关于#SpringSecurity#的问题，如何解决？

SpringSecurity6.1

自己重写UsernamePasswordAuthenticationFilter

package com.hw.example.admin.config.security.filter;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.hw.example.admin.config.security.domain.User;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import java.io.IOException;

/**
 * @author : guanzheng
 * @date : 2023/6/26 15:17
 */
public class JsonLoginFilter extends UsernamePasswordAuthenticationFilter {

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        //获取请求头，据此判断请求参数类型
        String contentType = request.getContentType();
        if (MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(contentType) || MediaType.APPLICATION_JSON_UTF8_VALUE.equalsIgnoreCase(contentType)) {
            //说明请求参数是 JSON
            if (!request.getMethod().equals("POST")) {
                throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
            }
            String username = null;
            String password = null;
            try {
                //解析请求体中的 JSON 参数
                User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
                username = user.getUsername();
                username = (username != null) ? username.trim() : "";
                password = user.getPassword();
                password = (password != null) ? password : "";
            } catch (IOException e) {
                throw new RuntimeException(e);
            }
            //构建登录令牌
            UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(username,
                    password);
            // Allow subclasses to set the "details" property
            setDetails(request, authRequest);
            //执行真正的登录操作
            Authentication auth = this.getAuthenticationManager().authenticate(authRequest);

            SecurityContextHolder.getContext().setAuthentication(auth);

            return auth;
        }
        return super.attemptAuthentication(request,response);
    }
}

package com.hw.example.admin.config.security;

import com.hw.example.admin.config.security.filter.JsonLoginFilter;
import com.hw.example.admin.config.security.handler.LoginFailureHandler;
import com.hw.example.admin.config.security.handler.LoginSuccessHandler;
import com.hw.example.admin.config.security.handler.LogoutHandler;
import com.hw.example.admin.config.security.handler.MyPasswordEncoder;
import com.hw.example.admin.config.security.service.UserDetailServiceImpl;
import com.hw.example.common.util.http.HttpUtil;
import com.hw.example.common.web.component.R;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import java.io.IOException;

/**
 * @author : guanzheng
 * @date : 2023/6/25 9:03
 */
@Configuration
@EnableWebSecurity
public class SecurityConfiguration {

    @Autowired
    UserDetailServiceImpl userDetailService;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        //认证请求配置
        http.authorizeHttpRequests()
                //允许匿名访问的地址，写在最前边
                .requestMatchers("/hello").permitAll()
                //其他请求必须认证才能访问
                .anyRequest().authenticated()
                .and()
                .exceptionHandling().authenticationEntryPoint(new AuthenticationEntryPoint() {
                    @Override
                    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
                        HttpUtil.writeResponse(response, R.ok("未登录"));
                    }
                })
                .and()
                //登录表单配置
                .formLogin()
                //登录表单的用户名name
//                .usernameParameter("username")
                //登录表单的密码name
//                .passwordParameter("password")
                .and()
                .logout()
                //退出登录的url
//                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutHandler())
                //清除session
//                .invalidateHttpSession(true)
                //清除认证信息
//                .clearAuthentication(true)
                .and()
                //关闭csrf
                .csrf().disable()
        //添加自定义过滤器
        .addFilterAt(myJsonLoginFilter(), UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }
//    @Bean
//    public InMemoryUserDetailsManager userDetailsService() {
//        UserDetails user = User.withDefaultPasswordEncoder()
//                .username("aaa")
//                .password("111aaa")
//                .roles("USER")
//                .build();
//        return new InMemoryUserDetailsManager(user);
//    }

//    @Bean
//    public PasswordEncoder passwordEncoder() {
//        return new MyPasswordEncoder();
//    }


    @Bean
    JsonLoginFilter myJsonLoginFilter() throws Exception {
        JsonLoginFilter myJsonLoginFilter = new JsonLoginFilter();
        myJsonLoginFilter.setAuthenticationSuccessHandler(new LoginSuccessHandler());
        myJsonLoginFilter.setAuthenticationFailureHandler(new LoginFailureHandler());
        myJsonLoginFilter.setAuthenticationManager(authenticationManager());
        return myJsonLoginFilter;
    }



    @Bean
    AuthenticationManager authenticationManager(){
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
        //设置用户信息处理器
        daoAuthenticationProvider.setUserDetailsService(userDetailService);
        //设置密码处理器
        daoAuthenticationProvider.setPasswordEncoder(new MyPasswordEncoder());
        ProviderManager pm = new ProviderManager(daoAuthenticationProvider);
        return pm;
    }

}

git地址：https://gitee.com/guan0207/puyu

但是登录成功后，还是未登录状态，SecurityContextHolder.getContext().getAuthentication().getPrincipal()取出来是anonymousUser是咋回事？

写回答
好问题 0 提建议
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

6条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
「已注销」 2023-06-28 16:25
关注
可能的原因是在SecurityConfiguration类中配置的身份验证提供程序(DaoAuthenticationProvider)未正确地加载用户详细信息或密码处理器。
确保以下内容：
1.UserDetailServiceImpl类实现了UserDetailsService接口，并正确加载用户详细信息。
2.MyPasswordEncoder类实现了PasswordEncoder接口，并正确处理密码。
3.在authenticationManager()方法中，将用户信息处理器(userDetailService)和密码处理器(MyPasswordEncoder)正确配置给DaoAuthenticationProvider。

调试和检查上述配置，确保用户详细信息和密码被正确加载和处理。如果问题仍然存在，那问题就出在UserDetailServiceImpl或MyPasswordEncoder的代码里了

解决无用
评论打赏
分享
举报编辑记录

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

基于Java语言的SpringSecurity框架学习与设计源码解析
2024-09-28 09:38

在当前的互联网技术环境中，Java作为一门成熟的编程语言，其在企业级应用开发中占据着举足轻重的地位。而Spring框架作为Java语言中最为流行的应用框架之一，不仅为开发者提供了全方位的编程和配置模型，还为安全性和...
基于Java语言的SpringSecurity框架学习与实践设计源码
2024-10-06 07:48

SpringSecurity作为一套安全框架，它提供了全面的安全服务解决方案，能够帮助开发者构建安全的应用程序。本项目即以Java语言为基础，深入学习和实践SpringSecurity框架的设计与源码。 SpringSecurity框架设计精良，...
入门到精通：SpringBoot2和SpringSecurity5视频教程
2021-06-11 10:05

《入门到精通：SpringBoot2和SpringSecurity5视频教程》是一个全面涵盖这两个核心Java技术的教育资源，旨在帮助初学者和有一定经验的开发者深入理解和掌握SpringBoot 2和Spring Security 5的使用。SpringBoot是...
全套Spring Security入门到项目实战课程
2024-03-21 19:18

- **定义**: Spring Security 是一款基于 Spring 框架的身份认证(Authentication)与用户授权(Authorization)的安全框架，提供了全面的Web应用程序安全性解决方案。 - **核心技术**: 使用了 Servlet 过滤器、IOC...
SpringSecurity深度解析与实践（3）
2023-12-23 23:35

在这一部分，我们将深入探讨Spring Security这一强大的安全框架，它为Java企业级应用提供了全面的安全管理解决方案。Spring Security不仅支持身份验证和授权，还具备防止常见攻击的能力，如跨站脚本攻击（XSS）、跨...
spring-security 官方文档中文版
2018-10-12 09:55

Spring Security 是一款基于 Spring 框架的安全插件，提供了完整的安全性解决方案，包括身份认证(Authentication)、授权(Authorization)以及会话管理(Session Management)等功能。Spring Security 的设计目标是为...
SpringSecurity-Dare:Spring Security Dare编程
2021-04-08 12:21

在“SpringSecurity-Dare-main”这个项目中，开发者可能已经实现了一些常见的安全场景，如登录、登出、权限控制、记住我功能，以及可能的OAuth2集成。通过分析源代码，我们可以学习如何将这些功能融入到自己的应用中...
基于Java语言的spring-security-oauth认证授权框架设计与实现源码
2024-09-30 10:44

项目涉及多种编程语言和文件类型，首先，201个Java源文件是整个框架的主体，它们定义了应用程序的核心逻辑和安全机制。TypeScript文件可能用于前端开发，为单页应用（SPA）提供了客户端支持。JSON和XML配置文件则...
Spring Security 和 Shiro 该如何选择？
2021-12-14 10:35

Java基基的博客如果开发项目比较紧张，Shiro可能更合适，容易上手，也足够用，Spring Security中有的，Shiro也基本都有，没有的部分网上也有大批的解决方案。如果项目没有使用Spring这一套，不用考虑，直接Shiro。同时要考虑团队...
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
已结题（查看结题原因） 7月4日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 6月28日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 6月28日

关于#SpringSecurity#的问题，如何解决？

6条回答 默认 最新

问题事件

6条回答默认最新