如何在弹簧安全认证登录中获取用户输入的用户名和密码值

Posted

技术标签:

【中文标题】如何在弹簧安全认证登录中获取用户输入的用户名和密码值【英文标题】:How to get the user entered values of username and password in a spring security authenticated login 【发布时间】:2016-04-28 03:53:18 【问题描述】:

我在我的应用程序中使用 Spring MVC,并且登录由 Spring Security 进行身份验证。我的UserServiceImpl.java 类中有以下两种方法, public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException, DataAccessException 

        ApplicationTO applicationTO = null;
        try
            
                applicationTO = applicationService.getApplicationTO(adminDomainName);
            
        catch (ApplicationPropertyException e)
            
                // TODO Auto-generated catch block
                e.printStackTrace();
            
        UserTO userTO = getUserTO(applicationTO.getApplicationId(), userName);
        if (userTO == null)
            
                throw new UsernameNotFoundException("user not found");
            
        httpSession.setAttribute("userTO", userTO);
        return buildUserFromUserEntity(userTO);
    


User buildUserFromUserEntity(UserTO userTO)
            
                String username = userTO.getUsername();
                String password = userTO.getPassword();
                int userId = userTO.getUserId();
                int applicationId = userTO.getApplicationId();
                boolean enabled = userTO.isEnabled();
                boolean accountNonExpired = true;
                boolean credentialsNonExpired = true;
                boolean accountNonLocked = true;
                User user = new User(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, getAuthority(applicationId, userId));
                return user;

我对 Spring 比较陌生,对 Spring 安全部分不太了解。在我的spring-security.xml 文件中,我有以下内容,

<form-login login-page="/login" default-target-url="/module/user-home/welcome"
    authentication-failure-url="/login?error" username-parameter="username"
    password-parameter="password" />
<logout logout-success-url="/login?logout" />

<beans:bean id="daoAuthenticationProvider"
 class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
  <beans:property name="userDetailsService" ref="userDetailsService"/>
</beans:bean>

<beans:bean id="authenticationManager"
    class="org.springframework.security.authentication.ProviderManager">
  <beans:property name="providers">
    <beans:list>
      <beans:ref local="daoAuthenticationProvider" />
    </beans:list>
  </beans:property>
</beans:bean>

我的登录表单的操作设置如下:

<form id="loginForm" class="form-horizontal" role="form" name='loginForm' action="$rc.getContextPath()/j_spring_security_check" method='POST'>

现在我正在尝试获取用户在登录表单中输入的password 的值,可以在loadUserByUsername 方法内,也可以通过向UserServiceImpl.java 类添加新方法。

我在保存密码之前使用以下方法加密我的密码。 What API and algorithm to be used to encrypt and decrypt a password using java

所以在登录过程中,spring security 将用户输入的密码与数据库中的加密密码进行比较,登录失败。但是根据上面链接中建议的实现,有一种方法可以比较密码和加密密码以检查它们是否相同。只有当我可以访问用户输入的密码时才有可能。这就是我试图让用户输入密码的原因。

【问题讨论】:

不,也不应该由 Spring Security 为您完成。 如前所述,Spring Security 将为您验证密码。为什么需要访问密码? @RobWinch,我已经指定了我需要访问密码的原因,如果您对我如何处理这个问题有一些想法,请提出建议 【参考方案1】:

正如 MangEngkus 在回答中所建议的,您可以实现自己的自定义 AuthenticationProvider,但根据您的描述,我认为您不需要这样做。

您不需要在 spring-security 中实现自己的密码哈希机制。您只需要从 spring 本身定义BCryptPasswordEncoder。

这两种方式都使用默认的:

<authentication-manager>
  <authentication-provider>
    <password-encoder hash="bcrypt" />
  </authentication-provider>
</authentication-manager>

或者创建您自己的 bean 并将其提供给默认提供者:

<authentication-manager>
  <authentication-provider>
    <password-encoder ref="encoder" />
  </authentication-provider>
</authentication-manager>

<beans:bean id="encoder" 
  class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
    <beans:constructor-arg name="strength" value="15" />
</beans:bean>

但对你来说,这就是方式::)

<beans:bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
  <beans:property name="userDetailsService" ref="userDetailsService"/>
  <beans:property name="passwordEncoder" ref="encoder" />
</beans:bean>

<bean id="encoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

【讨论】:

【参考方案2】:

如果你愿意,你可以创建自己的 AuthenticationProvider

public class CustomAuthenticationProvider implements AuthenticationProvider

    private UserDetailsService service;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException 
        UsernamePasswordAuthenticationToken token = (UsernamePasswordAuthenticationToken) authentication;
        String username = token.getName();
        String password = token.getCredentials(); // retrieve the password 
        // do something here

        // if ok then return the authentication
        return new UsernamePasswordAuthenticationToken(username, password, authorities);

并将其插入您的安全配置

<beans:bean id="customAuthenticationProvider"
 class="com.xxx.CustomAuthenticationProvider">
  <beans:property name="userDetailsService" ref="userDetailsService"/>
</beans:bean>

<beans:bean id="authenticationManager"
    class="org.springframework.security.authentication.ProviderManager">
  <beans:property name="providers">
    <beans:list>
      <beans:ref local="customAuthenticationProvider" />
    </beans:list>
  </beans:property>
</beans:bean>

【讨论】:

以上是关于如何在弹簧安全认证登录中获取用户输入的用户名和密码值的主要内容,如果未能解决你的问题,请参考以下文章

HTTP协议下保证登录密码不被获取最健壮方式

HTTP协议下保证登录密码不被获取更健壮方式

Oauth2解决第三方登录问题

基于jwt的用户登录认证

WinXP系统中的Oracle数据库如何以管理员身份登录

WIN10如何换个账户密码登录局域网电脑?