個性化認證!Spring Security 輕松擴展登錄字段
1. 簡介
Spring Security是一個功能強大且高度可定制的身份驗證和訪問控制框架,它是Spring家族中的核心一員。它基于Spring框架,為基于Java的企業應用程序提供全面的安全性解決方案。
Spring Security支持認證、授權、加密、會話管理等核心安全功能,并提供了與Spring MVC等Spring框架的無縫集成。通過簡單的配置和注解,開發者可以輕松地將其集成到應用程序中,保護應用程序免受各種安全威脅。
默認情況下,Spring Security 提供了基于用戶名/密碼的安全驗證,如下默認的登錄示例:
圖片
該頁面是Spring Security內置的登錄頁面,它是基于用戶名和密碼的驗證,要完成該認證方式其實非常的簡單,我們只需要提供UserDetailsService和PasswordEncoder 兩個Bean,或者是提供AuthenticationProvider 一個Bean即可。
現在我們希望擴展登錄認證,添加域的登錄驗證,如下登錄頁面:
圖片
該頁面的登錄認證,我們不僅局限于驗證用戶名和密碼,還額外要求驗證特定的域信息,以確保用戶身份的全面驗證與訪問控制的安全性。
本篇文章我們將詳細的介紹如何實現上面的認證要求。
2. 實戰案例
2.1 定義實體對象&Repository
@Entity
@Table(name = "s_user")
public class User implements UserDetails {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id ;
private String username ;
private String domain ;
private String password ;
// getters, setters
}該實體對象實現了UserDetails接口,其主要作用是,在后續自定義UserDetailsService時,能夠基于用戶名及域來查詢并返回相應的用戶詳情對象。
Repository接口定義
該接口提供一個根據用戶名及域的查詢方法
public interface UserRepository extends JpaRepository<User, Long> {
User findByUsernameAndDomain(String username, String domain) ;
}接下來,我們需要定義與安全認證相關的代碼了。
2.2 自定義過濾器
public class ExtraAuthenticationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
ExtraHttpRequest req = new ExtraHttpRequest(request) ;
filterChain.doFilter(req, response) ;
}
}該過濾器的作用是用來,處理登錄頁面的請求參數,我們需要將用戶名及域兩個字段進行合并處理。
public class ExtraHttpRequest extends HttpServletRequestWrapper {
public ExtraHttpRequest(HttpServletRequest request) {
super(request) ;
}
@Override
public String getParameter(String name) {
// 判斷如果參數名是指定的名稱,則我們將用戶名與域兩個表單值進行拼接
if (SecurityConfig.LOGIN_NAME_PARAMETER.equals(name)) {
String username = super.getParameter(SecurityConfig.LOGIN_NAME_PARAMETER) ;
String domain = super.getParameter(SecurityConfig.LOGIN_DOMAIN_PARAMETER) ;
return username + Character.LINE_SEPARATOR + domain ;
}
return super.getParameter(name) ;
}
}這里拼接后,我們會在后續進行解析處理。
2.3 安全配置
@Configuration
public class SecurityConfig {
public static final String LOGIN_NAME_PARAMETER = "username" ;
public static final String LOGIN_DOMAIN_PARAMETER = "domain" ;
@Bean
SecurityFilterChain securityFilterChain(HttpSecurity http) throws Throwable {
http.csrf(csrf -> csrf.disable()) ;
http.authorizeHttpRequests(registry -> {
registry.requestMatchers("*.html", "*.css", "*.js", "/login").permitAll() ;
registry.requestMatchers("/**").authenticated() ;
}) ;
http.formLogin(form -> {
// 自定義登錄頁面
form.loginPage("/login").usernameParameter(LOGIN_NAME_PARAMETER) ;
}) ;
// 將我們自定義的過濾器,添加到安全過濾器鏈中,并且是在UsernamePasswordAuthenticationFilter
// 過濾器之前執行
http.addFilterBefore(extraAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) ;
return http.build() ;
}
@Bean
ExtraAuthenticationFilter extraAuthenticationFilter() {
return new ExtraAuthenticationFilter() ;
}
@Bean
PasswordEncoder noopPasswordEncoder() {
return new PasswordEncoder() {
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
return rawPassword != null && encodedPassword != null && rawPassword.equals(encodedPassword) ;
}
@Override
public String encode(CharSequence rawPassword) {
return rawPassword.toString() ;
}
};
}
}下面我們會配置自定義的UserDetailsService對象,所以我們還需要提供一個PasswordEncoder類型的bean,由于我們沒有對密碼進行加密處理,所以我們只是做了簡單的相等判斷。
@Component
public class PackUserDetailsService implements UserDetailsService {
private final UserRepository userRepository ;
public PackUserDetailsService(UserRepository userRepository) {
this.userRepository = userRepository;
}
// 由于這里需要返回的是UserDetails對象,所以我們上面的User實體
// 實現了該接口
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 上面的過濾器中我們將用戶與域進行了組裝,所以這里將用戶名進行解析處理
String[] info = StringUtils.split(username, String.valueOf(Character.LINE_SEPARATOR)) ;
return this.userRepository.findByUsernameAndDomain(info[0], info[1]) ;
}
}再次說明:在Spring Security中,要么你提供UserDetailsService和PasswordEncoder兩個Bean,要么提供一個AuthenticationProvider(通常我們可以定義DaoAuthenticationProvider即可)類型的Bean。這樣就能使用自定義的邏輯進行安全認證。
2.4 自定義登錄頁面
我們將使用thymeleaf來編寫登錄頁面,需要引入如下的依賴:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<dependency>
<groupId>org.thymeleaf.extras</groupId>
<artifactId>thymeleaf-extras-springsecurity6</artifactId>
</dependency>配置thymeleaf
spring:
thymeleaf:
prefix: classpath:/static/
suffix: .html
cache: false下面是登錄頁面
<html lang="en">
<head>
<meta charset="UTF-8">
<title>安全登錄</title>
<link rel="stylesheet">
<style type="text/css">
body {
margin: 10px auto;
}
.form-signin {
width: 50%; /* 根據需要調整寬度 */
margin: 0 auto;
padding: 20px; /* 可選,為表單添加內邊距 */
border: 1px solid #ccc; /* 可選,為表單添加邊框 */
border-radius: 6px; /* 可選,為表單邊框添加圓角 */
}
</style>
</head>
<body>
<form class="form-signin" th:action="@{/login}" method="post">
<h2 class="form-signin-heading">安全登錄</h2>
<p th:if="${param.error}" class="error">錯誤的用戶名/域, 密碼</p>
<p>
<label for="username" class="sr-only">帳號</label>
<input type="text" id="username" name="username" class="form-control" placeholder="用戶名" required autofocus/>
</p>
<p>
<label for="domain" class="sr-only">域</label>
<input type="text" id="domain" name="domain" class="form-control" placeholder="登錄域" required autofocus/>
</p>
<p>
<label for="password" class="sr-only">密碼</label>
<input type="password" id="password" name="password" class="form-control" placeholder="密碼" required autofocus/>
</p>
<button class="btn btn-sm btn-primary btn-block" type="submit">登錄</button>
<a href="/index" th:href="@{/index}">返回</a>
</form>
</body>
</html>該login.html頁面保存在classpath下的/static目錄中即可。
最后,我們還需要定義一個/login接口,用來跳轉到上面的登錄頁面
@Controller
public class LoginController {
@GetMapping("/login")
public String login() {
return "login" ;
}
}以上我們就完成了所有的代碼編寫。
2.4 測試
@RestController
@RequestMapping("/api")
public class ApiController {
@GetMapping("/query")
public ResponseEntity<Object> query() {
return ResponseEntity.ok("api query success") ;
}
}數據庫中的數據
圖片
訪問/api/query接口將跳轉到登錄頁面
圖片
成功登錄后,跳回之前的頁面/api/query
圖片
