配置Spring Security以使用自定义UsernamePasswordAuthenticationFilter
配置Spring Security以使用自定义UsernamePasswordAuthenticationFilter
Spring Security是一个功能强大的安全框架,它提供了一系列的安全功能,包括身份验证、授权、安全配置、攻击防护等。要使用自定义的UsernamePasswordAuthenticationFilter,你需要按照以下步骤进行配置:
- 创建自定义的UsernamePasswordAuthenticationFilter类:
public class CustomUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
// 在这里添加自定义的身份验证逻辑
}
@Override
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
// 在这里添加自定义的成功验证后的处理逻辑
}
@Override
protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
// 在这里添加自定义的验证失败后的处理逻辑
}
}- 在Spring Security配置类中注册自定义的UsernamePasswordAuthenticationFilter:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private CustomUsernamePasswordAuthenticationFilter customUsernamePasswordAuthenticationFilter;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.addFilterBefore(customUsernamePasswordAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
}
// 其他配置
}- 在自定义的UsernamePasswordAuthenticationFilter类中添加自定义的身份验证逻辑,例如从请求中获取用户名和密码,然后使用自定义的身份验证管理器进行身份验证:
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
String username = request.getParameter("username");
String password = request.getParameter("password");
UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}- 在Spring Security配置类中注册自定义的身份验证管理器:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private CustomUsernamePasswordAuthenticationFilter customUsernamePasswordAuthenticationFilter;
@Autowired
private CustomAuthenticationManager customAuthenticationManager;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.addFilterBefore(customUsernamePasswordAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
.authenticationManager(customAuthenticationManager);
}
// 其他配置
}- 在自定义的身份验证管理器中添加自定义的身份验证逻辑,例如从数据库中查询用户信息,然后进行密码匹配:
@Component
public class CustomAuthenticationManager implements AuthenticationManager {
@Autowired
private UserService userService;
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
String username = authentication.getName();
String password = authentication.getCredentials().toString();
User user = userService.findByUsername(username);
if (user == null) {
throw new BadCredentialsException("用户名或密码错误");
}
if (!password.equals(user.getPassword())) {
throw new BadCredentialsException("用户名或密码错误");
}
List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList(user.getRoles().stream().map(Role::getName).toArray(String[]::new));
return new UsernamePasswordAuthenticationToken(username, password, authorities);
}
}通过以上步骤,你可以成功地配置Spring Security以使用自定义的UsernamePasswordAuthenticationFilter。
相关·内容
但是,当使用登录详细信息发送post请求时,UserDetailsService类似乎首先执行。有人能解释一下UserDetailsService是如何工作的(即当它被调用时),以及我如何更改我的安全配置以执行我的控制器POST登录方法中的内容(就像它用于注册一样)。Successfully logged in with user: {}", userForm.getFirstName());
}
我的安全配置Authenti
浏览 2提问于2017-07-23得票数 3
回答已采纳
2回答
我们希望在spring安全身份验证发生后向我们的请求中添加头部。
但是,不会追加标头。我们可以通过Zuul过滤器来实现,但不能使用spring security过滤器。
浏览 22提问于2017-01-16得票数 1
我正在尝试将使用Spring-Security 3.x开发的自定义遗留身份验证提供程序降级到2.0.8版本。public class AuthenticationProcessingFilterextends Us
浏览 1提问于2016-01-24得票数 1
从spring安全xml配置迁移到Spring Security中的Java Config。但是,问题是安全筛选器没有使用userDetailsService,特别是UsernamePasswordAuthenticationFilter。HttpSecurity http)}
我还尝试使用自定
浏览 2提问于2015-02-07得票数 7
1回答
org.springframework.web.servlet.PageNotFound noHandlerFound从jsp中的这一行: action="<c:url value='
浏览 3提问于2015-11-16得票数 0
在基于SpringSecurity3.2的应用程序中,我有一个显式配置的UsernamePasswordAuthenticationFilter,需要引用sessionAuthenticationStrategy(以调用.onAuthentication).*
sessionAuthenticationStrategy是由<security:http> (HttpSecurityBeanDefinitionParser配置?<security:custom-filter
浏览 2提问于2014-10-17得票数 10
我正在尝试配置Spring Security来接受JSON登录负载。然而,使用UsernamePasswordAuthenticationFilter作为自定义筛选器副作用导致Spring Security没有按照预期遵循AuthenticationSuccessHandler,而是将spring request重定向到根页面(默认的spring安全配置)。注意:如果我从配置中删除
浏览 21提问于2017-12-11得票数 0
Grails 1.3.7 + spring-security-core插件session[UsernamePasswordAuthenticationFilter.SPRING_SECURITY_LAST_USERNAME_KEY]
但似乎没有办法获得密码session[UsernamePasswordAuthenticationFilter.SPRING_SECURI
浏览 4提问于2012-01-18得票数 3
在使用<http ... /> Spring Security3命名空间时,如何自定义UsernamePasswordAuthenticationFilter usernameParameter (j_username
浏览 1提问于2010-03-21得票数 8
回答已采纳
我正在开发一个grails应用程序,在该应用程序中,我需要修改会话变量以实现自定义Spring安全身份验证,并需要设置以下内容- TextEscapeUtils.escapeEntities(username)
现在,这个键来自org.springframework.security.web.authentication.UsernamePasswor
浏览 3提问于2015-02-11得票数 3
回答已采纳
我注意到JSESSIONID在使用自定义安全筛选器登录后不会改变。 http return customFilter;即使我放置了sessionManagement().sess
浏览 0提问于2021-07-20得票数 0
4回答
我正在尝试为我的Spring应用程序添加安全性。当前的应用程序是使用REST控制器,每次收到GET或POST请求时,我都会读取header来检索用户和密码,以便根据我存储的所有用户的属性文件验证它们。我想将它更改为使用Security,这就是我到目前为止得到的结果:
public class SecurityConfig extends WebSecurityConfigurerAdapter {
浏览 11提问于2017-05-22得票数 14
我是spring框架的新手。我正在为我的any应用程序创建一个登录页面,我希望用户在对该应用程序执行任何操作之前进行登录。显示一条消息不是问题,但是如果不使用过时的变量SPRING_SECURITY_LAST_USERNAME,我就无法将用户名保存在jps文件中。
希望有人能帮我,我用的是Spring3。
浏览 0提问于2013-02-24得票数 11
回答已采纳
我有spring的安全措施,通过login.jsp登录工作得很好。我也尝试过"redirect:/j_
浏览 1提问于2013-03-21得票数 5
回答已采纳
我正在使用springSecurityService。我的流程如下:步骤1 :springSecurityService应该检查用户和密码。如果成功,步骤#2:检查第二次身份验证。
浏览 3提问于2015-10-26得票数 0
我的应用程序的安全系统是基于Spring Sequrity3.1的。我正在使用PersistentTokenBasedRememberMeServices。我需要使用Sessionregistrympl显示所有登录用户的列表。问题是当站点变成"rememberme-user“时,它的会话在SessionRegistry中就不存在了。我的配置files:web.xml <listener-class>
org.springframework.we
浏览 3提问于2012-05-15得票数 2
1回答
我在我的应用程序中使用了自定义实现的SSO,它使用的是Spring。(最近,我正在将我的应用程序升级到Spring 5.2.5和Java 11。)http://localhost:8181/MyApp/j_spring_security_check?为什么不转到主页或未调用的CustomAuthenticationFilter.attemptAuthentication方法(覆盖UsernamePasswordAuthen
浏览 39提问于2020-09-02得票数 0
回答已采纳
如何在Security 4中通过XML配置禁用特定URL模式的CSRF?Spring-security.xml <" authentication-failure-url="/login" login-proce
浏览 7提问于2015-08-12得票数 6
回答已采纳
我正在使用Sping MVC和Spring Security,但我的脑海中有一些困惑。在Spring Security中,登录表单的操作是'{application context}/j_spring_security_check',它隐藏了身份验证的整个过程。在Spring MVC中,我可以很容易地找到对应于特定url的控制器。显然,没有控制器来处理j_spring_security_
浏览 0提问于2014-03-01得票数 1
委托入口点很好,但我从来没有进入我的自定义身份验证提供者.以下是我的安全配置: secured-annotations="enabled" />
class="org.springframework.security.web.authentication.UsernamePasswordAu
浏览 3提问于2013-02-12得票数 6
回答已采纳
云服务器
ICP备案
对象存储
腾讯会议
云直播
腾讯云开发者
