自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

絕活!Spring Security過濾器就該這么配置

作者:碼農(nóng)小胖哥
開發(fā) 架構(gòu)
CaptchaAuthenticationFilter這個驗證碼過濾器是通過模仿UsernamePasswordAuthenticationFilter實(shí)現(xiàn)的。

以前胖哥帶大家用Spring Security過濾器實(shí)現(xiàn)了手機(jī)驗證碼認(rèn)證,今天我們來改良一下驗證碼認(rèn)證的配置方式。這絕對是絕活666,不再看、點(diǎn)贊一波嗎?天天白嫖,晚上睡得著覺?

CaptchaAuthenticationFilter這個驗證碼過濾器是通過模仿UsernamePasswordAuthenticationFilter實(shí)現(xiàn)的。同樣的道理,由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer來完成的,應(yīng)該也能模仿一下FormLoginConfigurer,寫一個配置類CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter。

public final class FormLoginConfigurer<H extends HttpSecurityBuilder<H>> extends
  AbstractAuthenticationFilterConfigurer<H, FormLoginConfigurer<H>, UsernamePasswordAuthenticationFilter> {
 
    // 省略
}

AbstractAuthenticationFilterConfigurer

FormLoginConfigurer看起來有點(diǎn)復(fù)雜,不過繼承關(guān)系并不復(fù)雜,只繼承了AbstractAuthenticationFilterConfigurer。

public abstract class AbstractAuthenticationFilterConfigurer<B extends HttpSecurityBuilder<B>, T extends AbstractAuthenticationFilterConfigurer<B, T, F>, F extends AbstractAuthenticationProcessingFilter>
  extends AbstractHttpConfigurer<T, B> {
}

理論上我們模仿一下,也繼承一下這個類,但是你會發(fā)現(xiàn)這種方式行不通。因為AbstractAuthenticationFilterConfigurer只能Spring Security內(nèi)部使用,不建議自定義。原因在于它最終向HttpSecurity添加過濾器使用的是HttpSecurity.addFilter(Filter)方法,這個方法只有內(nèi)置過濾器(參見FilterOrderRegistration)才能使用。了解了這個機(jī)制之后,我們只能往上再抽象一層,去改造其父類AbstractHttpConfigurer。

改造過程

AbstractAuthenticationFilterConfigurer中的B是實(shí)際指的HttpSecurity,因此這個要保留;

T指的是它本身的實(shí)現(xiàn),我們配置CaptchaAuthenticationFilter不需要下沉一層到FormLoginConfigurer這個繼承級別,直接在AbstractAuthenticationFilterConfigurer這個繼承級別實(shí)現(xiàn)即可,因此T這里指的就是需要配置類本身,也不需要再抽象化,因此是不需要的;同樣的原因F也不需要,很明確是CaptchaAuthenticationFilter,不需要再泛化。這樣CaptchaAuthenticationFilter的配置類結(jié)構(gòu)可以這樣定義:

public class CaptchaAuthenticationFilterConfigurer<H extends HttpSecurityBuilder<H>> extends AbstractHttpConfigurer<CaptchaAuthenticationFilterConfigurer<H>, H> {
    // 不再泛化  具體化 
    private final CaptchaAuthenticationFilter authFilter;
    // 特定的驗證碼用戶服務(wù)
    private CaptchaUserDetailsService captchaUserDetailsService;
    // 驗證碼處理服務(wù)
    private CaptchaService captchaService;
    // 保存認(rèn)證請求細(xì)節(jié)的策略 
    private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource;
    // 默認(rèn)使用保存請求認(rèn)證成功處理器 
    private SavedRequestAwareAuthenticationSuccessHandler defaultSuccessHandler = new SavedRequestAwareAuthenticationSuccessHandler();
    // 認(rèn)證成功處理器
    private AuthenticationSuccessHandler successHandler = this.defaultSuccessHandler;
     // 登錄認(rèn)證端點(diǎn)
    private LoginUrlAuthenticationEntryPoint authenticationEntryPoint;
    // 是否 自定義頁面 
    private boolean customLoginPage;
    // 登錄頁面
    private String loginPage;
    // 登錄成功url
    private String loginProcessingUrl;
    // 認(rèn)證失敗處理器
    private AuthenticationFailureHandler failureHandler;
    // 認(rèn)證路徑是否放開
    private boolean permitAll;
    //  認(rèn)證失敗的url
    private String failureUrl;

    /**
     * Creates a new instance with minimal defaults
     */
    public CaptchaAuthenticationFilterConfigurer() {
        setLoginPage("/login/captcha");
        this.authFilter = new CaptchaAuthenticationFilter();
    }

    public CaptchaAuthenticationFilterConfigurer<H> formLoginDisabled() {
        this.formLoginEnabled = false;
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaUserDetailsService(CaptchaUserDetailsService captchaUserDetailsService) {
        this.captchaUserDetailsService = captchaUserDetailsService;
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaService(CaptchaService captchaService) {
        this.captchaService = captchaService;
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> usernameParameter(String usernameParameter) {
        authFilter.setUsernameParameter(usernameParameter);
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> captchaParameter(String captchaParameter) {
        authFilter.setCaptchaParameter(captchaParameter);
        return this;
    }

    public CaptchaAuthenticationFilterConfigurer<H> parametersConverter(Converter<HttpServletRequest, CaptchaAuthenticationToken> converter) {
        authFilter.setConverter(converter);
        return this;
    }
    @Override
    public void init(H http) throws Exception {
        updateAuthenticationDefaults();
        updateAccessDefaults(http);
        registerDefaultAuthenticationEntryPoint(http);
        // 這里禁用默認(rèn)頁面過濾器 如果你想自定義登錄頁面 可以自行實(shí)現(xiàn) 可能和FormLogin沖突
        // initDefaultLoginFilter(http);
        // 把對應(yīng)的Provider也在init時寫入HttpSecurity
        initProvider(http);
    }
     @Override
    public void configure(H http) throws Exception {
        
        //這里改為使用前插過濾器方法
         http.addFilterBefore(filter, LogoutFilter.class);
    }
    
     // 其它方法 同AbstractAuthenticationFilterConfigurer
}

其實(shí)就是模仿AbstractAuthenticationFilterConfigurer及其實(shí)現(xiàn)類的風(fēng)格把用的配置項實(shí)現(xiàn)一遍。這里值得一提的是CaptchaService的配置也可以從Spring IoC中查找(參考getBeanOrNull方法,這個方法在Spring Security中隨處可見,建議借鑒),這樣更加靈活,既能從方法配置也能自動注入。

   private void initProvider(H http) {

        ApplicationContext applicationContext = http.getSharedObject(ApplicationContext.class);
        // 沒有配置CaptchaUserDetailsService就去Spring IoC獲取
        if (captchaUserDetailsService == null) {
            captchaUserDetailsService = getBeanOrNull(applicationContext, CaptchaUserDetailsService.class);
        }
        // 沒有配置CaptchaService就去Spring IoC獲取
        if (captchaService == null) {
            captchaService = getBeanOrNull(applicationContext, CaptchaService.class);
        } 
        // 初始化 Provider
        CaptchaAuthenticationProvider captchaAuthenticationProvider = this.postProcess(new CaptchaAuthenticationProvider(captchaUserDetailsService, captchaService));
        // 會增加到ProviderManager的注冊列表中
        http.authenticationProvider(captchaAuthenticationProvider);
    }

配置類效果

我們來看看CaptchaAuthenticationFilterConfigurer的配置效果:

  @Bean
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http, UserDetailsService userDetailsService) throws Exception {


        http.csrf().disable()
                .authorizeRequests()
                .mvcMatchers("/foo/**").access("hasAuthority('ROLE_USER')")
                .anyRequest().authenticated()
                .and()
                // 所有的 AbstractHttpConfigurer 都可以通過apply方法加入HttpSecurity
                .apply(new CaptchaAuthenticationFilterConfigurer<>())
                // 配置驗證碼處理服務(wù)   這里直接true 方便測試
                .captchaService((phone, rawCode) -> true)
                // 通過手機(jī)號去拿驗證碼,這里為了方便直接寫死了,實(shí)際phone和username做個映射  
                .captchaUserDetailsService(phone -> userDetailsService.loadUserByUsername("felord"))
                // 默認(rèn)認(rèn)證成功跳轉(zhuǎn)到/路徑  這里改造成把認(rèn)證信息直接返回json
                .successHandler((request, response, authentication) -> {
                // 這里把認(rèn)證信息以JSON形式返回
                    ServletServerHttpResponse servletServerHttpResponse = new ServletServerHttpResponse(response);
                    MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();
                           mappingJackson2HttpMessageConverter.write(authentication, MediaType.APPLICATION_JSON,servletServerHttpResponse);
                });

        return http.build();
    }

是不是要優(yōu)雅很多,解決了你自己配置過濾器的很多疑難雜癥。學(xué)習(xí)一定要模仿,先模仿成功,然后再分析思考為什么會模仿成功,最后形成自己的創(chuàng)造力。千萬不要被一些陌生概念唬住,有些改造是不需要去深入了解細(xì)節(jié)的。

本文轉(zhuǎn)載自微信公眾號「碼農(nóng)小胖哥」,可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系碼農(nóng)小胖哥公眾號。

責(zé)任編輯:武曉燕 來源: 碼農(nóng)小胖哥
Spring過濾器驗證碼
相關(guān)推薦

2022-02-21 23:58:49

Spring過濾器順序值

2022-02-10 14:54:31

Spring容器過濾器

2022-02-14 07:32:13

Spring過濾器鏈Matcher

2009-07-08 16:07:04

Servlet過濾器配

2023-01-26 01:41:27

核心全局過濾器

2021-07-05 15:22:03

Servlet過濾器客戶端

2017-04-12 14:43:01

Spring ClouZuul過濾器

2024-01-05 09:04:35

隆過濾器數(shù)據(jù)結(jié)構(gòu)哈希函數(shù)

2024-11-04 08:45:48

布隆過濾器元數(shù)據(jù)指紋值

2017-05-04 22:30:17

Zuul過濾器微服務(wù)

2021-01-14 08:13:39

Spring Clou應(yīng)用內(nèi)置過濾器

2009-07-08 15:30:56

Servlet過濾器

2009-09-29 13:55:23

Hibernate設(shè)置

2009-07-14 09:09:08

Swing模型過濾器

2011-06-29 16:14:59

Qt 事件 過濾器

2025-02-25 00:11:40

Servlet服務(wù)器Web

2009-06-18 10:13:00

Hibernate過濾

2025-04-21 00:50:50

2017-07-18 14:10:31

大數(shù)據(jù)Apache Flum過濾器

2009-07-08 17:33:37

Servlet過濾器
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號