在 Spring Security 中基于表单的认证模式,默认就是密码帐号登录认证,那么对于短信验证码+登录的方式,Spring Security 没有现成的接口可以使用,所以需要自己的封装一个类似的认证过滤器和认证处理器实现短信认证. 短信验证码认证 验证码对象类设计 和图片验证码一样,需要自己封装一个验证码对象,用来生成手机验证码并发送给手机.因为图片验证码和手机验证码对象的区别就在于前者多了个图片对象,所以两者共同部分抽象出来可以设计成一个ValidateCode类,这个类里面只存放验证码…

整体实现逻辑 前端在登录页面时,自动从后台获取最新的验证码图片 服务器接收获取生成验证码请求,生成验证码和对应的图片,图片响应回前端,验证码保存一份到服务器的 session 中 前端用户登录时携带当前验证码 服务器校验验证码是否合法(验证码存在并未过期),继续后续的用户名和密码校验逻辑 通过一个时序图来表述如下图,图中细化了一下各个控制器和过滤器之间的功能职责,还不是很正规,只为了更好表达上述的流程描述,所以读者们将就一下: 时序图 plantUML 代码 plantUML 的使用教程请移步至…

用户认证流程 UsernamePasswordAuthenticationFilter 我们直接来看UsernamePasswordAuthenticationFilter类, public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter { public Authentication attemptAuthentication(HttpServletRequest…

Spring Web Security是Java web开发领域的一个认证(Authentication)/授权(Authorisation)框架,基于Servlet技术,更确切的说是基于Servlet的Filter技术.因此,在学习Spring Web Security之前,有必要先对Servlet Filter的工作机制做个介绍. 注:Spring Security本身并不只是针对web的,但本文讲的主要是其在web开发中的使用,因此下文提到Spring Security时主要指Spring…

一.使用Spring Security 1.在pom 文件中添加Spring Security的依赖. <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>${spring.version}</version> </dependen…

官方文档参考,5.1.2 中文参考文档,4.1 中文参考文档,4.1 官方文档中文翻译与源码解读 SpringSecurity 核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 简单的开始 pom 依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi=&q…

之前提到过认证后怎么存放用户信息,令牌token是一种方式,session是另一种方式,这里介绍使用spring session data redis存储httpSession. 添加了以上依赖后,我们可以创建Spring Boot 配置.Spring Boot 已经做好了大部分的配置工作,我们只需要做如下配置: spring.session.store-type=redis # Session store type. Spring Boot 会自动添加一个@EnableRedisHttpSes…

对比两种承载认证信息的方式: session vs token token验证方案: session验证方案: session即会话是将用户信息保存在服务端,根据请求携带的session_id,从服务端存储(通常是redis)里提取出session.token即令牌是将用户信息保存在请求中,不过是加密后的值,在服务端需要对token进行解密,从而提取用户信息. 浅尝JWT(JSON WEB TOKEN) JWT的使用场景: authentication: 这是JWT最常见的应用场景.当用户登陆之…

认证和权限控制 AuthenticationManager是认证的主要接口,它只有一个authenticate方法,可以做3件事情. 返回一个认证信息(Authentication),表示认证成功 抛一个AuthenticationException异常,如果认证不成功 返回null,如果不能确定是否认证成功 最常见的AuthenticationManager实现是ProviderManager(经常看到一些AuthenticationProvider实例).有时候应用的保护资源有逻辑分组,每组…

web.xml配置委托代理filter,filter-name默认与filter bean的名字保持一致. <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-…

位于过滤器顶端,第一个起作用的过滤器.SecurityContextPersistenceFilter 在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了.如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用.如果不存在,就创建一个SecurityContext出来,还是放到SecurityContextHolder中,供Spring Security…

Spring Security使用一系列过滤器处理用户请求,下面是spring-security.xml配置文件. <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/sc…

记住我功能的基本原理 当用户登录发起认证请求时,会通过UsernamePasswordAuthenticationFilter进行用户认证,认证成功之后,SpringSecurity 调用前期配置好的记住我功能,实际是调用了RememberMeService接口,其接口的实现类会将用户的信息生成Token并将它写入 response 的Cookie中,在写入的同时,内部的TokenRepositoryTokenRepository会将这份Token再存入数据库一份. 当用户再次访问服务器资源的时…

官方文档…

FilterSecurityInterceptor  是比较核心的过滤器,主要负责授权工作.SecurityMetadataSource 需要安全授权的元数据资源 AuthenticationManager 认证管理器,决策访问资源的时候是否需要再次认证.AccessDesisionManager 访问决策管理器,决策是否有权限访问. 下图说明之间的调用关系:…

UsernamePasswordAuthenticationFilter用户登录验证过滤器,它继承自AbstractAuthenticationProcessingFilter. 登录处理url默认使用/j_spring_security_check,如果用户请求地址不是要进行用户验证的地址,则不使用这个过滤器拦截处理.用户登录验证则有可能交给rememberMeAuthenticationFilter. 同时提供授权成功处理器AuthenticationSuccessHandler和授权失败处…

信道过滤器主要职责是拦截不合规则的http请求,比如规定只能通过https访问资源,那么信道拦截器做相应的拦截处理,把http请求重定向为https请求,https请求则不做任何处理. 配置方式参照:http://www.cnblogs.com/mingluosunshan/p/5328830.html…

自己努力,何必要强颜欢笑的求助别人呢?  手心向下不求人! Spring security学习有进展哦: 哈哈! 1.页面都是动态生产的吧! 2.设置权限:  a:pom.xml配置jar包 b:create a Spring Security configuration 1.需要在应用程序中的每一个网址进行身份验证 2.CSRF攻击防范 3.用户 ——角色 —— 功能 4.授权和鉴权:实现的基础是什么?  session吗? 看书笔记: 1.spring security在Web请求级别和方法…

目录 前言 Spring.NET学习笔记——前言 第一阶段:控制反转与依赖注入IoC&DI Spring.NET学习笔记1——控制反转(基础篇) Level 200 Spring.NET学习笔记2——环境搭建(基础篇) Level 200 Spring.NET学习笔记3——实现一个简易的IoC框架(练习篇) Level 100 Spring.NET学习笔记4——对象的创建(基础篇) Level 200 Spring.NET学习笔记5——容器中对象的作用域(基础篇) Level 200  Spri…

Spring MVC 学习笔记一 HelloWorld Spring MVC 的使用可以按照以下步骤进行(使用Eclipse): 加入JAR包 在web.xml中配置DispatcherServlet 加入Spring MVC的配置文件 编写处理请求的处理器,并添加对应注解 编写视图 下面按照国际惯例先来一个HelloWorld,在新建项目前最好是在Eclipse中安装一个名叫Spring IDE的插件,它会在你以后进行Spring相关开发中提供诸多便捷功能.新建一个Dynamic Web Pr…

spring揭密学习笔记 spring揭密学习笔记(1) --spring的由来 spring揭密学习笔记(2)-spring ioc容器:IOC的基本概念…

Spring MVC 学习笔记12 -- SpringMVC+Hibernate开发(1)依赖包搭建 用Hibernate帮助建立SpringMVC与数据库之间的联系,通过配置DAO层,Service层,Model层,建立Controller对数据库操作的通道. 这里没有使用maven来管理jar包(依赖库),因为没太多,实际上还是很繁琐的,要有耐心. 原本稍微复杂的工程项目还是应该使用maven来管理依赖库,参见:http://tieba.baidu.com/p/2364606122?pn=1…

Spring MVC 学习笔记11 -- 后端返回json格式数据 我们常常听说json数据,首先,什么是json数据,总结起来,有以下几点: 1. JSON的全称是"JavaScript Object Notation",意思是JavaScript对象表示法.    2. 它是一种基于文本,独立于语言的轻量级数据交换格式.    3. json的两种结构:对象{key:value,key:value,...}  和  数组 [value, value2, ... ]    4. js…

</pre>Spring MVC 学习笔记10 -- 实现简单的用户管理(4.3)用户登录--显示全局异常信息<p></p><p></p><h3 style="margin:0px; padding:0px; color:rgb(51,51,51); font-family:Arial; line-height:26px; text-indent:28px">第三部分:显示全局异常信息,而不是局部异常信息.<…

Spring MVC 学习笔记9 -- 实现简单的用户管理(4.2)用户登录--显示局部异常信息 第二部分:显示局部异常信息,而不是500错误页 1. 写一个方法,把UserException传进来. 2. 映射方式:@ExceptionHandler (), 括号里value是UserException.class 3. 传参进入UserException方法:(UserException ue, HttpServletRequest req) -----//1.把 UserException…

Spring MVC 学习笔记8 -- 实现简单的用户管理(4)用户登录 增删改查,login 1. login.jsp,写在外面,及跟WEB-INF同一级目录,如:ls Webcontent; >> META-INF  WEB-INF  login.jsp 表单:<form>中包含两个参数,action(目标) & method (方法).使用了<input>标签,type(text,password,submit), name,两个参数. <form…

前言 在上一篇文章Spring Boot 学习笔记1——初体验之3分钟启动你的Web应用已经对Spring Boot的基本体系与基本使用进行了学习,本文主要目的是更加进一步的来说明对于Spring Boot使用上的具体的细节以及使用上的最佳实践, 经过了几天的文档阅读和实验,将自己这几天的学习心得在这里记录下来.如果有不对的地方,请指正! 1.依赖管理的配置 1.1 依赖管理的原理及最佳实践 我们在使用Spring Boot时,通常最好的方式是继承spring-boot-starter-pare…

Spring MVC 学习笔记2 - 利用Spring Tool Suite创建一个web 项目 Spring Tool Suite 是一个带有全套的Spring相关支持功能的Eclipse插件包. 安装Spring Tool Suite : Window -> Eclipse Marketplace -> Search for "STS", Select the Spring Tool Suite that matches your Eclipse Version. 第一…

Spring MVC 学习笔记1 - First Helloworld by Eclipse reference:http://www.gontu.org 1. 下载 Spring freamworks 4.0.0 RELEASE 2. 下载 commons-logging-1.2-bin 3. 在Eclipse Luna Service Release 1 (4.4.1)中新建Dynamic Web App 4. 配置服务器平台:Window - show view - servers ; "…

目录 前言 Spring.NET学习笔记——前言 第一阶段:控制反转与依赖注入IoC&DI Spring.NET学习笔记1——控制反转(基础篇) Level 200 Spring.NET学习笔记2——环境搭建(基础篇) Level 200 Spring.NET学习笔记3——实现一个简易的IoC框架(练习篇) Level 100 Spring.NET学习笔记4——对象的创建(基础篇) Level 200 Spring.NET学习笔记5——容器中对象的作用域(基础篇) Level 200 Sprin…