优质广告供应商

广告是为了更好地支持作者创作

Spring Secutity 添加过滤器实现自定义登录认证

上一篇文章我们讲了Spring Security 如何实现OAuth2.0自定义登录页面 + JWT Token配置,但是在有些场景下,我们有可能需要支持多种登录方式,如用户名密码登录、手机验证码登录等等。

此时我们需要能够实现一个认证流程同时支持多种认证方式,基于Spring Security认证的原理提到的Spring Security 的认证流程的本质上就是新增、删除、修改过滤器

本文在上一篇文章的基础上继续介绍如何通过自己添加Filter的方式实现支持多种方式自定义登录认证,只需要三个步骤(知道本质后是不是并不觉得复杂 ):

  1. 添加CustomAuthenticationProcessingFilter用于处理登录请求
  2. 添加CustomerAuthenticationProvider进行实际认证
  3. CustomAuthenticationProcessingFilterCustomerAuthenticationProvider配置到Spring Security框架中

代码实现

1. 添加CustomAuthenticationProcessingFilter用于处理登录请求

CustomAuthenticationProcessingFilter通常实现两件事情:

  • 设置我要处理的登录请求Url和方法
  • 将请求中的认证信息保存起来以便CustomerAuthenticationProvider处理认证

下面代码attemptAuthentication首先定义了登录请求的url为/oauth/custom/token POST方法;然后将认证的信息包括认证的类型、用户名和凭证生成到CustomAuthenticationToken中(框架会通过SecurityContextHolderCustomAuthenticationToken保存以用于AuthenticationProvider的实际认证),最后通过 AuthenticationManager去调用 AuthenticationProvider去认证。
setDetail主要是为了未来方便扩展认证请求里面的信息。

public class CustomAuthenticationProcessingFilter extends AbstractAuthenticationProcessingFilter {

    private static final String AUTH_TYPE = "auth_type";
    private static final String USERNAME = "username";
    private static final String CREDENTIALS = "credentials";
    private static final String OAUTH_TOKEN_URL = "/oauth/custom/token";
    private static final String HTTP_METHOD_POST = "POST";

    public CustomAuthenticationProcessingFilter() {
        super(new AntPathRequestMatcher(OAUTH_TOKEN_URL, "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException {
        if (!HTTP_METHOD_POST.equals(request.getMethod().toUpperCase())){
           throw  new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }

        AbstractAuthenticationToken authRequest = new CustomAuthenticationToken(
                request.getParameter(AUTH_TYPE), request.getParameter(USERNAME), request.getParameter(CREDENTIALS),
                request.getParameterMap(),new ArrayList<>()
        );

        this.setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }

    protected void setDetails(HttpServletRequest request, AbstractAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }

}

注意因为要支持不同的登录方式,所以这里我们自己定义了CustomAuthenticationToken用于保存认证信息,auth_type用于记录登录方式用户名密码登录还是手机登录或者其它方式, principal在手机登录中就是手机号(前端传的是username,filter保存到了principal中),credentials是验证码,你也可以自己定义,只要能从前端请求中获取到就可以。authParams用以保存其它参数信息,如果有的话。

public class CustomAuthenticationToken extends AbstractAuthenticationToken {

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    private String authType;

    private Map<String,String[]> authParams;

    private Object principal;

    private Object credentials;
}

2. 添加CustomerAuthenticationProvider进行实际认证

CustomerAuthenticationProvider通常也是实现两件事情:

  • 根据认证的类型(用户名密码还是验证码或者其它方式)进行认证
  • 认证成功后加入你需要的用户信息用于生成Token
public class CustomerAuthenticationProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        if(authentication.getPrincipal() == null){
            throw  new BadCredentialsException("用户名为空");
        }

        CustomAuthenticationToken customAuthenticationToken =(CustomAuthenticationToken) authentication;

        // 页面调用时传递auth_type参数,如手机验证码验证或者其它类型。根据不同的类型的auth type采用不同的验证方式验证是否登录成功
        if("mobile".equals(customAuthenticationToken.getAuthType())) {
            // 手机认证
            
        } else if("password".equals(customAuthenticationToken.getAuthType())) {
            // 用户名和密码
            
        } else {
            // 其它方式
            
        }

        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("internal::user"));

        CustomAuthenticationToken authenticationToken = new CustomAuthenticationToken
                (((CustomAuthenticationToken) authentication).getAuthType(), authentication.getPrincipal(), null,
                        null, authorities);

        Map<String, Object> details = new HashMap<>(1);
        details.put("name", customAuthenticationToken.getPrincipal());
        authenticationToken.setDetails(details);

        return authenticationToken;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return (CustomAuthenticationToken.class.isAssignableFrom(authentication));
    }
}

3. 将CustomAuthenticationProcessingFilter和CustomerAuthenticationProvider配置到Spring Security框架中

首先配置CustomAuthenticationProcessingFilterexternalAuthenticationProcessingFilter之后然后配置加入CustomerAuthenticationProvider很简单

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    CustomLogoutSuccessHandler customLogoutSuccessHandler;

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private UsernamePasswordUserDetailService usernamePasswordUserDetailService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 默认支持./login实现authorization_code认证
        http
            .formLogin().loginPage("/index.html").loginProcessingUrl("/login")
            .and()
            .authorizeRequests()
            .antMatchers("/index.html", "/login", "/resources/**", "/static/**").permitAll()
            .anyRequest() // 任何请求
            .authenticated()// 都需要身份认证
            .and()
            .logout().invalidateHttpSession(true).deleteCookies("JSESSIONID").logoutSuccessHandler(customLogoutSuccessHandler).permitAll()
            .and()
            .csrf().disable();

        // 自定义认证filter,支持./oauth/custom/token实现authorization_code认证
        http.addFilterAfter(externalAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) {
        // 定义认证的provider用于实现用户名和密码认证
        auth.authenticationProvider(new UsernamePasswordAuthenticationProvider(usernamePasswordUserDetailService));
        // 自定义provider用于实现自定义的登录认证, 如不需要其它形式认证如短信登录,可删除
        auth.authenticationProvider(new CustomerAuthenticationProvider());
    }

    @Bean
    public CustomAuthenticationProcessingFilter externalAuthenticationProcessingFilter() {
        // 自定义认证filter,需要实现CustomAuthenticationProcessingFilter和CustomerAuthenticationProvider
        // filter将过滤url并把认证信息塞入authentication作为CustomerAuthenticationProvider.authenticate的入参
        CustomAuthenticationProcessingFilter filter = new CustomAuthenticationProcessingFilter();

        // 默认自定义认证方式grant_type为authorization_code方式,如果直接返回内容,则需自定义success和fail handler
        // filter.setAuthenticationSuccessHandler(new CustomAuthenticationSuccessHandler());
        // filter.setAuthenticationFailureHandler(new CustomAuthenticationFailureHandler());

        filter.setAuthenticationManager(authenticationManager);
        return filter;
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

效果

因为涉及到前后端的配合及通过code换取token的转换,本项目实现了一个前端项目直接使用Spring Security及其登录页面,登录成功后跳回到前端首页,参考文末源码awesome-admin中admin-ui。

  1. 登录页面, url为localhost:8000( 会自动跳转到auth服务的登录页面), 用户名和密码用上面代码可以看到,对用户名和密码没有实质的检验可以随便输,目前还没有前端加上其它认证方式。


    登录页面
  2. 请求到/oauth/custom/token登录后成功, JWT Token会保存在cookie中以便前端使用。


    自定义认证请求

面向Copy&Paste编程

  1. awesome-admin源码
    https://gitee.com/awesome-engineer/awesome-admin

优质广告供应商

广告是为了更好地支持作者创作