代碼添加對額外登錄字段的支持。
4.自定義項目設置
我們的第二種方法與第一種方法非常相似,但可能更適合于非平凡用例。
我們的第二種方法的關鍵組成部分包括:
?CustomAuthenticationFilter - UsernamePasswordAuthenticationFilter的擴展
?CustomUserDetailsService - 聲明loadUserbyUsernameAndDomain方法的自定義接口
?CustomUserDetailsServiceImpl - CustomUserDetailsService的實現
?CustomUserDetailsAuthenticationProvider - AbstractUserDetailsAuthenticationProvider的擴展
?CustomAuthenticationToken - UsernamePasswordAuthenticationToken的擴展
?User - Spring Security提供的User類的擴展,它聲明了我們的額外域字段
?SecurityConfig - 我們的Spring Security配置,它將CustomAuthenticationFilter插入到過濾器鏈中,聲明安全規則并連接依賴項
?login.html - 收集用戶名,密碼和域的登錄頁面
4.1.自定義驗證過濾器
在我們的CustomAuthenticationFilter中,我們從請求中提取用戶名,密碼和域字段。這些值用于創建CustomAuthenticationToken的實例,該實例將傳遞給AuthenticationProvider進行身份驗證:
public class CustomAuthenticationFilter
extends UsernamePasswordAuthenticationFilter {
public static final String SPRING_SECURITY_FORM_DOMAIN_KEY = "domain";
@Override
public Authentication attemptAuthentication(
HttpServletRequest request,
HttpServletResponse response)
throws AuthenticationException {
// ...
CustomAuthenticationToken authRequest = getAuthRequest(request);
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
private CustomAuthenticationToken getAuthRequest(HttpServletRequest request) {
String username = obtainUsername(request);
String password = obtainPassword(request);
String domain = obtainDomain(request);
// ...
return new CustomAuthenticationToken(username, password, domain);
}4.2.自定義UserDetails服務
我們的CustomUserDetailsService合約定義了一個名為loadUserByUsernameAndDomain的方法。
我們創建的CustomUserDetailsServiceImpl類只是實現并委托我們的CustomUserRepository來獲取用戶:
public UserDetails loadUserByUsernameAndDomain(String username, String domain)
throws UsernameNotFoundException {
if (StringUtils.isAnyBlank(username, domain)) {
throw new UsernameNotFoundException("Username and domain must be provided");
}
User user = userRepository.findUser(username, domain);
if (user == null) {
throw new UsernameNotFoundException(
String.format("Username not found for domain, username=%s, domain=%s",
username, domain));
}
return user;
}4.3.自定義UserDetailsAuthenticationProvider
我們的CustomUserDetailsAuthenticationProvider將AbstractUserDetailsAuthenticationProvider和委托擴展到我們的CustomUserDetailService以檢索用戶。這個類最重要的特性是retrieveUser方法的實現。
請注意,我們必須將身份驗證令牌強制轉換為CustomAuthenticationToken才能訪問我們的自定義字段:
@Override
protected UserDetails retrieveUser(String username,
UsernamePasswordAuthenticationToken authentication)
throws AuthenticationException {
CustomAuthenticationToken auth = (CustomAuthenticationToken) authentication;
UserDetails loadedUser;
try {
loadedUser = this.userDetailsService
.loadUserByUsernameAndDomain(auth.getPrincipal()
.toString(), auth.getDomain());
} catch (UsernameNotFoundException notFound) {
if (authentication.getCredentials() != null) {
String presentedPassword = authentication.getCredentials()
.toString();
passwordEncoder.matches(presentedPassword, userNotFoundEncodedPassword);
}
throw notFound;
} catch (Exception repositoryProblem) {
throw new InternalAuthenticationServiceException(
repositoryProblem.getMessage(), repositoryProblem);
}
// ...
return loadedUser;
}4.4.總結
我們的第二種方法幾乎與我們首先提出的簡單方法相同。通過實現我們自己的AuthenticationProvider和CustomAuthenticationToken,我們避免了需要使用自定義解析邏輯來調整我們的用戶名字段。
5.結論
在本文中,我們在Spring Security中實現了一個使用額外登錄字段的表單登錄。我們以兩種不同的方式做到了這一點
?在我們簡單的方法中,我們最小化了我們需要編寫的代碼量。通過使用自定義解析邏輯調整用戶名,我們能夠重用DaoAuthenticationProvider和UsernamePasswordAuthentication
?在我們更加個性化的方法中,我們通過擴展AbstractUserDetailsAuthenticationProvider并使用CustomAuthenticationToken提供我們自己的CustomUserDetailsService來提供自定義字段支持。
與往常一樣,所有源代碼都可以在GitHub上找到。
感謝各位的閱讀!關于“Spring3 Security如何在標準登錄表單中添加一個額外的字段”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,讓大家可以學到更多知識,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
