2. 程式人生 > >spring security登入驗證

spring security登入驗證

阿新 發佈:2019-02-07 
import com.qingxing.ManagerComplex.api.util.DateUtils;
import com.qingxing.ManagerComplex.api.util.LogUtil;
import com.qingxing.ManagerComplex.api.web.sms.service.SmsVerifyCodeService;
import com.qingxing.ManagerComplex.api.web.usermanager.moodel.Authority;
import com.qingxing.ManagerComplex.api.web
 
.usermanager.service.AuthorityOperations;
import com.qingxing.ManagerComplex.api.web.usermanager.service.UserOperator;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Value;
import org.springframework
 
.dao.DataAccessException;
import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.jdbc.core.RowMapper;
import org.springframework.security.authentication.*;
import org.springframework.security.authentication.encoding.ShaPasswordEncoder;
import org.springframework.security.core.Authentication
 
;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.inject.Inject;
import javax.servlet.http.HttpServletRequest;
import javax.sql.DataSource;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;
import java.util.Date;
import java.util.HashMap;
import java.util.List;

/**
 * 採用儲存過程提供授權
 * <p>
 * Created by zhangxh on 2017/3/13.
 */
public class StoredProcedureAuthenticationProvider implements AuthenticationProvider {

  private static final Logger log = LoggerFactory.getLogger(StoredProcedureAuthenticationProvider.class);

  private JdbcTemplate jdbcTemplate;

  @SuppressWarnings("deprecation")
  private org.springframework.security.authentication.encoding.PasswordEncoder passwordEncoder = new ShaPasswordEncoder();

  @Value("${app.sms.loginRequired}")
  private boolean smsLogin;

  @Value("${app.security.salt}")
  private String salt;

  @Inject
  public void setDataSource(DataSource dataSource) {
    this.jdbcTemplate = new JdbcTemplate(dataSource);
  }

  @Inject
  private SmsVerifyCodeService smsVerifyCodeService;

  @Inject
  private UserOperator userOperator;

  @Inject
  private AuthorityOperations authorityOperations;

  private RowMapper<User> userRowMapper = new RowMapper<User>() {
    @Override
    public User mapRow(ResultSet rs, int rowNum) throws SQLException {
      String username = rs.getString("username");
      String password = "";
      User user = new User(username, password);
      user.setArea(rs.getString("area"));
      user.setUsbKeySecretkey(rs.getString("usbkeysecretkey"));
      user.setRealName(rs.getString("realname"));
      user.setMobile(rs.getString("mobile"));
      user.setRoleName(rs.getString("rolename"));
      user.setState(rs.getInt("state"));
      user.setCreateTime(DateUtils.utilDateFromTimestamp(rs.getTimestamp("createtime")));
      user.setErrorCount(rs.getInt("errorcount"));
      user.setUnlockTime(DateUtils.utilDateFromTimestamp(rs.getTimestamp("unlocktime")));
      user.setIp(rs.getString("IP"));
      return user;
    }
  };

  @Override
  public Authentication authenticate(Authentication authentication)
    throws AuthenticationException {
    ServletRequestAttributes attributes =
      (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
    HttpServletRequest request = attributes.getRequest();
    String name = authentication.getName();
    String password = authentication.getCredentials().toString();
    HashMap<String, String> details = (HashMap<String, String>) authentication.getDetails();
    String verifyCode = details.get("verify_code");
    String verifyType = details.get("verify_type");
    password = passwordEncoder.encodePassword(password, salt);
    String sql = "select * from  tb_userinfo t  where  t.username =? AND t.password =?";
    Date now = new Date();
    Date limitTime = org.apache.commons.lang3.time.DateUtils.addMinutes(now, 10);
    User user;
    try {
      user = jdbcTemplate.queryForObject(sql, userRowMapper, name, password);
    } catch (DataAccessException e) {
      sql = "update tb_userinfo  t  set t.errorcount = t.errorcount+1 where t.username = ?";
      jdbcTemplate.update(sql, name);
      sql = "update tb_userinfo  t  set t.state=3,t.unlocktime = ? where t.username = ? AND t.errorcount >= 3";
      jdbcTemplate.update(sql, limitTime, name);
      throw new UsernameNotFoundException("使用者名稱或者密碼錯誤");
    }

    if (user.getUnlockTime() != null) {
      if (user.getUnlockTime().getTime() > now.getTime()) {
        throw new LockedException("使用者被鎖定");
      }
      sql = "update tb_userinfo  t  set t.errorcount =0,t.state=0,t.unlocktime=NULL where t.username = ?";
      jdbcTemplate.update(sql, name);
    }
    switch (user.getState()) {
      case 1:
        throw new DisabledException("使用者被停用");
      case 2:
        throw new UsernameNotFoundException("使用者被刪除");
      case 3:
        throw new LockedException("使用者被鎖定");
      default:
        break;
    }
    sql = "update tb_userinfo  t  set t.errorcount =0 where t.username = ?";
    jdbcTemplate.update(sql, name);
    if (smsLogin && StringUtils.isNotBlank(user.getMobile()) &&
      !smsVerifyCodeService.checkVerifyCodeByPhone(userOperator.getPhone(name), verifyCode, verifyType)) {
      throw new BadCredentialsException("簡訊驗證碼錯誤");
    }

    // 新增使用者許可權
    List<GrantedAuthority> grantedAuths = new ArrayList<>();
    grantedAuths.add(new SimpleGrantedAuthority("ROLE_" + user.getRoleName()));

    // 新增使用者許可權進去
    List<Authority> auths = authorityOperations.queryAuthorityByRoleName(user.getRoleName());
    // 迴圈新增所有許可權
    for (Authority auth : auths) {
      grantedAuths.add(new SimpleGrantedAuthority(auth.getPath()));
    }
    user.setAuthorities(grantedAuths);
    // 記錄登入操作
    String realarea = LogUtil.sqlArea(user.getArea());
    String ip1 = LogUtil.getIpAddress(request);
    sql = "INSERT INTO tb_logging (area, username, ip, path, operation, createdate)"
      + "VALUES (?,?,?,?,?,?)";
    jdbcTemplate.update(sql, realarea, name, ip1, "登入", "登入成功", new Date());
    log.debug("區域" + realarea + " 使用者名稱:" + name + " ip地址: " + ip1 + " ,操作:登入成功" + ", 操作時間為:"
      + new Date());

    return new UsernamePasswordAuthenticationToken(user, password, grantedAuths);

  }


  @Override
  public boolean supports(Class<?> authentication) {
    return authentication.equals(UsernamePasswordAuthenticationToken.class);
  }
}

相關推薦

spring security登入驗證

import com.qingxing.ManagerComplex.api.util.DateUtils; import com.qingxing.ManagerComplex.api.util.LogUtil; import com.qingxing.Man

Spring Security登入驗證流程原始碼解析

一、登入認證基於過濾器鏈 Spring Security的登入驗證流程核心就是過濾器鏈。當一個請求到達時按照過濾器鏈的順序依次進行處理,通過所有過濾器鏈的驗證,就可以訪問API介面了。 SpringSecurity提供了多種登入認證的方式,由多種Filter過濾器來實現,比如: BasicAuthent

spring security登入

form-login是spring security名稱空間配置登入相關資訊的標籤,它包含如下屬性:  1. login-page 自定義登入頁url,預設為/login  2. login-processing-url 登入請求攔截的url,也就是form表單提交時指定的act

ssm下的spring-security登入許可權與角色記錄

配置檔案記錄 <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:b

Spring系列學習之Spring Security身份驗證與授權

英文原文:https://spring.io/projects/spring-security 目錄 概述 特性 快速開始 學習 文件 指南 概述 Spring Security是一個功能強大且可高度自定義的身份驗證和訪問控制框架。 它是保護基於Spring的

spring security 登入根據使用者角色跳轉到不同的頁面

pring security 做的登入程式,不同角色的使用者登入之後,可能會跳轉到不同的頁面,在預設情況下的配置,都是跳轉到同一個頁面,因為在 form-login 中設定的 default-target-url 就是登入後應該跳轉到的頁面。如何使得不同角色的使用者登入後跳

(原創)Spring security使用者驗證機制淺談.

1.首先CustomUserDetailsService需要實現UserDetailsService(org.springframework.security.core.userdetails.UserDetailsService)介面, 實現獲取使用者Detail資訊的

Spring-Security登入認證授權原理

spring-security原始碼下載地址:https://github.com/spring-projects/spring-security Spring-Security原始碼解讀:1.使用ctrl+shift+n組合鍵查詢UsernamePasswordAuthen

Spring Boot後臺腳手架搭建 [五] Spring Security登入實現以及認證過程

Spring Security實現登入spring security的配置    SecurityConfig@Override protected void configure(HttpSecurity http) throws Exception { //跨站請求偽造禁用

spring security登入失敗的錯誤提示

這篇文章講得很清楚了,http://forum.springsource.org/showthread.php?96206-How-to-display-error-message-in-spring-security 另外需要解決的是驗證碼問題,可以用filter方式解決

spring security 登入、許可權管理配置

登入流程 1)容器啟動(MySecurityMetadataSource:loadResourceDefine載入系統資源與許可權列表)  2)使用者發出請求  3)過濾器攔截(MySecurityFilter:doFilter)  4)取得請求資源所需許可權(MySe

Spring Boot 2.X(十八):整合 Spring Security-登入認證和許可權控制

前言 在企業專案開發中,對系統的安全和許可權控制往往是必需的,常見的安全框架有 Spring Security、Apache Shiro 等。本文主要簡單介紹一下 Spring Security,再通過 Spring Boot 整合開一個簡單的示例。 Spring Security 什麼是 Spring Se

spring security實現登入驗證以及根據使用者身份跳轉不同頁面

想關依賴,採用session加redis儲存使用者資訊 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security

Spring Security教程(10)---- 自定義登入成功後的處理程式及修改預設驗證地址

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

使用Spring SecuritySpring Boot Admin做一個安全驗證登入

專案中我們可用到Spring Boot Admin 應用監控 監控伺服器的各項指標狀態。 本類別文章已經介紹了 如何搭建Spring Boot Admin 截圖正常執行效果圖如下: 下邊我們貼下關鍵實現該功能的過程 <dependency> &

簡單的Spring Security例項(自定義登入驗證)

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

Spring Security 自定義登入驗證與自定義回撥地址

1 配置檔案 security-ns.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/b

Spring Boot+Spring Security專案開發(三):實現簡訊驗證登入

說在前面 博主最近會有很多專案跟大家一起分享,做完後會上傳github上的,希望讀友們能給博主提提意見哈哈 這個專案是第三方登入和安全方面的,關於後臺與app和網站的登入連線操作的實戰專案 各位如果可以就給我star哈哈謝謝啦 實

Spring Security 4 整合Hibernate 實現持久化登入驗證(帶原始碼)

【相關已翻譯的本系列其他文章,點選分類裡面的spring security 4】 本教程將使用Spring Security 4 和hibernate向你展示持久化登入驗證. 在持久化登入驗證中,應用通過session記住使用者特徵。 一般來說,在登入介面,當你

(一)如何使用Spring-security來實現登入驗證功能(XML配置方式)?

先從使用xml的方式來實現使用者的許可權登入 (1)需要在maven工程中加上關於spring-secutity的jar包的依賴 //spring-securityd 有關的依賴 <