Spring Secutity 添加过滤器实现自定义登录认证

上一篇文章我们讲了Spring Security 如何实现OAuth2.0自定义登录页面 + JWT Token配置,但是在有些场景下,我们有可能需要支持多种登录方式,如用户名密码登录、手机验证码登录等等。

此时我们需要能够实现一个认证流程同时支持多种认证方式,基于Spring Security认证的原理提到的Spring Security 的认证流程的本质上就是新增、删除、修改过滤器

本文在上一篇文章的基础上继续介绍如何通过自己添加Filter的方式实现支持多种方式自定义登录认证,只需要三个步骤(知道本质后是不是并不觉得复杂 ):

  1. 添加CustomAuthenticationProcessingFilter用于处理登录请求
  2. 添加CustomerAuthenticationProvider进行实际认证
  3. CustomAuthenticationProcessingFilterCustomerAuthenticationProvider配置到Spring Security框架中

代码实现

1. 添加CustomAuthenticationProcessingFilter用于处理登录请求

CustomAuthenticationProcessingFilter通常实现两件事情:

  • 设置我要处理的登录请求Url和方法
  • 将请求中的认证信息保存起来以便CustomerAuthenticationProvider处理认证

下面代码attemptAuthentication首先定义了登录请求的url为/oauth/custom/token POST方法;然后将认证的信息包括认证的类型、用户名和凭证生成到CustomAuthenticationToken中(框架会通过SecurityContextHolderCustomAuthenticationToken保存以用于AuthenticationProvider的实际认证),最后通过 AuthenticationManager去调用 AuthenticationProvider去认证。
setDetail主要是为了未来方便扩展认证请求里面的信息。

public class CustomAuthenticationProcessingFilter extends AbstractAuthenticationProcessingFilter {

    private static final String AUTH_TYPE = "auth_type";
    private static final String USERNAME = "username";
    private static final String CREDENTIALS = "credentials";
    private static final String OAUTH_TOKEN_URL = "/oauth/custom/token";
    private static final String HTTP_METHOD_POST = "POST";

    public CustomAuthenticationProcessingFilter() {
        super(new AntPathRequestMatcher(OAUTH_TOKEN_URL, "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        if (!HTTP_METHOD_POST.equals(request.getMethod().toUpperCase())){
           throw  new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }

        AbstractAuthenticationToken authRequest = new CustomAuthenticationToken(
                request.getParameter(AUTH_TYPE), request.getParameter(USERNAME), request.getParameter(CREDENTIALS),
                request.getParameterMap(),new ArrayList<>()
        );

        this.setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }

    protected void setDetails(HttpServletRequest request, AbstractAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }

}

注意因为要支持不同的登录方式,所以这里我们自己定义了CustomAuthenticationToken用于保存认证信息,auth_type用于记录登录方式用户名密码登录还是手机登录或者其它方式, principal在手机登录中就是手机号(前端传的是username,filter保存到了principal中),credentials是验证码,你也可以自己定义,只要能从前端请求中获取到就可以。authParams用以保存其它参数信息,如果有的话。

public class CustomAuthenticationToken extends AbstractAuthenticationToken {

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    private String authType;

    private Map<String,String[]> authParams;

    private Object principal;

    private Object credentials;
}

2. 添加CustomerAuthenticationProvider进行实际认证

CustomerAuthenticationProvider通常也是实现两件事情:

  • 根据认证的类型(用户名密码还是验证码或者其它方式)进行认证
  • 认证成功后加入你需要的用户信息用于生成Token
public class CustomerAuthenticationProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        if(authentication.getPrincipal() == null){
            throw  new BadCredentialsException("用户名为空");
        }

        CustomAuthenticationToken customAuthenticationToken =(CustomAuthenticationToken) authentication;

        // 页面调用时传递auth_type参数,如手机验证码验证或者其它类型。根据不同的类型的auth type采用不同的验证方式验证是否登录成功
        if("mobile".equals(customAuthenticationToken.getAuthType())) {
            // 手机认证
            
        } else if("password".equals(customAuthenticationToken.getAuthType())) {
            // 用户名和密码
            
        } else {
            // 其它方式
            
        }

        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("internal::user"));

        CustomAuthenticationToken authenticationToken = new CustomAuthenticationToken
                (((CustomAuthenticationToken) authentication).getAuthType(), authentication.getPrincipal(), null,
                        null, authorities);

        Map<String, Object> details = new HashMap<>(1);
        details.put("name", customAuthenticationToken.getPrincipal());
        authenticationToken.setDetails(details);

        return authenticationToken;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return (CustomAuthenticationToken.class.isAssignableFrom(authentication));
    }
}

3. 将CustomAuthenticationProcessingFilter和CustomerAuthenticationProvider配置到Spring Security框架中

首先配置CustomAuthenticationProcessingFilterexternalAuthenticationProcessingFilter之后然后配置加入CustomerAuthenticationProvider很简单

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    CustomLogoutSuccessHandler customLogoutSuccessHandler;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UsernamePasswordUserDetailService usernamePasswordUserDetailService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 默认支持./login实现authorization_code认证
        http
            .formLogin().loginPage("/index.html").loginProcessingUrl("/login")
            .and()
            .authorizeRequests()
            .antMatchers("/index.html", "/login", "/resources/**", "/static/**").permitAll()
            .anyRequest() // 任何请求
            .authenticated()// 都需要身份认证
            .and()
            .logout().invalidateHttpSession(true).deleteCookies("JSESSIONID").logoutSuccessHandler(customLogoutSuccessHandler).permitAll()
            .and()
            .csrf().disable();

        // 自定义认证filter,支持./oauth/custom/token实现authorization_code认证
        http.addFilterAfter(externalAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) {
        // 定义认证的provider用于实现用户名和密码认证
        auth.authenticationProvider(new UsernamePasswordAuthenticationProvider(usernamePasswordUserDetailService));
        // 自定义provider用于实现自定义的登录认证, 如不需要其它形式认证如短信登录,可删除
        auth.authenticationProvider(new CustomerAuthenticationProvider());
    }

    @Bean
    public CustomAuthenticationProcessingFilter externalAuthenticationProcessingFilter() {
        // 自定义认证filter,需要实现CustomAuthenticationProcessingFilter和CustomerAuthenticationProvider
        // filter将过滤url并把认证信息塞入authentication作为CustomerAuthenticationProvider.authenticate的入参
        CustomAuthenticationProcessingFilter filter = new CustomAuthenticationProcessingFilter();

        // 默认自定义认证方式grant_type为authorization_code方式,如果直接返回内容,则需自定义success和fail handler
        // filter.setAuthenticationSuccessHandler(new CustomAuthenticationSuccessHandler());
        // filter.setAuthenticationFailureHandler(new CustomAuthenticationFailureHandler());

        filter.setAuthenticationManager(authenticationManager);
        return filter;
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

效果

因为涉及到前后端的配合及通过code换取token的转换,本项目实现了一个前端项目直接使用Spring Security及其登录页面,登录成功后跳回到前端首页,参考文末源码awesome-admin中admin-ui。

  1. 登录页面, url为localhost:8000( 会自动跳转到auth服务的登录页面), 用户名和密码用上面代码可以看到,对用户名和密码没有实质的检验可以随便输,目前还没有前端加上其它认证方式。


    登录页面
  2. 请求到/oauth/custom/token登录后成功, JWT Token会保存在cookie中以便前端使用。


    自定义认证请求

面向Copy&Paste编程

  1. awesome-admin源码
    https://gitee.com/awesome-engineer/awesome-admin
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,922评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,591评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,546评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,467评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,553评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,580评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,588评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,334评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,780评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,092评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,270评论 1 344
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,925评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,573评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,194评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,437评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,154评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,127评论 2 352