2. 程式人生 > >Spring Security的高階認識,在上一篇我們已經初步的瞭解到了Spring Secuity

Spring Security的高階認識,在上一篇我們已經初步的瞭解到了Spring Secuity

阿新 發佈:2018-12-05

2 自定義登入成功處理

預設情況下,登入成功後,Spring Security 會跳轉到之前引發登入的那個請求上。

AuthenticationSuccessHandler

@Component("myAuthenticationSuccessHandler")
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired
    private ObjectMapper objectMapper;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) throws IOException, ServletException {

        System.out.println("登入成功");

        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(objectMapper.writeValueAsString(authentication));
    }
}

 
@Configuration
@EnableWebSecurity
@ComponentScan("com.sxnd.authentication")
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    @Qualifier("myAuthenticationSuccessHandler")
    private AuthenticationSuccessHandler successHandler;

    @Bean("objectMapper")
    public ObjectMapper objectMapper() {
        return new ObjectMapper();
    }

  ...

    @Override
    protected void configure(HttpSecurity http) throws Exception {
          http
                  .formLogin()
                  .loginPage("/sign-in.html")
                  .loginProcessingUrl("/login")
          .successHandler(successHandler)
              .and()
          ...

    }
}

簡訊驗證碼登入

生成 - 存session - 傳送

Spring Social 開發第三方登入

OAuth

使用者名稱密碼授權的問題:

  • 應用可以訪問使用者在微信上的所有資料
  • 使用者只有修改密碼,才能收回授權(但又會引起其他問題)
  • 密碼洩露的可能性大大增加

使用者給 APP 的是token,而不再是使用者名稱密碼。App 通過攜帶token去訪問微信自拍照片。token中可以設定有效期。

  • Provider,服務提供商(例如,微信)
    • Authorization Server(認證,發令牌)
    • Resource Server(儲存資源)
  • Resource,資源(例如,微信自拍照片)
  • Resource Owner,資源所有者(例如,微信使用者。注意,自拍照片的所有者並非微信)
  • Client,第三方應用
  1. 使用者訪問 Client
  2. Client 向該使用者請求/申請授權
  3. 使用者同意 Client 授權申請
  4. Client 向 Provider 的 Authorization Server 申請令牌
  5. Provider 向 Client 發放令牌
  6. Client 向 Provider 的 Resource Server 申請獲取資源
  7. Provider 向 Client 開放資源
  8. Client 持續攜帶令牌訪問 Provider 上的資源。

OAuth 協議中的四種授權模式(涉及上述第 2 步):

  • 授權碼模式(功能最完整,流程最嚴密,應用最廣泛)
  • 密碼模式
  • 客戶端模式
  • 簡化模式

授權碼模式:

授權碼的模式的特點在於,“使用者同意 Client 授權申請” 的過程是 使用者 - Client - Provider 三方之間的交流:

  • 使用者訪問 Client 之後,Client 會將使用者導向 Provider,Provider 向用戶詢問是否對 Client 授權
  • 使用者同意授權後,Provider 向 Client 返回一個授權碼。
  • Client 再用授權碼申請 Token
  • Provider 確認授權碼後發放 Token
  • Client 攜帶 Token 訪問使用者在 Provider 上的資源

第三方登入原理

 

相關推薦

Spring Security高階認識我們已經初步瞭解Spring Secuity

2 自定義登入成功處理 預設情況下,登入成功後,Spring Security 會跳轉到之前引發登入的那個請求上。 AuthenticationSuccessHandler @Component("myAuthenticationSuccessHandler") public class

Spring整合Struts2框架的第一種方式(Action由Struts2框架來創建)。在我的博文中介紹的通過web工廠的方式獲取servcie的方法因為太麻煩所以開發的時候不會使用。

rac println 需要 如果 value const tps http 建立 1. spring整合struts的基本操作見我的上一篇博文:https://www.cnblogs.com/wyhluckdog/p/10140588.html,這裏面將spring與st

是copy整理網上的內容是一個推薦

定義 問題 插件 寬度 移動端 wip 命名 www. 按鈕 因為公司用的 輪播組件是 aui 的 ui庫這個輪播有樣式單一等等很多的問題.... 包括滑動BUG(自己也踩了一個小坑,高度和寬度問題...需要設定好,滑動提示按鈕點 醜陋............ 無力吐槽 實

spring mvc中ajax的呼叫(在的基本上)

spring mvc中ajax的呼叫 目錄 三、測試 一、在網格根目錄下建 resources\css resources\css\css.css @CHARSET "UTF-8"; .cssTable{ border:1px blue solid;

部落格之後對數獨解析方式進行優化更新。

#include <stdio.h> #include <stdlib.h> #include <vector> #include <string> #include <map> using namespace std; void Pr

Springcloud使用feignclient遠端呼叫服務404 為什麼去掉context-path後就能夠調通

一、問題回顧 如果application.properties檔案中配置了 #專案路徑 server.servlet.context-path=/pear-cache-service 則feignclient呼叫404  二、原因分析當專案中配置了相當於配置了server.servlet.context-pa

僅是晒但沒有給程式碼片把程式碼晒出來。

/* multiboot2.h - Multiboot 2 header file. */ /* Copyright (C) 1999,2003,2007,2008,2009,2010 Free Software Foundation, Inc. * * Permission is

Mysql實現文章查詢和下功能附sql語句?

mysql實現文章查詢上一篇和下一篇功能,附sql語句? Mysql實現文章查詢上一篇和下一篇功能,sql語句: 1 (select * from articles where id < #id# order by id desc limit 1)

Android:學習AIDL文章就夠()

前言 在決定用這個標題之前甚是忐忑,主要是擔心自己對AIDL的理解不夠深入,到時候大家看了之後說——你這是什麼玩意兒,就這麼點東西就敢說夠了?簡直是坐井觀天不知所謂——那樣就很尷尬了。不過又轉念一想,我輩年輕人自當有一種一往無前的銳氣,標題大氣一點豈不更好?並且大家都是

馬克飛象 Markdown 語法對應

+ 提供[桌面客戶端][1]以及[離線Chrome App][2], [1]: http://maxiang.info/client_zh [2]: https://chrome.google.com/webstore/detail/kidnkfckhbdkfgbicccmdggmpgogehop [

原生ajax請求支付的文章一直系統連線錯誤ALI40247錯誤

如果支付一直報 ALI40247 錯誤,且後臺的引數與支付寶文件zho沒有任何差異的情況下!請檢查後臺的返回值是否有空格! 如果有空格,控制檯輸出格式會帶上: 10:44.334   968   968 I console :  如下圖中的控制檯 如果把連線放瀏覽器中開啟

thinkphp5實現文章

fin sign pan php next tle desc table class 寫在控制器 //列表是按照根據id降序排列的,所以上一篇 $prv=Db::table(‘qy_article‘)->where(‘at_id‘,‘>

針對學習技術的過程文章寫的很好

什麽 鏈接 方法 面向 bsp 獲得 甜美 promise 有效 摘自:https://www.zhihu.com/question/29138020/answer/72193349 很多“大牛”都會告誡初學者,用這個用那個,少走彎路,這樣反而把初學者推向了真正的彎路。

PHPCMS 手機門戶文章添加下

php previous span cat scrip clas ive ast nbsp 一、在phpcms\modules\wap\index.php裏面,搜索下面這句代碼 if(!$r || $r[‘status‘] != 99) showmessage(L(‘in

DEDECMS文章模板的、下的鏈接地址

xtu ive tro hive get HP .class 沒有 url 需要修改 /include/arc.archives.class.php (默認)   搜索 GetPreNext( 或 上一篇 找到 GetPreNext()函數 在 $this-&g

做一個 — Java調用Oracle存儲過程

cst lose imp 遊標 let 實現 bject 一起 main 一、需求 傳入一個參數,返回多條記錄(列表)。 二、實現步驟   1. 編寫Oracle存儲過程。 -- 聲明包和包體的語句應該分兩次執行,即使聲明在前定義在後,如果一起執行依然

萬字總結:學習MySQL優化原理就夠

ade min() 全表掃描 搜索 財務 兼容 嵌套循環 很大的 完成 前言 說起MySQL的查詢優化,相信大家收藏了一堆奇技淫巧:不能使用SELECT *、不使用NULL字段、合理創建索引、為字段選擇合適的數據類型..... 你是否真的理解這些優化技巧?是否理解其背後的工

Elasticsearch入門就夠

search 語義 瀏覽器 三種 http請求 機制 說明 pro .net 實時搜索引擎Elasticsearch Elasticsearch(簡稱ES)是一個基於Apache Lucene(TM)的開源搜索引擎,無論在開源還是專有領域,Lucene可以

Python多進程,同步互斥,信號量,鎖補充文章

python多進程 text stdout 執行 pause mat 1.7 hit splay 進程補充進程間的信號信號量(信號燈)進程的同步互斥Event事件Lock 鎖 進程補充 進程間的信號 信號是唯一的異步通信方法 一個進程向另一個進程發送一個信號來傳遞

解golang的不定參數(... parameters)就夠

type col interface 原因 相同 tro fun cti func 在實際開發中,總有一些函數的參數個數是在編碼過程中無法確定的,比如我們最常用的fmt.Printf和fmt.Println: fmt.Printf("一共有%v行%v列\n", rows,