最近在项目中用到了Spring Security 2
为了实现自己的一些逻辑,所以粗略的读了一次他的代码,和文档。
文档中介绍了Spring Security 的大体框架和原理。
但是对于如何扩展Spring Security,使它更适合自己的项目并没有详细的介绍,这点比较遗憾。
所以硬着头皮,大致过了一次他的代码。
以下是我扩展的需求:
1、用户登录是判断用户登录错误次数是否超过指定次数,如三次,若超过则锁定用户
2、登录成功更新用户的信息,如最后登录时间,登录IP等,并保存到数据库。
3、登录失败则增加用户登录失败的次数。
对于上面的这些需求,读了源代码之后,你会发现Spring Security的框架十分灵活。
代码也很清晰。
首先,用户登录时,经过了一系列的过滤器,他的过滤器使用Spring来管理的。
其中一个名为AuthenticationProcessFilter的过滤器,专门为网页验证提供。
跟了一下这个过滤器,发现他继承的抽象类AbstractProcessingFilter中有几个可以扩展的方法:
protected void onPreAuthentication(HttpServletRequest request,HttpServletResponse response) throws AuthenticationException, IOException {
}
protected void onSuccessfulAuthentication(HttpServletRequest request,HttpServletResponse response,Authentication authResult) throws IOException {
}
protected void onUnsuccessfulAuthentication(HttpServletRequest request,HttpServletResponse response,
AuthenticationException failed) throws IOException {
}
看方法名大家应该能想到他的用处,就是在验证前,验证成功后,验证失败后,提供扩展的逻辑操作。
所以我们可以通过继承AuthenticationProcessFilter并重写这几个方法来增加自己的逻辑。
重新实现了过滤器之后要重新设置Spring Security 2的过滤器链,而且原来的auto-config也不能使用。否则将无效
配置如下:
<http entry-point-ref="authenticationEntryPoint">
<intercept-url pattern="/js/*" filters="none" />
<intercept-url pattern="/styles/*" filters="none" />
<intercept-url pattern="/images/*" filters="none" />
<intercept-url pattern="/login" filters="none" />
<intercept-url pattern="/reg" filters="none" />
<intercept-url pattern="/" filters="none" />
<intercept-url pattern="/registerMember" filters="none" />
<intercept-url pattern="/index.jsp" access="ROLE_USER" />
<intercept-url pattern="/member/*" access="ROLE_USER" />
<!-- <form-login login-processing-url="/checkMember" login-page="/login" authentication-failure-url="/login?error=true" default-target-url="/" /> -->
<anonymous />
<logout logout-url="/logout" logout-success-url="/" />
<remember-me key="e37f4b31-0c45-11dd-bd0b-0800200c9a66" />
</http>
<authentication-manager alias="authenticationManager"/>
<beans:bean class="com.mysport.security.filter.EnhanceAuthenticationProcessFilter">
<custom-filter position="AUTHENTICATION_PROCESSING_FILTER" />
<beans:property name="authenticationManager" ref="authenticationManager" />
<beans:property name="authenticationFailureUrl" value="/login?error=true" />
<beans:property name="defaultTargetUrl" value="/" />
<beans:property name="filterProcessesUrl" value="/checkMember" />
<beans:property name="memberService" ref="memberService" />
</beans:bean>
<beans:bean id="authenticationEntryPoint" class="org.springframework.security.ui.
webapp.AuthenticationProcessingFilterEntryPoint">
<beans:property name="loginFormUrl" value="/login" />
</beans:bean>
如果使用Remember Me则要以类似的方式实现RememberMeProcessingFilter
1、要去掉http中的
<remember-me key="yourkey" />
2、实现rememberMeService
<beans:bean id="rememberMeServices" class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices" >
<beans:property name="key" value="yourkey" />
<beans:property name="userDetailsService" ref="securityManager" />
</beans:bean>
3、实现自己的RememberMeProcessingFilter
<beans:bean class="com.mysport.security.filter.EnhanceRememberMeProcessingFilter">
<custom-filter position="REMEMBER_ME_FILTER" />
<beans:property name="authenticationManager" ref="authenticationManager" />
<beans:property name="rememberMeServices" ref="rememberMeServices" />
<beans:property name="memberService" ref="memberService" />
</beans:bean>
4、最重要的,重新将rememberMeAuthenticationProvider添加到providers中,主要是设置对应的key,否则cookie在解密时无法正确解出内容
<beans:bean id="rememberMeAuthenticationProvider" class="org.springframework.security.providers.rememberme.RememberMeAuthenticationProvider">
<custom-authentication-provider />
<beans:property name="key" value="yourkey" />
</beans:bean>
分享到:
相关推荐
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
这三份资料——"实战Spring Security 3.x.pdf"、"Spring Security 3.pdf" 和 "Spring Security使用手册.pdf" 将深入探讨这些概念,并提供实践指导,帮助读者掌握如何在实际项目中应用Spring Security。通过学习这些...
《Spring Security 3笔记》 在深入探讨Spring Security 3的知识点之前,我们先了解下这个框架的基本概念。Spring Security是Spring生态系统中的一个组件,它为Java应用提供了全面的安全服务,包括认证、授权以及Web...
本笔记将深入探讨Spring Security的核心概念、配置以及如何在实际项目中应用。 一、Spring Security核心概念 1. **身份验证(Authentication)**:这是验证用户身份的过程。Spring Security提供了多种方式来实现,...
在本笔记中,我们将深入探讨Spring Security的命名空间,这是配置该框架的关键部分。通过理解这些命名空间,开发者可以更有效地控制应用程序的安全策略。 首先,Spring Security的核心配置是通过XML命名空间完成的...
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
在 `SpringSecurityTest01` 这个压缩包文件中,你可能找到了一个示例项目,它可能包含了配置类、控制器、视图和测试用例。通过分析这些代码,你可以更深入地理解如何在实际项目中应用 Spring Security。 总之,...
4. **使用HTTP基本认证或OAuth2**:Spring Security支持多种认证方式,包括HTTP基本认证、OAuth2等。静态资源可能需要某种形式的认证才能访问,你可以根据项目需求选择合适的认证机制。 5. **启用CSRF防护**:虽然...
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件等
Spring Security OAuth2.0 是一个广泛使用的Java安全框架,它为构建安全的Web应用程序提供了强大的支持。OAuth2.0是授权框架的一个标准,允许第三方应用在用户授权的情况下访问其私有资源,而无需共享用户的登录凭证...
Spring Security 是一个强大的Java安全框架,用于...总的来说,Spring Security 3的学习笔记和源码分析对提升安全开发技能大有裨益,不仅可以加深理论理解,还能在实际项目中灵活运用,构建更加健壮、安全的应用系统。
2. **容器(IoC Container)**:Spring容器负责创建对象、管理对象的生命周期以及维护对象间的依赖关系。主要有两种类型的容器:BeanFactory和ApplicationContext。 3. **面向切面编程(Aspect-Oriented ...
spring security学习笔记
这个"springSecurityTest.zip"文件是一个IDEA(IntelliJ IDEA)与MAVEN项目,设计用于帮助初学者理解并入门Spring Security。下面将详细阐述Spring Security的主要概念和其在实际开发中的应用。 首先,Spring ...
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...