上一篇文章我们讲了Spring Security 如何实现OAuth2.0自定义登录页面 + JWT Token配置,但是在有些场景下,我们有可能需要支持多种登录方式,如用户名密码登录、手机验证码登录等等。
此时我们需要能够实现一个认证流程同时支持多种认证方式,基于Spring Security认证的原理提到的Spring Security 的认证流程的本质上就是新增、删除、修改过滤器。
本文在上一篇文章的基础上继续介绍如何通过自己添加Filter的方式实现支持多种方式自定义登录认证,只需要三个步骤(知道本质后是不是并不觉得复杂 ):
- 添加
CustomAuthenticationProcessingFilter用于处理登录请求 - 添加
CustomerAuthenticationProvider进行实际认证 - 将
CustomAuthenticationProcessingFilter和CustomerAuthenticationProvider配置到Spring Security框架中
代码实现
1. 添加CustomAuthenticationProcessingFilter用于处理登录请求
CustomAuthenticationProcessingFilter通常实现两件事情:
- 设置我要处理的登录请求Url和方法
- 将请求中的认证信息保存起来以便
CustomerAuthenticationProvider处理认证
下面代码attemptAuthentication首先定义了登录请求的url为/oauth/custom/token POST方法;然后将认证的信息包括认证的类型、用户名和凭证生成到CustomAuthenticationToken中(框架会通过SecurityContextHolder将CustomAuthenticationToken保存以用于AuthenticationProvider的实际认证),最后通过 AuthenticationManager去调用 AuthenticationProvider去认证。
setDetail主要是为了未来方便扩展认证请求里面的信息。
public class CustomAuthenticationProcessingFilter extends AbstractAuthenticationProcessingFilter {
private static final String AUTH_TYPE = "auth_type";
private static final String USERNAME = "username";
private static final String CREDENTIALS = "credentials";
private static final String OAUTH_TOKEN_URL = "/oauth/custom/token";
private static final String HTTP_METHOD_POST = "POST";
public CustomAuthenticationProcessingFilter() {
super(new AntPathRequestMatcher(OAUTH_TOKEN_URL, "POST"));
}
@Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
throws AuthenticationException {
if (!HTTP_METHOD_POST.equals(request.getMethod().toUpperCase())){
throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
}
AbstractAuthenticationToken authRequest = new CustomAuthenticationToken(
request.getParameter(AUTH_TYPE), request.getParameter(USERNAME), request.getParameter(CREDENTIALS),
request.getParameterMap(),new ArrayList<>()
);
this.setDetails(request, authRequest);
return this.getAuthenticationManager().authenticate(authRequest);
}
protected void setDetails(HttpServletRequest request, AbstractAuthenticationToken authRequest) {
authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
}
}
注意因为要支持不同的登录方式,所以这里我们自己定义了CustomAuthenticationToken用于保存认证信息,auth_type用于记录登录方式用户名密码登录还是手机登录或者其它方式, principal在手机登录中就是手机号(前端传的是username,filter保存到了principal中),credentials是验证码,你也可以自己定义,只要能从前端请求中获取到就可以。authParams用以保存其它参数信息,如果有的话。
public class CustomAuthenticationToken extends AbstractAuthenticationToken {
private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
private String authType;
private Map<String,String[]> authParams;
private Object principal;
private Object credentials;
}
2. 添加CustomerAuthenticationProvider进行实际认证
CustomerAuthenticationProvider通常也是实现两件事情:
- 根据认证的类型(用户名密码还是验证码或者其它方式)进行认证
- 认证成功后加入你需要的用户信息用于生成Token
public class CustomerAuthenticationProvider implements AuthenticationProvider {
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
if(authentication.getPrincipal() == null){
throw new BadCredentialsException("用户名为空");
}
CustomAuthenticationToken customAuthenticationToken =(CustomAuthenticationToken) authentication;
// 页面调用时传递auth_type参数,如手机验证码验证或者其它类型。根据不同的类型的auth type采用不同的验证方式验证是否登录成功
if("mobile".equals(customAuthenticationToken.getAuthType())) {
// 手机认证
} else if("password".equals(customAuthenticationToken.getAuthType())) {
// 用户名和密码
} else {
// 其它方式
}
List<GrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority("internal::user"));
CustomAuthenticationToken authenticationToken = new CustomAuthenticationToken
(((CustomAuthenticationToken) authentication).getAuthType(), authentication.getPrincipal(), null,
null, authorities);
Map<String, Object> details = new HashMap<>(1);
details.put("name", customAuthenticationToken.getPrincipal());
authenticationToken.setDetails(details);
return authenticationToken;
}
@Override
public boolean supports(Class<?> authentication) {
return (CustomAuthenticationToken.class.isAssignableFrom(authentication));
}
}
3. 将CustomAuthenticationProcessingFilter和CustomerAuthenticationProvider配置到Spring Security框架中
首先配置CustomAuthenticationProcessingFilter在externalAuthenticationProcessingFilter之后然后配置加入CustomerAuthenticationProvider很简单
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
CustomLogoutSuccessHandler customLogoutSuccessHandler;
@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private UsernamePasswordUserDetailService usernamePasswordUserDetailService;
@Override
protected void configure(HttpSecurity http) throws Exception {
// 默认支持./login实现authorization_code认证
http
.formLogin().loginPage("/index.html").loginProcessingUrl("/login")
.and()
.authorizeRequests()
.antMatchers("/index.html", "/login", "/resources/**", "/static/**").permitAll()
.anyRequest() // 任何请求
.authenticated()// 都需要身份认证
.and()
.logout().invalidateHttpSession(true).deleteCookies("JSESSIONID").logoutSuccessHandler(customLogoutSuccessHandler).permitAll()
.and()
.csrf().disable();
// 自定义认证filter,支持./oauth/custom/token实现authorization_code认证
http.addFilterAfter(externalAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
}
@Override
public void configure(AuthenticationManagerBuilder auth) {
// 定义认证的provider用于实现用户名和密码认证
auth.authenticationProvider(new UsernamePasswordAuthenticationProvider(usernamePasswordUserDetailService));
// 自定义provider用于实现自定义的登录认证, 如不需要其它形式认证如短信登录,可删除
auth.authenticationProvider(new CustomerAuthenticationProvider());
}
@Bean
public CustomAuthenticationProcessingFilter externalAuthenticationProcessingFilter() {
// 自定义认证filter,需要实现CustomAuthenticationProcessingFilter和CustomerAuthenticationProvider
// filter将过滤url并把认证信息塞入authentication作为CustomerAuthenticationProvider.authenticate的入参
CustomAuthenticationProcessingFilter filter = new CustomAuthenticationProcessingFilter();
// 默认自定义认证方式grant_type为authorization_code方式,如果直接返回内容,则需自定义success和fail handler
// filter.setAuthenticationSuccessHandler(new CustomAuthenticationSuccessHandler());
// filter.setAuthenticationFailureHandler(new CustomAuthenticationFailureHandler());
filter.setAuthenticationManager(authenticationManager);
return filter;
}
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
效果
因为涉及到前后端的配合及通过code换取token的转换,本项目实现了一个前端项目直接使用Spring Security及其登录页面,登录成功后跳回到前端首页,参考文末源码awesome-admin中admin-ui。
-
登录页面, url为localhost:8000( 会自动跳转到auth服务的登录页面), 用户名和密码用上面代码可以看到,对用户名和密码没有实质的检验可以随便输,目前还没有前端加上其它认证方式。
登录页面 -
请求到/oauth/custom/token登录后成功, JWT Token会保存在cookie中以便前端使用。
自定义认证请求
面向Copy&Paste编程
- awesome-admin源码
https://gitee.com/awesome-engineer/awesome-admin
