SpringSecurity自定义多种登录方式，登录成功之后没有认证信息，是匿名角色

SpringSecurity多种登录方式，模拟手机验证码登录，实现Security中的Filter、Provider、Token，结果可以登录成功，但不能进行权限控制，获取Security上下文显示是匿名角色ROLE_ANONYMOUS，请问下面代码哪里理解有问题？应该如何修改？

SpringBoot3+SpringSecurity6+ajax

查看SpringSecurity文档，是不是和这个有关系？
https://docs.spring.io/spring-security/reference/servlet/authentication/session-management.html#requireexplicitsave
https://docs.spring.io/spring-security/reference/servlet/authentication/session-management.html#customizing-where-authentication-is-stored

参考
https://stackoverflow.com/questions/64679097/spring-security-returning-anonymous-user-after-successful-authenticaiton
https://stackoverflow.com/questions/74341976/spring-security-an-authentication-object-was-not-found-in-the-securitycontext

Filter

/**
 * Filter负责拦截请求并调用Manager
 * Manager负责管理多个Provider，并选择合适的Provider进行认证
 * Provider负责认证，检查账号密码之类的
 * Token是认证信息，包含账号密码，具体可以自己定义
 */
public class MyMultipleLoginFilter extends AbstractAuthenticationProcessingFilter {

    private AuthenticationManager authenticationManager;

    // 要拦截的登录请求
    public MyMultipleLoginFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }
    public MyMultipleLoginFilter(AuthenticationManager authenticationManager){
        super(new AntPathRequestMatcher("/login", "POST"));
        this.authenticationManager = authenticationManager;
    }


    /**
     * 封装信息，提交认证
     * @param request
     * @param response
     * @return
     * @throws AuthenticationException
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {

        if("GET".equals(request.getMethod())){
            throw new AuthenticationServiceException("MyMultipleLoginFilter method not supported: " + request.getMethod());
        }else{
            String phone = request.getParameter("phone");
            String code = request.getParameter("code");
            System.out.println("phone:" + phone + " code:" + code);
            // 自定义token
            MyMultipleAuthenticationToken token = new MyMultipleAuthenticationToken(phone, code);

            return this.getAuthenticationManager().authenticate(token);
        }

    }

    @Override
    protected AuthenticationSuccessHandler getSuccessHandler() {
        return super.getSuccessHandler();
    }
}

Provider

/**
 * 用于验证自定义的服务是否与预期一致，如用户输入的邮箱验证码和预期的验证码
 *
 *  Filter负责拦截请求并调用Manager
 *  Manager负责管理多个Provider，并选择合适的Provider进行认证
 *  Provider负责认证，检查账号密码之类的
 *  Token是认证信息，包含账号密码，具体可以自己定义
 */
@Component
public class MyMultipleAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    SecurityUserDetailsServiceImpl userDetailsService;

    /**
     * 验证信息
     * @param authentication 封装的验证信息？token？
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        // 认证代码

        // 转为自定义token，里面封装了认证时需要的数据
        MyMultipleAuthenticationToken myAuthToken = (MyMultipleAuthenticationToken) authentication;


        // 获取登录phone
        String phone = (String) myAuthToken.getPrincipal();
        // 获取用户输入凭证，如邮箱、手机验证码
        String code = (String) myAuthToken.getCredentials();

        System.out.println("手机验证：phone=" + phone + " code=" + code);
        if(phone.isEmpty() || code.isEmpty()){
            return null;
        }

        // 查询数据库获取用户信息
        UserDetails userDetails = userDetailsService.loadUserByUsername(phone);


        // 去数据库/redis查询验证码是否正确，然后判断抛出异常等情况
        // 此处简写从数据库/redis读取验证码，仍以账号密码代替手机号和验证码，给明文密码加密以对比数据库中的密码
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

        if(!passwordEncoder.matches(code, userDetails.getPassword())){
            // throw new BadCredentialsException("验证码不正确");
            throw new RuntimeException("验证码不正确");
        }

        // 返回认证后的token
        MyMultipleAuthenticationToken authenticationToken = new MyMultipleAuthenticationToken(userDetails.getUsername(), userDetails.getPassword(), userDetails.getAuthorities());
        authenticationToken.setDetails(userDetails);
        
        return authenticationToken;

    }

    // 判断token支持类，验证传入的身份验证对象是否是指定的 xxToken
    @Override
    public boolean supports(Class<?> authentication) {
        return MyMultipleAuthenticationToken.class.isAssignableFrom(authentication);
    }
}

Token

/**
 * 封装验证信息，根据自定义验证类型，如封装邮箱验证码信息
 * Token的核心在于两个构造方法，一个是认证前使用，一个是认证后使用。
 *
 *  Filter负责拦截请求并调用Manager
 *  Manager负责管理多个Provider，并选择合适的Provider进行认证
 *  Provider负责认证，检查账号密码之类的
 *  Token是认证信息，包含账号密码，具体可以自己定义
 */
public class MyMultipleAuthenticationToken extends AbstractAuthenticationToken {

    // 如邮箱、手机号
    private Object principal;
    // 如邮箱验证码、手机验证码
    private Object credentials;


    /**
     * 认证时过滤器通过这个方法创建Token，传入前端的参数
     * @param credentials phone
     * @param principal code
     */
    public MyMultipleAuthenticationToken(Object principal, Object credentials){
        super(null);
        this.credentials = credentials;
        this.principal = principal;
        //关键：标记未认证
        setAuthenticated(false);
    }

    /**
     * 认证通过后Provider通过这个方法创建Token，传入自定义信息以及授权信息
     * @param credentials phone
     * @param principal code
     * @param authorities List auth
     */
    public MyMultipleAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.credentials = credentials;
        this.principal = principal;
        //关键：标记已认证
        super.setAuthenticated(true);

    }


    public static MyMultipleAuthenticationToken authenticated(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        return new MyMultipleAuthenticationToken(principal, credentials, authorities);
    }

    @Override
    public Object getCredentials() {
        return credentials;
    }

    @Override
    public Object getPrincipal() {
        return principal;
    }
}

Config

/**
 * Security配置类
 */
@EnableWebSecurity
@Configuration
public class SecurityConfig {


    @Autowired
    SecurityUserDetailsServiceImpl userDetailsService;

    // 自定义验证
    @Autowired
    MyMultipleAuthenticationProvider myMultipleAuthenticationProvider;

    @Bean
    public AuthenticationManager authenticationManager() {
        return new ProviderManager(Arrays.asList(myMultipleAuthenticationProvider));
    }

    @Bean
    public MyMultipleLoginFilter myMultipleLoginFilter(){
        MyMultipleLoginFilter myMultipleLoginFilter = new MyMultipleLoginFilter();
        myMultipleLoginFilter.setAuthenticationManager(authenticationManager());
        myMultipleLoginFilter.setAuthenticationSuccessHandler(new AuthenticationSuccessHandler() {
            @Override
            public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                // response.getWriter().write("success!");

                System.out.println("成功之后将auth放入上下文");
                SecurityContextHolder.getContext().setAuthentication(authentication);

                response.setContentType("text/json;charset=utf-8");
                Result result = new Result();
                result.setCode(1);
                result.setStatus(222);
                result.setMsg("登录成功!");
                ObjectMapper mapper = new ObjectMapper();
                ServletOutputStream outputStream = response.getOutputStream();
                mapper.writeValue(outputStream, result);
                // response.sendRedirect("/home");
            }
        });
        return myMultipleLoginFilter;
    }



    /**
     * 密码编码器
     * @return
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {


        return http

                .authorizeHttpRequests(auth->{

                    // 设置url权限，注意所有权限的配置顺序
                    auth.requestMatchers("/home").permitAll();
                    auth.requestMatchers("/login").permitAll();
                    auth.requestMatchers("/phone_login").permitAll();
                    auth.requestMatchers("/login_phone").permitAll();
                    auth.requestMatchers("/test").permitAll();

                    // 验证码
                    auth.requestMatchers("/captcha/**").permitAll();
                    // 静态资源
                    auth.requestMatchers("/js/**").permitAll();
                    auth.requestMatchers("/home/l0").hasRole("USER");
                    auth.requestMatchers("/home/l1/**").hasRole("Dog");
                    auth.requestMatchers("/home/l2/**").hasRole("Cat");
                    auth.anyRequest().authenticated();
                    // auth.anyRequest().permitAll();
                })
                // 禁用session
                .sessionManagement(session->{
                    session.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
                })
                .userDetailsService(userDetailsService)
                .authenticationProvider(myMultipleAuthenticationProvider)
                .addFilterBefore(myMultipleLoginFilter(), UsernamePasswordAuthenticationFilter.class)

                .csrf(conf -> {conf.disable();})// 关闭跨站请求伪造保护功能
                .build();
    }
}

登录响应

http://localhost:8080/login
{"code":1,"status":222,"msg":"登录成功!"}

打印上下文

{
    "authorities": [
        {
            "authority": "ROLE_ANONYMOUS"
        }
    ],
    "details": {
        "remoteAddress": "0:0:0:0:0:0:0:1",
        "sessionId": null
    },
    "authenticated": true,
    "principal": "anonymousUser",
    "keyHash": -1412005665,
    "credentials": "",
    "name": "anonymousUser"
}

控制台数据登录时的认证，是有的

MyMultipleAuthenticationToken [Principal=$2a$10$5PHUgYh8A31715Vb0pjR3OWPiF8Y/Ns1P5BaSqGtD/YMC/EqyjCYa, Credentials=[PROTECTED], Authenticated=true, Details=org.springframework.security.core.userdetails.User [Username=pop, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_Cat]], Granted Authorities=[ROLE_Cat]]

在网上查找信息，有一篇文章提到是因为Security在认证后会把上下文清空，所以需要再添加一个过滤器手动将认证信息放入上下文中，但是不能在这个过滤器中获取登录信息
权限管理03-security登陆后鉴权_security登录验证与鉴权_高秉文的博客-CSDN博客

/**
 * 解决天坑坑坑坑坑----------------
 * 登录成功，一直401，显示匿名用户鉴权失败，是因为SecurityContextHolder自己把Context清楚了，我们需要重新设置一下
 *
 * @author gaorimao
 * @date 2022/02/10
*/
@Component
public class MyOncePerRequestFilter extends OncePerRequestFilter {


    @Autowired
    SecurityUserDetailsServiceImpl userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException, ServletException, IOException {
        if(!"/login".equals(request.getRequestURI())){

            // 获取登录phone，不能读取，只能先写死测试
            // String phone = request.getParameter("phone");
            // 获取用户输入凭证，如邮箱、手机验证码
            // String code = request.getParameter("code");
            
            String phone = "pop";
            String code = "1";

            System.out.println("手机验证：phone=" + phone + " code=" + code);
            if(phone.isEmpty() || code.isEmpty()){

            }

            // 数据库校验用户名密码
            UserDetails userDetails = userDetailsService.loadUserByUsername(phone);

            /*
                重新设置SecurityContextHolder
             */

            MyMultipleAuthenticationToken myMultipleAuthenticationToken = new MyMultipleAuthenticationToken(userDetails.getUsername(), userDetails.getPassword(), userDetails.getAuthorities());
            myMultipleAuthenticationToken.setDetails(userDetails);

            SecurityContextHolder.getContext().setAuthentication(myMultipleAuthenticationToken);
        }
        filterChain.doFilter(request, response);
    }


}

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
专家-赤兔[在线] 全栈领域优质创作者 2023-09-14 10:07
关注
引用皆我百晓生小程序回复内容作答：

根据你提供的代码，我注意到以下几个问题可能导致登录成功后无法进行权限控制，获取的Security上下文显示为匿名角色：

1.在 MyMultipleLoginFilter 的构造方法中，你没有将 authenticationManager 赋值给类的成员变量 authenticationManager，只是简单地调用了父类的构造方法。因此，你需要在构造方法中将参数 authenticationManager 赋值给 MyMultipleLoginFilter 类的成员变量：

public MyMultipleLoginFilter(AuthenticationManager authenticationManager) { super(new AntPathRequestMatcher("/login", "POST")); this.authenticationManager = authenticationManager; }

2.在 MyMultipleLoginFilter 类中，attemptAuthentication 方法中使用了 getAuthenticationManager() 方法获取 AuthenticationManager 进行认证，但是在该类的构造方法中并没有将 authenticationManager 赋值给属性 this.authenticationManager。所以你需要在构造方法中将传入的 authenticationManager 赋值给该属性：

public MyMultipleLoginFilter(AuthenticationManager authenticationManager) { super(new AntPathRequestMatcher("/login", "POST")); this.authenticationManager = authenticationManager; }

3.在 MyMultipleAuthenticationProvider 的 authenticate 方法中，你使用 MyMultipleAuthenticationToken 的 getPrincipal() 方法获取了用户输入的验证码，但这是不正确的。正确的是，应该使用 MyMultipleAuthenticationToken 的 getCredentials() 方法获取用户输入的验证码：

String code = (String) myAuthToken.getCredentials();

4.在 MyMultipleAuthenticationProvider 的 authenticate 方法中，你通过 BCryptPasswordEncoder 的 matches 方法将用户输入的验证码与数据库中的密码进行比较。然而，应该使用 BCryptPasswordEncoder 的 matches 方法将用户输入的验证码与数据库中的验证码进行比较：

if(!passwordEncoder.matches(code, userDetails.getPassword())) { throw new RuntimeException("验证码不正确"); }

5.在 MyMultipleAuthenticationProvider 的 authenticate 方法中，你应该返回经过认证后的 authenticationToken，而不是设置另一个 authenticationToken 对象并将其放入 SecurityContextHolder 中。因为在 MyMultipleLoginFilter 中已经进行了认证，所以不需要在这里再次进行认证：

return authenticationToken;

6.在 SecurityConfig 中的 configure 方法中，你设置了身份验证过滤器 myMultipleLoginFilter 并指定了成功处理程序，但是没有指定身份验证失败的处理程序。所以你可以通过调用 myMultipleLoginFilter 的 setAuthenticationFailureHandler 方法来指定身份验证失败的处理程序：

myMultipleLoginFilter.setAuthenticationFailureHandler(new SimpleUrlAuthenticationFailureHandler("/login?error"));

通过修改上述问题中提到的地方，应该能够解决登录成功后没有认证信息的问题，并且可以正确进行权限控制。请尝试修改你的代码，并测试是否能够获得正确的认证信息。如果还有其他问题，请提供更多详细的信息以便我更好地帮助你。
解决无用
评论打赏
分享
举报编辑记录

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

Spring Security自定义AccessDeniedHandler配置后不生效 java spring 后端
2022-05-09 09:09

回答 3 已采纳根据楼上提示，在ExceptionTranslationFilter源码中有如下代码 private void handleAccessDeniedException(HttpServletR
springsecurity认证成功后上下文存储信息问题 java spring
2023-02-26 21:27

回答 4 已采纳虽然放到上下文的usernamePasswordAuthenticationToken里面是没有权限信息，而且登录状态也为false，但是在访问其他路径的时候，AbstractSecurityInte
springSecurity 自定义登录/doLogin问题 java spring
2022-02-17 16:40

回答 3 已采纳亲测no problem，clean再跑试试，还是一样就有点意思了，代码打个包丢网盘看看
Springboot + Spring Security 实现前后端分离登录认证及权限控制
2019-09-05 16:53

I_am_Rick_Hu的博客 Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置：WebSecurityConfig三、用户登录认证逻辑：UserDetailsService...
spring security在进行jwt认证失败时没有跳到我的自定义认证失败类中执行 java spring
2020-04-23 15:11

回答 1 已采纳应该是被UsernamePasswordAuthenticationFilter直接拦截了，你看一下前台返回的错误是403应该，直接在前台加错误提示就好了在后台拦截的话应该像下面这样写
spring boot +spring security 无法登录问题 java spring boot 后端
2022-05-01 23:45

回答 1 已采纳啥也没做，自己clean再跑吧
springboot整合springsecurity 自定义登录界面静态资源被重定向 spring 有问必答
2021-12-31 10:19

回答 3 已采纳不是你这样写的呀，你要对每个静态资源分开写，然后逗号隔开，你这样写人家识别不了的正确如下 .antMatchers("/css/**","/js/**","/images/**").permitAl
Spring Security(2) 自定义登录认证
2019-10-14 09:48

郑清的博客本篇文章将讲述Spring Security自定义登录认证校验用户名、密码，自定义密码加密方式，以及在前后端分离的情况下认证失败或成功处理返回json格式数据温馨小提示：Spring Security中有默认的密码加密方式以及登录...
在项目中引入 spring-security 依赖后登录接口变成弹框登录如何解决 java spring boot
2022-07-18 11:26

回答 3 已采纳使用formlogin配置项，而不是httpBasic配置项，httpBasic开启了就是弹窗登录
Nginx配置反向代理，后端Security项目认证失败 java nginx spring boot 有问必答
2021-08-16 22:23

回答 2 已采纳这个要后台配合，设置用户菜单，权限，角色等进行登录合法性验证。
SpringSecurity permitAll方式放行资源无效 java spring boot 后端
2022-05-06 20:14

回答 3 已采纳 configure(HttpSecurity http)中配置放行，那还是会走spring security拦截链的， configure(WebSecurity web)中去配置放行，那才是真的放行
SpringSecurity - 自定义登录
2023-04-18 14:42

御坂10027的博客基于若依框架进行开发，根据业务需求实现相应的登录功能。
SpringSecurity如何搞两个登录界面和退出地址。 java spring spring boot 有问必答
2022-07-12 18:17

回答 5 已采纳退出不需要两个接口，登录你要两页面的话，自己写拒绝策略，或者自己登录页面做一个转发或者重定向，跳转到真正的登录页面！其实我感觉你的问题并不在这里，权限不足不会让你登录(你再登录也还是没权限)，是你不能
Spring Security自定义认证授权过滤器
2024-03-11 20:52

duration～的博客 SpringSecurity 内置的认证过滤器是基于post请求且为form表单的方式获取认证数据的，那如何接收前端Json异步提交的数据据实现认证操作呢？显然，我们可仿照UsernamePasswordAuthentionFilter类自定义一个过滤器并...
springsecurity的学习（三）：自定义的认证
2024-08-11 00:57

christ study java的博客使用springsecurity的基本流程，原理，以及简单的自定义认证的例子
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 9月20日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 9月14日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 9月14日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 9月14日
展开全部

悬赏问题

¥30 模拟电路 logisim
¥15 PVE8.2.7无法成功使用a5000的vGPU，什么原因
¥15 is not in the mmseg::model registry。报错，模型注册表找不到自定义模块。
¥15 安装quartus II18.1时弹出此error，怎么解决？
¥15 keil官网下载psn序列号在哪
¥15 想用adb命令做一个通话软件，播放录音
¥30 Pytorch深度学习服务器跑不通问题解决？
¥15 部分客户订单定位有误的问题
¥15 如何在maya程序中利用python编写领子和褶裥的模型的方法
¥15 Bug traq 数据包大概什么价

SpringSecurity自定义多种登录方式，登录成功之后没有认证信息，是匿名角色

1条回答 默认 最新

问题事件

悬赏问题

1条回答默认最新