SpringSecurity6自定義JSON登錄的實現(xiàn)

更新時間：2023年12月29日 10:40:52 作者：江南一點雨

目前最新版的Spring Boot已經到了3.0.5了,隨之而來Spring Security 目前的版本也到了6.0.2了,Spring Security寫法的變化特別多,本文就來介紹下,感興趣的可以了解一下

1. 自定義 JSON 登錄

小伙伴們知道，Spring Security 中默認的登錄接口數(shù)據格式是 key-value 的形式，如果我們想使用 JSON 格式來登錄，那么就必須自定義過濾器或者自定義登錄接口，下面松哥先來和小伙伴們展示一下這兩種不同的登錄形式。

1.1 自定義登錄過濾器

Spring Security 默認處理登錄數(shù)據的過濾器是 UsernamePasswordAuthenticationFilter，在這個過濾器中，系統(tǒng)會通過 request.getParameter(this.passwordParameter)的方式將用戶名和密碼讀取出來，很明顯這就要求前端傳遞參數(shù)的形式是 key-value。

如果想要使用 JSON 格式的參數(shù)登錄，那么就需要從這個地方做文章了，我們自定義的過濾器如下：

public class JsonLoginFilter extends UsernamePasswordAuthenticationFilter {
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        //獲取請求頭，據此判斷請求參數(shù)類型
        String contentType = request.getContentType();
        if (MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(contentType) || MediaType.APPLICATION_JSON_UTF8_VALUE.equalsIgnoreCase(contentType)) {
            //說明請求參數(shù)是 JSON
            if (!request.getMethod().equals("POST")) {
                throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
            }
            String username = null;
            String password = null;
            try {
                //解析請求體中的 JSON 參數(shù)
                User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
                username = user.getUsername();
                username = (username != null) ? username.trim() : "";
                password = user.getPassword();
                password = (password != null) ? password : "";
            } catch (IOException e) {
                throw new RuntimeException(e);
            }
            //構建登錄令牌
            UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(username,
                    password);
            // Allow subclasses to set the "details" property
            setDetails(request, authRequest);
            //執(zhí)行真正的登錄操作
            Authentication auth = this.getAuthenticationManager().authenticate(authRequest);
            return auth;
        } else {
            return super.attemptAuthentication(request, response);
        }
    }
}

看過松哥之前的 Spring Security 系列文章的小伙伴，這段代碼應該都是非常熟悉了。

首先我們獲取請求頭，根據請求頭的類型來判斷請求參數(shù)的格式。
如果是 JSON 格式的參數(shù)，就在 if 中進行處理，否則說明是 key-value 形式的參數(shù)，那么我們就調用父類的方法進行處理即可。
JSON 格式的參數(shù)的處理邏輯和 key-value 的處理邏輯是一致的，唯一不同的是參數(shù)的提取方式不同而已。

最后，我們還需要對這個過濾器進行配置：

@Configuration
public class SecurityConfig {

    @Autowired
    UserService userService;

    @Bean
    JsonLoginFilter jsonLoginFilter() {
        JsonLoginFilter filter = new JsonLoginFilter();
        filter.setAuthenticationSuccessHandler((req,resp,auth)->{
            resp.setContentType("application/json;charset=utf-8");
            PrintWriter out = resp.getWriter();
            //獲取當前登錄成功的用戶對象
            User user = (User) auth.getPrincipal();
            user.setPassword(null);
            RespBean respBean = RespBean.ok("登錄成功", user);
            out.write(new ObjectMapper().writeValueAsString(respBean));
        });
        filter.setAuthenticationFailureHandler((req,resp,e)->{
            resp.setContentType("application/json;charset=utf-8");
            PrintWriter out = resp.getWriter();
            RespBean respBean = RespBean.error("登錄失敗");
            if (e instanceof BadCredentialsException) {
                respBean.setMessage("用戶名或者密碼輸入錯誤，登錄失敗");
            } else if (e instanceof DisabledException) {
                respBean.setMessage("賬戶被禁用，登錄失敗");
            } else if (e instanceof CredentialsExpiredException) {
                respBean.setMessage("密碼過期，登錄失敗");
            } else if (e instanceof AccountExpiredException) {
                respBean.setMessage("賬戶過期，登錄失敗");
            } else if (e instanceof LockedException) {
                respBean.setMessage("賬戶被鎖定，登錄失敗");
            }
            out.write(new ObjectMapper().writeValueAsString(respBean));
        });
        filter.setAuthenticationManager(authenticationManager());
        filter.setFilterProcessesUrl("/login");
        return filter;
    }

    @Bean
    AuthenticationManager authenticationManager() {
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
        daoAuthenticationProvider.setUserDetailsService(userService);
        ProviderManager pm = new ProviderManager(daoAuthenticationProvider);
        return pm;
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        //開啟過濾器的配置
        http.authorizeHttpRequests()
                //任意請求，都要認證之后才能訪問
                .anyRequest().authenticated()
                .and()
                //開啟表單登錄，開啟之后，就會自動配置登錄頁面、登錄接口等信息
                .formLogin()
                //和登錄相關的 URL 地址都放行
                .permitAll()
                .and()
                //關閉 csrf 保護機制，本質上就是從 Spring Security 過濾器鏈中移除了 CsrfFilter
                .csrf().disable();
        http.addFilterBefore(jsonLoginFilter(), UsernamePasswordAuthenticationFilter.class);
        return http.build();
    }

}

這里就是配置一個 JsonLoginFilter 的 Bean，并將之添加到 Spring Security 過濾器鏈中即可。

在 Spring Boot3 之前（Spring Security6 之前），上面這段代碼就可以實現(xiàn) JSON 登錄了。

但是從 Spring Boot3 開始，這段代碼有點瑕疵了，直接用已經無法實現(xiàn) JSON 登錄了，具體原因松哥下文分析。

1.2 自定義登錄接口

另外一種自定義 JSON 登錄的方式是直接自定義登錄接口，如下：

@RestController
public class LoginController {

    @Autowired
    AuthenticationManager authenticationManager;

    @PostMapping("/doLogin")
    public String doLogin(@RequestBody User user) {
        UsernamePasswordAuthenticationToken unauthenticated = UsernamePasswordAuthenticationToken.unauthenticated(user.getUsername(), user.getPassword());
        try {
            Authentication authenticate = authenticationManager.authenticate(unauthenticated);
            SecurityContextHolder.getContext().setAuthentication(authenticate);
            return "success";
        } catch (AuthenticationException e) {
            return "error:" + e.getMessage();
        }
    }
}

這里直接自定義登錄接口，請求參數(shù)通過 JSON 的形式來傳遞。拿到用戶名密碼之后，調用 AuthenticationManager#authenticate 方法進行認證即可。認證成功之后，將認證后的用戶信息存入到 SecurityContextHolder 中。

最后再配一下登錄接口就行了：

@Configuration
public class SecurityConfig {

    @Autowired
    UserService userService;

    @Bean
    AuthenticationManager authenticationManager() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setUserDetailsService(userService);
        ProviderManager pm = new ProviderManager(provider);
        return pm;
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                //表示 /doLogin 這個地址可以不用登錄直接訪問
                .requestMatchers("/doLogin").permitAll()
                .anyRequest().authenticated().and()
                .formLogin()
                .permitAll()
                .and()
                .csrf().disable();
        return http.build();
    }
}

這也算是一種使用 JSON 格式參數(shù)的方案。在 Spring Boot3 之前（Spring Security6 之前），上面這個方案也是沒有任何問題的。

從 Spring Boot3（Spring Security6）開始，上面這兩種方案都出現(xiàn)了一些瑕疵。

具體表現(xiàn)就是：當你調用登錄接口登錄成功之后，再去訪問系統(tǒng)中的其他頁面，又會跳轉回登錄頁面，說明訪問登錄之外的其他接口時，系統(tǒng)不知道你已經登錄過了。

2. 原因分析

產生上面問題的原因，主要在于 Spring Security 過濾器鏈中有一個過濾器發(fā)生變化了：

在 Spring Boot3 之前，Spring Security 過濾器鏈中有一個名為 SecurityContextPersistenceFilter 的過濾器，這個過濾器在 Spring Boot2.7.x 中廢棄了，但是還在使用，在 Spring Boot3 中則被從 Spring Security 過濾器鏈中移除了，取而代之的是一個名為 SecurityContextHolderFilter 的過濾器。

在第一小節(jié)和小伙伴們介紹的兩種 JSON 登錄方案在 Spring Boot2.x 中可以運行在 Spring Boot3.x 中無法運行，就是因為這個過濾器的變化導致的。

所以接下來我們就來分析一下這兩個過濾器到底有哪些區(qū)別。

先來看 SecurityContextPersistenceFilter 的核心邏輯：

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
  throws IOException, ServletException {
 HttpRequestResponseHolder holder = new HttpRequestResponseHolder(request, response);
 SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);
 try {
  SecurityContextHolder.setContext(contextBeforeChainExecution);
  chain.doFilter(holder.getRequest(), holder.getResponse());
 }
 finally {
  SecurityContext contextAfterChainExecution = SecurityContextHolder.getContext();
  SecurityContextHolder.clearContext();
  this.repo.saveContext(contextAfterChainExecution, holder.getRequest(), holder.getResponse());
 }
}

我這里只貼出來了一些關鍵的核心代碼：

首先，這個過濾器位于整個 Spring Security 過濾器鏈的第三個，是非?？壳暗?。
當?shù)卿浾埱蠼涍^這個過濾器的時候，首先會嘗試從 SecurityContextRepository（上文中的 this.repo）中讀取到 SecurityContext 對象，這個對象中保存了當前用戶的信息，第一次登錄的時候，這里實際上讀取不到任何用戶信息。
將讀取到的 SecurityContext 存入到 SecurityContextHolder 中，默認情況下，SecurityContextHolder 中通過 ThreadLocal 來保存 SecurityContext 對象，也就是當前請求在后續(xù)的處理流程中，只要在同一個線程里，都可以直接從 SecurityContextHolder 中提取到當前登錄用戶信息。
請求繼續(xù)向后執(zhí)行。
在 finally 代碼塊中，當前請求已經結束了，此時再次獲取到 SecurityContext，并清空 SecurityContextHolder 防止內存泄漏，然后調用 this.repo.saveContext方法保存當前登錄用戶對象（實際上是保存到 HttpSession 中）。
以后其他請求到達的時候，執(zhí)行前面第 2 步的時候，就讀取到當前用戶的信息了，在請求后續(xù)的處理過程中，Spring Security 需要知道當前用戶的時候，會自動去 SecurityContextHolder 中讀取當前用戶信息。

這就是 Spring Security 認證的一個大致流程。

然而，到了 Spring Boot3 之后，這個過濾器被 SecurityContextHolderFilter 取代了，我們來看下 SecurityContextHolderFilter 過濾器的一個關鍵邏輯：

private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
  throws ServletException, IOException {
 Supplier<SecurityContext> deferredContext = this.securityContextRepository.loadDeferredContext(request);
 try {
  this.securityContextHolderStrategy.setDeferredContext(deferredContext);
  chain.doFilter(request, response);
 }
 finally {
  this.securityContextHolderStrategy.clearContext();
  request.removeAttribute(FILTER_APPLIED);
 }
}

小伙伴們看到，前面的邏輯基本上還是一樣的，不一樣的是 finally 中的代碼，finally 中少了一步向 HttpSession 保存 SecurityContext 的操作。

這下就明白了，用戶登錄成功之后，用戶信息沒有保存到 HttpSession，導致下一次請求到達的時候，無法從 HttpSession 中讀取到 SecurityContext 存到 SecurityContextHolder 中，在后續(xù)的執(zhí)行過程中，Spring Security 就會認為當前用戶沒有登錄。

這就是問題的原因！

找到原因，那么問題就好解決了。

3. 問題解決

首先問題出在了過濾器上，直接改過濾器倒也不是不可以，但是，既然 Spring Security 在升級的過程中拋棄了之前舊的方案，我們又費勁的把之前舊的方案寫回來，好像也不合理。

其實，Spring Security 提供了另外一個修改的入口，在 org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter#successfulAuthentication 方法中，源碼如下：

protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
  Authentication authResult) throws IOException, ServletException {
 SecurityContext context = this.securityContextHolderStrategy.createEmptyContext();
 context.setAuthentication(authResult);
 this.securityContextHolderStrategy.setContext(context);
 this.securityContextRepository.saveContext(context, request, response);
 this.rememberMeServices.loginSuccess(request, response, authResult);
 if (this.eventPublisher != null) {
  this.eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
 }
 this.successHandler.onAuthenticationSuccess(request, response, authResult);
}

這個方法是當前用戶登錄成功之后的回調方法，小伙伴們看到，在這個回調方法中，有一句 this.securityContextRepository.saveContext(context, request, response);，這就表示將當前登錄成功的用戶信息存入到 HttpSession 中。

在當前過濾器中，securityContextRepository 的類型是 RequestAttributeSecurityContextRepository，這個表示將 SecurityContext 存入到當前請求的屬性中，那很明顯，在當前請求結束之后，這個數(shù)據就沒了。在 Spring Security 的自動化配置類中，將 securityContextRepository 屬性指向了 DelegatingSecurityContextRepository，這是一個代理的存儲器，代理的對象是 RequestAttributeSecurityContextRepository 和 HttpSessionSecurityContextRepository，所以在默認的情況下，用戶登錄成功之后，在這里就把登錄用戶數(shù)據存入到 HttpSessionSecurityContextRepository 中了。

當我們自定義了登錄過濾器之后，就破壞了自動化配置里的方案了，這里使用的 securityContextRepository 對象就真的是 RequestAttributeSecurityContextRepository 了，所以就導致用戶后續(xù)訪問時系統(tǒng)以為用戶未登錄。

那么解決方案很簡單，我們只需要為自定義的過濾器指定 securityContextRepository 屬性的值就可以了，如下：

@Bean
JsonLoginFilter jsonLoginFilter() {
    JsonLoginFilter filter = new JsonLoginFilter();
    filter.setAuthenticationSuccessHandler((req,resp,auth)->{
        resp.setContentType("application/json;charset=utf-8");
        PrintWriter out = resp.getWriter();
        //獲取當前登錄成功的用戶對象
        User user = (User) auth.getPrincipal();
          user.setPassword(null);
        RespBean respBean = RespBean.ok("登錄成功", user);
        out.write(new ObjectMapper().writeValueAsString(respBean));
    });
    filter.setAuthenticationFailureHandler((req,resp,e)->{
        resp.setContentType("application/json;charset=utf-8");
        PrintWriter out = resp.getWriter();
        RespBean respBean = RespBean.error("登錄失敗");
        if (e instanceof BadCredentialsException) {
            respBean.setMessage("用戶名或者密碼輸入錯誤，登錄失敗");
        } else if (e instanceof DisabledException) {
            respBean.setMessage("賬戶被禁用，登錄失敗");
        } else if (e instanceof CredentialsExpiredException) {
            respBean.setMessage("密碼過期，登錄失敗");
        } else if (e instanceof AccountExpiredException) {
            respBean.setMessage("賬戶過期，登錄失敗");
        } else if (e instanceof LockedException) {
            respBean.setMessage("賬戶被鎖定，登錄失敗");
        }
        out.write(new ObjectMapper().writeValueAsString(respBean));
    });
    filter.setAuthenticationManager(authenticationManager());
    filter.setFilterProcessesUrl("/login");
    filter.setSecurityContextRepository(new HttpSessionSecurityContextRepository());
    return filter;
}

小伙伴們看到，最后調用 setSecurityContextRepository 方法設置一下就行。

Spring Boot3.x 之前之所以不用設置這個屬性，是因為這里雖然沒保存最后還是在 SecurityContextPersistenceFilter 過濾器中保存了。

那么對于自定義登錄接口的問題，解決思路也是類似的：

@RestController
public class LoginController {

    @Autowired
    AuthenticationManager authenticationManager;

    @PostMapping("/doLogin")
    public String doLogin(@RequestBody User user, HttpSession session) {
        UsernamePasswordAuthenticationToken unauthenticated = UsernamePasswordAuthenticationToken.unauthenticated(user.getUsername(), user.getPassword());
        try {
            Authentication authenticate = authenticationManager.authenticate(unauthenticated);
            SecurityContextHolder.getContext().setAuthentication(authenticate);
            session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());
            return "success";
        } catch (AuthenticationException e) {
            return "error:" + e.getMessage();
        }
    }
}

小伙伴們看到，在登錄成功之后，開發(fā)者自己手動將數(shù)據存入到 HttpSession 中，這樣就能確保下個請求到達的時候，能夠從 HttpSession 中讀取到有效的數(shù)據存入到 SecurityContextHolder 中了。

到此這篇關于SpringSecurity6自定義JSON登錄的實現(xiàn)的文章就介紹到這了,更多相關SpringSecurity6自定義JSON登錄內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

RabbitMQ使用案例詳解
RabbitMQ是基于Erlang語言開發(fā)的開源的消息中間件,這篇文章給大家介紹RabbitMQ使用案例,感興趣的朋友跟隨小編一起看看吧
2024-03-03
SpringMVC基于注解方式實現(xiàn)上傳下載
本文主要介紹了SpringMVC基于注解方式實現(xiàn)上傳下載，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2022-04-04
java實現(xiàn)網上購物車程序
這篇文章主要介紹了java實現(xiàn)網上購物車程序，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2018-01-01
Spring AOP的使用詳解
這篇文章主要介紹了Spring AOP的使用詳解，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2019-05-05
spring事務異?；貪L實例解析
這篇文章主要介紹了spring事務異常回滾實例解析，具有一定借鑒價值,需要的朋友可以參考下
2018-01-01
Day14基礎不牢地動山搖-Java基礎
這篇文章主要給大家介紹了關于Java中方法使用的相關資料,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
2021-08-08
在SpringBoot接口中正確地序列化時間字段的方法
文章主要介紹在 Spring Boot 接口中正確序列化時間字段的方法,包括 Java 中Date和LocalDateTime類型的區(qū)別,JSON 序列化和請求參數(shù)中時間字段的處理,如時間字符串的格式配置、時間戳的使用及相關配置,還提到了在 Swagger UI 中的類型設置,需要的朋友可以參考下
2024-11-11
OutOfMemoryError內存不足和StackOverflowError堆棧溢出示例詳解
這篇文章主要為大家介紹了OutOfMemoryError內存不足和StackOverflowError堆棧溢出示例詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
2023-09-09
SpringBoot沒有讀取到application.yml問題及解決
這篇文章主要介紹了SpringBoot沒有讀取到application.yml問題及解決方案,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
2023-12-12
Java設計模式之java中介者模式詳解
這篇文章主要為大家詳細介紹了23種設計模式之java中介者模式，具有一定的參考價值，感興趣的小伙伴們可以參考一下,希望能夠給你帶來幫助
2021-09-09