51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

绝活!Spring Security过滤器就该这么配置

作者:码农小胖哥
开发 架构
CaptchaAuthenticationFilter这个验证码过滤器是通过模仿UsernamePasswordAuthenticationFilter实现的。

以前胖哥带大家用Spring Security过滤器实现了手机验证码认证,今天我们来改良一下验证码认证的配置方式。这绝对是绝活666,不再看、点赞一波吗?天天白嫖,晚上睡得着觉?

CaptchaAuthenticationFilter这个验证码过滤器是通过模仿UsernamePasswordAuthenticationFilter实现的。同样的道理,由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer来完成的,应该也能模仿一下FormLoginConfigurer,写一个配置类CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter。

public final class FormLoginConfigurer<H extends HttpSecurityBuilder<H>> extends
  AbstractAuthenticationFilterConfigurer<H, FormLoginConfigurer<H>, UsernamePasswordAuthenticationFilter> {
 
    // 省略
}

AbstractAuthenticationFilterConfigurer

FormLoginConfigurer看起来有点复杂,不过继承关系并不复杂,只继承了AbstractAuthenticationFilterConfigurer。

public abstract class AbstractAuthenticationFilterConfigurer<B extends HttpSecurityBuilder<B>, T extends AbstractAuthenticationFilterConfigurer<B, T, F>, F extends AbstractAuthenticationProcessingFilter>
  extends AbstractHttpConfigurer<T, B> {
}

理论上我们模仿一下,也继承一下这个类,但是你会发现这种方式行不通。因为AbstractAuthenticationFilterConfigurer只能Spring Security内部使用,不建议自定义。原因在于它最终向HttpSecurity添加过滤器使用的是HttpSecurity.addFilter(Filter)方法,这个方法只有内置过滤器(参见FilterOrderRegistration)才能使用。了解了这个机制之后,我们只能往上再抽象一层,去改造其父类AbstractHttpConfigurer。

改造过程

AbstractAuthenticationFilterConfigurer中的B是实际指的HttpSecurity,因此这个要保留;

T指的是它本身的实现,我们配置CaptchaAuthenticationFilter不需要下沉一层到FormLoginConfigurer这个继承级别,直接在AbstractAuthenticationFilterConfigurer这个继承级别实现即可,因此T这里指的就是需要配置类本身,也不需要再抽象化,因此是不需要的;同样的原因F也不需要,很明确是CaptchaAuthenticationFilter,不需要再泛化。这样CaptchaAuthenticationFilter的配置类结构可以这样定义:

public class CaptchaAuthenticationFilterConfigurer<H extends HttpSecurityBuilder<H>> extends AbstractHttpConfigurer<CaptchaAuthenticationFilterConfigurer<H>, H> {
    // 不再泛化  具体化 
    private final CaptchaAuthenticationFilter authFilter;
    // 特定的验证码用户服务
    private CaptchaUserDetailsService captchaUserDetailsService;
    // 验证码处理服务
    private CaptchaService captchaService;
    // 保存认证请求细节的策略 
    private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource;
    // 默认使用保存请求认证成功处理器 
    private SavedRequestAwareAuthenticationSuccessHandler defaultSuccessHandler = new SavedRequestAwareAuthenticationSuccessHandler();
    // 认证成功处理器
    private AuthenticationSuccessHandler successHandler = this.defaultSuccessHandler;
     // 登录认证端点
    private LoginUrlAuthenticationEntryPoint authenticationEntryPoint;
    // 是否 自定义页面 
    private boolean customLoginPage;
    // 登录页面
    private String loginPage;
    // 登录成功url
    private String loginProcessingUrl;
    // 认证失败处理器
    private AuthenticationFailureHandler failureHandler;
    // 认证路径是否放开
    private boolean permitAll;
    //  认证失败的url
    private String failureUrl;

    /**
     * Creates a new instance with minimal defaults
     */
    public CaptchaAuthenticationFilterConfigurer() {
        setLoginPage("/login/captcha");
        this.authFilter = new CaptchaAuthenticationFilter();
    }

    public CaptchaAuthenticationFilterConfigurer<H> formLoginDisabled() {
        this.formLoginEnabled = false;
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaUserDetailsService(CaptchaUserDetailsService captchaUserDetailsService) {
        this.captchaUserDetailsService = captchaUserDetailsService;
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaService(CaptchaService captchaService) {
        this.captchaService = captchaService;
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> usernameParameter(String usernameParameter) {
        authFilter.setUsernameParameter(usernameParameter);
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaParameter(String captchaParameter) {
        authFilter.setCaptchaParameter(captchaParameter);
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> parametersConverter(Converter<HttpServletRequest, CaptchaAuthenticationToken> converter) {
        authFilter.setConverter(converter);
        return this;
    }
    @Override
    public void init(H http) throws Exception {
        updateAuthenticationDefaults();
        updateAccessDefaults(http);
        registerDefaultAuthenticationEntryPoint(http);
        // 这里禁用默认页面过滤器 如果你想自定义登录页面 可以自行实现 可能和FormLogin冲突
        // initDefaultLoginFilter(http);
        // 把对应的Provider也在init时写入HttpSecurity
        initProvider(http);
    }
     @Override
    public void configure(H http) throws Exception {
        
        //这里改为使用前插过滤器方法
         http.addFilterBefore(filter, LogoutFilter.class);
    }
    
     // 其它方法 同AbstractAuthenticationFilterConfigurer
}

其实就是模仿AbstractAuthenticationFilterConfigurer及其实现类的风格把用的配置项实现一遍。这里值得一提的是CaptchaService的配置也可以从Spring IoC中查找(参考getBeanOrNull方法,这个方法在Spring Security中随处可见,建议借鉴),这样更加灵活,既能从方法配置也能自动注入。

   private void initProvider(H http) {

        ApplicationContext applicationContext = http.getSharedObject(ApplicationContext.class);
        // 没有配置CaptchaUserDetailsService就去Spring IoC获取
        if (captchaUserDetailsService == null) {
            captchaUserDetailsService = getBeanOrNull(applicationContext, CaptchaUserDetailsService.class);
        }
        // 没有配置CaptchaService就去Spring IoC获取
        if (captchaService == null) {
            captchaService = getBeanOrNull(applicationContext, CaptchaService.class);
        } 
        // 初始化 Provider
        CaptchaAuthenticationProvider captchaAuthenticationProvider = this.postProcess(new CaptchaAuthenticationProvider(captchaUserDetailsService, captchaService));
        // 会增加到ProviderManager的注册列表中
        http.authenticationProvider(captchaAuthenticationProvider);
    }

配置类效果

我们来看看CaptchaAuthenticationFilterConfigurer的配置效果:

  @Bean
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http, UserDetailsService userDetailsService) throws Exception {


        http.csrf().disable()
                .authorizeRequests()
                .mvcMatchers("/foo/**").access("hasAuthority('ROLE_USER')")
                .anyRequest().authenticated()
                .and()
                // 所有的 AbstractHttpConfigurer 都可以通过apply方法加入HttpSecurity
                .apply(new CaptchaAuthenticationFilterConfigurer<>())
                // 配置验证码处理服务   这里直接true 方便测试
                .captchaService((phone, rawCode) -> true)
                // 通过手机号去拿验证码,这里为了方便直接写死了,实际phone和username做个映射  
                .captchaUserDetailsService(phone -> userDetailsService.loadUserByUsername("felord"))
                // 默认认证成功跳转到/路径  这里改造成把认证信息直接返回json
                .successHandler((request, response, authentication) -> {
                // 这里把认证信息以JSON形式返回
                    ServletServerHttpResponse servletServerHttpResponse = new ServletServerHttpResponse(response);
                    MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();
                           mappingJackson2HttpMessageConverter.write(authentication, MediaType.APPLICATION_JSON,servletServerHttpResponse);
                });

        return http.build();
    }

是不是要优雅很多,解决了你自己配置过滤器的很多疑难杂症。学习一定要模仿,先模仿成功,然后再分析思考为什么会模仿成功,最后形成自己的创造力。千万不要被一些陌生概念唬住,有些改造是不需要去深入了解细节的。

本文转载自微信公众号「码农小胖哥」,可以通过以下二维码关注。转载本文请联系码农小胖哥公众号。

责任编辑:武晓燕 来源: 码农小胖哥
Spring过滤器验证码
相关推荐
Spring Security的内置过滤器是如何维护的
SpringSecurity中的内置过滤器顺序是怎么维护的我想很多开发者都对这个问题感兴趣。本篇我和大家一起探讨下这个问题。

2022-02-21 23:58:49

Spring过滤器顺序值
Spring Security过滤器链如何匹配到特定的请求
只有满足了SecurityFilterChain的match方法的请求才能被该SecurityFilterChain处理,那如何配置才能让一个SecurityFilterChain处理特定的路径呢?

2022-02-14 07:32:13

Spring过滤器链Matcher
我们一起学习 Spring Security过滤器链体系
不管用户是哪种角色,都走的是一个过滤器链,一个应用中存在1n个SecurityFilterChain。那谁来管理多个SecurityFilterChain呢?

2022-02-10 14:54:31

Spring容器过滤器
Servlet过滤器配置详解
本文介绍配置Servlet过滤器的过程,以及介绍过滤器通过web.xml文件中的两个XML标签来声明。

2009-07-08 16:07:04

Servlet过滤器配
Spring Cloud Gateway核心全局过滤器
如果URL位于ServerWebExchangeUtils.GATEWAYREQUESTURLATTR交换属性有ws或wss方案,websocket路由过滤器运行。它使用SpringWebSocket基础设施向下游转发WebSocket请求。

2023-01-26 01:41:27

核心全局过滤器
Spring Cloud内置的Zuul过滤器详解
我是51CTO学院讲师周立,在51CTO学院“4.20IT充电节”(4月1920日)到来之际,和大家分享一下《SpringCloud内置的Zuul过滤器应用》的经验。

2017-04-12 14:43:01

Spring ClouZuul过滤器
浅析Servlet过滤器
Servlet过滤器和Servlet很类似,注意的是它有拦截客户端请求的用法,Servlet过滤器可以改变请求中的内容,满足实际开发的需要。

2021-07-05 15:22:03

Servlet过滤器客户端
什么是布隆过滤器?如何实现布隆过滤器
以下我们介绍了什么是布隆过滤器?它的使用场景和执行流程,以及在Redis中它的使用,那么问题来了,在日常开发中,也就是在Java开发中,我们又将如何操作布隆过滤器呢?

2024-01-05 09:04:35

隆过滤器数据结构哈希函数
详解Spring Cloud Gateway应用2内置过滤器
路由过滤器允许以某种方式修改传入的HTTP请求或输出HTTP响应。路由过滤器的作用域为特定路由。SpringCloudGateway包括许多内置的GatewayFilter工厂。

2021-01-14 08:13:39

Spring Clou应用内置过滤器
Spring Cloud源码分析(四)Zuul:核心过滤器
通过前文的介绍,可以说过滤器是Zuul实现API网关功能最为核心的部件,下面,我们就通过本文来详细了解一下SpringCloudZuul的过滤器!

2017-05-04 22:30:17

Zuul过滤器微服务
Servlet过滤器是什么
本文介绍Servlet过滤器是什么,包括Servlet过滤器中结合了许多元素,以及介绍Servlet过滤器体系结构。

2009-07-08 15:30:56

Servlet过滤器
分析Hibernate设置过滤器
这里介绍Hibernate设置过滤器映射,因为过滤器不能过滤全部的程序,所以可以用列表的形式来增加需要过滤的文件。

2009-09-29 13:55:23

Hibernate设置
Swing模型过滤器概述
本文介绍Swing模型过滤器,模型过滤是这样一种技术,它在Swing组件体系结构中提供附加的功能与灵活性。

2009-07-14 09:09:08

Swing模型过滤器
详解 Qt 事件过滤器
本文介绍的是Qt事件过滤器,对于Qt事件过滤器有很详细的讲解,先来看内容。

2011-06-29 16:14:59

Qt 事件 过滤器
Hibernate过滤器的高级应用
Hibernate过滤器的优势就在于可以随时在程序中关闭或打开,也就是说过滤器是可编程的,而且过滤器被定义在Hibernate的映射文件中,这样将非常容易维护。

2009-06-18 10:13:00

Hibernate过滤
创建Servlet过滤器的向导
本文介绍创建Servlet过滤器的向导,包括指定过滤器的路径匹配模式,添加统一的标题或脚注等。

2009-07-08 17:33:37

Servlet过滤器
Hibernate过滤器使用窍门
Hibernate过滤器(filter)是全局有效的、具有名字、可以带参数的过滤器,对于某个特定的Hibernatesession您可以选择是否启用(或禁用)某个过滤器。

2009-09-25 15:19:44

Hibernate过滤
Apache Flume之正则过滤器
在当今的大数据世界中,应用程序产生大量的电子数据–这些巨大的电子数据存储库包含了有价值的、宝贵的信息。对于人类分析师或领域专家,很难做出有趣的发现或寻找可以帮助决策过程的模式。我们需要自动化的流程来有效地利用庞大的,信息丰富的数据进行规划和投资决策。在处理数据之前,收集数据,聚合和转换数据是绝对必要的,并最终将数据移动到那些使用...

2017-07-18 14:10:31

大数据Apache Flum过滤器
Spring Cloud Gateway通过全局过滤器实现接口防刷
通过某种机制实现对系统中的某些接口在规定的时间段内只能让某个具体的客户端访问指定次数,超出次数,就不让访问了。

2023-07-24 08:00:56

客户端访问指定
布隆过滤器算法用于搜索
布隆过滤器是一种具有许多实际应用的数据结构。它可以在浏览器、网络路由器和数据库中找到。

2024-03-15 11:21:22

布隆过滤器数据库数据
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服