以前胖哥带大家用Spring Security过滤器实现了验证码认证,今天我们来改良一下验证码认证的配置方式,更符合Spring Security的设计风格,也更加内卷。

CaptchaAuthenticationFilter是通过模仿UsernamePasswordAuthenticationFilter实现的。同样的道理,由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer来完成的,应该也能模仿一下FormLoginConfigurer,写一个配置类CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter

public final class FormLoginConfigurer<H extends HttpSecurityBuilder<H>> extends

		AbstractAuthenticationFilterConfigurer<H, FormLoginConfigurer<H>, UsernamePasswordAuthenticationFilter> {

    // 省略

}

AbstractAuthenticationFilterConfigurer

FormLoginConfigurer看起来有点复杂,不过继承关系并不复杂,只继承了AbstractAuthenticationFilterConfigurer

public abstract class AbstractAuthenticationFilterConfigurer<B extends HttpSecurityBuilder<B>, T extends AbstractAuthenticationFilterConfigurer<B, T, F>, F extends AbstractAuthenticationProcessingFilter>

		extends AbstractHttpConfigurer<T, B> {

}

理论上我们模仿一下,也继承一下这个类,但是你会发现这种方式行不通。因为AbstractAuthenticationFilterConfigurer只能Spring Security内部使用,不建议自定义。原因在于它最终向HttpSecurity添加过滤器使用的是HttpSecurity.addFilter(Filter)方法,这个方法只有内置过滤器(参见FilterOrderRegistration)才能使用。了解了这个机制之后,我们只能往上再抽象一层,去改造其父类AbstractHttpConfigurer

改造过程

AbstractAuthenticationFilterConfigurer<B,T,F>中的B是实际指的HttpSecurity,因此这个要保留;

T指的是它本身的实现,我们配置CaptchaAuthenticationFilter不需要下沉一层到FormLoginConfigurer这个继承级别,直接在AbstractAuthenticationFilterConfigurer这个继承级别实现即可,因此T这里指的就是需要配置类本身,也不需要再抽象化,因此是不需要的;同样的原因F也不需要,很明确是CaptchaAuthenticationFilter,不需要再泛化。这样CaptchaAuthenticationFilter的配置类结构可以这样定义:

public class CaptchaAuthenticationFilterConfigurer<H extends HttpSecurityBuilder<H>> extends AbstractHttpConfigurer<CaptchaAuthenticationFilterConfigurer<H>, H> {

    // 不再泛化  具体化

    private final CaptchaAuthenticationFilter authFilter;

    // 特定的验证码用户服务

    private CaptchaUserDetailsService captchaUserDetailsService;

    // 验证码处理服务

    private CaptchaService captchaService;

    // 保存认证请求细节的策略

    private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource;

    // 默认使用保存请求认证成功处理器

    private SavedRequestAwareAuthenticationSuccessHandler defaultSuccessHandler = new SavedRequestAwareAuthenticationSuccessHandler();

    // 认证成功处理器

    private AuthenticationSuccessHandler successHandler = this.defaultSuccessHandler;

     // 登录认证端点

    private LoginUrlAuthenticationEntryPoint authenticationEntryPoint;

    // 是否 自定义页面

    private boolean customLoginPage;

    // 登录页面

    private String loginPage;

    // 登录成功url

    private String loginProcessingUrl;

    // 认证失败处理器

    private AuthenticationFailureHandler failureHandler;

    // 认证路径是否放开

    private boolean permitAll;

    //  认证失败的url

    private String failureUrl;

    /**

     * Creates a new instance with minimal defaults

     */

    public CaptchaAuthenticationFilterConfigurer() {

        setLoginPage("/login/captcha");

        this.authFilter = new CaptchaAuthenticationFilter();

    }

    public CaptchaAuthenticationFilterConfigurer<H> formLoginDisabled() {

        this.formLoginEnabled = false;

        return this;

    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaUserDetailsService(CaptchaUserDetailsService captchaUserDetailsService) {

        this.captchaUserDetailsService = captchaUserDetailsService;

        return this;

    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaService(CaptchaService captchaService) {

        this.captchaService = captchaService;

        return this;

    }

    public CaptchaAuthenticationFilterConfigurer<H> usernameParameter(String usernameParameter) {

        authFilter.setUsernameParameter(usernameParameter);

        return this;

    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaParameter(String captchaParameter) {

        authFilter.setCaptchaParameter(captchaParameter);

        return this;

    }

    public CaptchaAuthenticationFilterConfigurer<H> parametersConverter(Converter<HttpServletRequest, CaptchaAuthenticationToken> converter) {

        authFilter.setConverter(converter);

        return this;

    }

    @Override

    public void init(H http) throws Exception {

        updateAuthenticationDefaults();

        updateAccessDefaults(http);

        registerDefaultAuthenticationEntryPoint(http);

        // 这里禁用默认页面过滤器 如果你想自定义登录页面 可以自行实现 可能和FormLogin冲突

        // initDefaultLoginFilter(http);

        // 把对应的Provider也在init时写入HttpSecurity

        initProvider(http);

    }

     @Override

    public void configure(H http) throws Exception {

        //这里改为使用前插过滤器方法

         http.addFilterBefore(filter, LogoutFilter.class);

    }

     // 其它方法 同AbstractAuthenticationFilterConfigurer

}

其实就是模仿AbstractAuthenticationFilterConfigurer及其实现类的风格把用的配置项实现一边。这里值得一提的是CaptchaService的配置也可以从Spring IoC中查找(参考getBeanOrNull方法,这个方法在Spring Security中随处可见,建议借鉴),这样更加灵活,既能从方法配置也能自动注入。

    private void initProvider(H http) {

        ApplicationContext applicationContext = http.getSharedObject(ApplicationContext.class);

        // 没有配置CaptchaUserDetailsService就去Spring IoC获取

        if (captchaUserDetailsService == null) {

            captchaUserDetailsService = getBeanOrNull(applicationContext, CaptchaUserDetailsService.class);

        }

        // 没有配置CaptchaService就去Spring IoC获取

        if (captchaService == null) {

            captchaService = getBeanOrNull(applicationContext, CaptchaService.class);

        }

        // 初始化 Provider

        CaptchaAuthenticationProvider captchaAuthenticationProvider = this.postProcess(new CaptchaAuthenticationProvider(captchaUserDetailsService, captchaService));

        // 会增加到ProviderManager的注册列表中

        http.authenticationProvider(captchaAuthenticationProvider);

    }

配置类效果

我们来看看CaptchaAuthenticationFilterConfigurer的配置效果:

    @Bean

    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http, UserDetailsService userDetailsService) throws Exception {

        http.csrf().disable()

                .authorizeRequests()

                .mvcMatchers("/foo/**").access("hasAuthority('ROLE_USER')")

                .anyRequest().authenticated()

                .and()

                // 所有的 AbstractHttpConfigurer 都可以通过apply方法加入HttpSecurity

                .apply(new CaptchaAuthenticationFilterConfigurer<>())

                // 配置验证码处理服务   这里直接true 方便测试

                .captchaService((phone, rawCode) -> true)

                // 通过手机号去拿验证码,这里为了方便直接写死了,实际phone和username做个映射

                .captchaUserDetailsService(phone -> userDetailsService.loadUserByUsername("felord"))

                // 默认认证成功跳转到/路径  这里改造成把认证信息直接返回json

                .successHandler((request, response, authentication) -> {

                // 这里把认证信息以JSON形式返回

                    ServletServerHttpResponse servletServerHttpResponse = new ServletServerHttpResponse(response);

                    MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();

                           mappingJackson2HttpMessageConverter.write(authentication, MediaType.APPLICATION_JSON,servletServerHttpResponse);

                });

        return http.build();

    }

是不是要优雅很多,解决了你自己配置过滤器的很多疑难杂症。学习一定要模仿,先模仿成功,然后再分析思考为什么会模仿成功,最后形成自己的创造力。千万不要被一些陌生概念唬住,有些改造是不需要去深入了解细节的。

关注公众号:Felordcn 获取更多资讯

个人博客:https://felord.cn

Spring Security配置个过滤器也这么卷的更多相关文章

  1. spring boot 之 spring security 配置

    Spring Security简介 之前项目都是用shiro,但是时过境迁,spring security变得越来越流行.spring security的前身是Acegi, acegi 我也玩过,那都 ...

  2. Spring Security 中的过滤器

    本文基于 spring-security-core-5.1.1 和 tomcat-embed-core-9.0.12. Spring Security 的本质是一个过滤器链(filter chain) ...

  3. Spring Security(2):过滤器链(filter chain)的介绍

    上一节中,主要讲了Spring Security认证和授权的核心组件及核心方法.但是,什么时候调用这些方法呢?答案就是Filter和AOP.Spring Security在我们进行用户认证以及授予权限 ...

  4. Spring Security(四) —— 核心过滤器源码分析

    摘要: 原创出处 https://www.cnkirito.moe/spring-security-4/ 「老徐」欢迎转载,保留摘要,谢谢! 4 过滤器详解 前面的部分,我们关注了Spring Sec ...

  5. Spring Security:Servlet 过滤器(三)

    3)Servlet 过滤器 Spring Security 过滤器链是一个非常复杂且灵活的引擎.Spring Security 的 Servlet 支持基于 Servlet 过滤器,因此通常首先了解过 ...

  6. spring security 11种过滤器介绍

    1.HttpSessionContextIntegrationFilter 位于过滤器顶端,第一个起作用的过滤器. 用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个Secu ...

  7. spring mvc 和spring security配置 web.xml设置

    <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmln ...

  8. spring security 配置多个AuthenticationProvider

    前言 发现很少关于spring security的文章,基本都是入门级的,配个UserServiceDetails或者配个路由控制就完事了,而且很多还是xml配置,国内通病...so,本文里的配置都是 ...

  9. Spring学习日志之Spring Security配置

    依赖引入 <dependency> <groupId>org.springframework.security</groupId> <artifactId&g ...

随机推荐

  1. python驱动SAP完成数据导出(二)

    在上一篇 python驱动SAP完成数据导出(一)中,我们提到了数据导出前,SAP布局的重要性,如何识别当前布局模式,以及如何切换到想要的布局.本篇小爬将着重讲讲数据导出的注意事项. 我们可以通过如下 ...

  2. 在 k8s 中的 jenkins 集成 sonarqube 实现代码质量检查

    不乱于心,不困于情,不畏将来,不念过往,如此安好 --<不宠无惊过一生>丰子恺 概述 关于在 k8s 中安装 jenkins 和 sornarqube 可以查看下面的文章: 在 k8s 中 ...

  3. 1010day-人口普查系统

    1.xiugai.java package com.edu.ia; import java.io.IOException;import java.sql.SQLException; import ja ...

  4. 【CSAPP】第三章 程序的机器级表示

    目录 1. 数据的编码与存储 2. 汇编指令 2.1 数据传送指令 访存方式 数据传送指令 入栈出栈 2.2 算术/逻辑指令 2.3 过程控制指令 控制码 比较指令 跳转指令 条件设置指令 3. 程序 ...

  5. json模块 os模块 文件加密

    目录 一:random随机模块 二:os模块 三:文件处理选择任意视频 四:sys模块 五:实现文件执行加密操作 六:json 序列化模块 七:json序列化 反序列化 八:json 文件写读方式 九 ...

  6. 如何在pyqt中实现平滑滚动的QScrollArea

    平滑滚动的视觉效果 Qt 自带的 QScrollArea 滚动时只能在两个像素节点之间跳变,看起来很突兀.刚开始试着用 QPropertyAnimation 来实现平滑滚动,但是效果不太理想.所以直接 ...

  7. LeetCode 每日一题 458. 可怜的小猪

    题目描述 有 buckets 桶液体,其中 正好 有一桶含有毒药,其余装的都是水.它们从外观看起来都一样.为了弄清楚哪只水桶含有毒药,你可以喂一些猪喝,通过观察猪是否会死进行判断.不幸的是,你只有 m ...

  8. Linux性能优化实战(一)

    一.优化方向 1,性能指标 从应用负载的视角出发,考虑"吞吐"和"延时" 从系统资源的视角出发,考虑资源使用率.饱和度等 2,性能优化步骤 选择指标评估应用程序 ...

  9. Azure MFA 守护你的账户安全

    一,引言 MFA 又名 "多因素身份认证",指用户在登录的时候提示输入其他形式的标识.如果只使用密码对用户进行身份验证,是特别不安全的,尤其是在密码泄露的情况下.为了提高安全性,启 ...

  10. Nginx配置转发

    nginx location proxy_pass 后面的url 加与不加/的区别 在nginx中配置proxy_pass时,当在后面的url加上了/,相当于是绝对根路径,则nginx不会把locat ...