那些遇到过的问题

如何使用spring security从失败的登录中获取用户名?

kas*_*ega 22 java spring tomcat spring-security

我们使用的是spring security 3.0.5,Java 1.6和Tomcat 6.0.32.在我们的.xml配置文件中,我们得到了:

<form-login login-page="/index.html" default-target-url="/postSignin.html" always-use-default-target="true"
 authentication-failure-handler-ref="authenticationFailureHandler"/>
Run Code Online (Sandbox Code Playgroud)

我们authenticationFailureHandler定义为:

<beans:bean id="authenticationFailureHandler" class="org.springframework.security.web.authentication.ExceptionMappingAuthenticationFailureHandler">
   <beans:property name="exceptionMappings">
      <beans:props>
    <beans:prop key="org.springframework.security.authentication.BadCredentialsException">/index.html?authenticationFailure=true</beans:prop>
    </beans:props>
   </beans:property>
</beans:bean>
Run Code Online (Sandbox Code Playgroud)

Java的

    @RequestMapping(params={"authenticationFailure=true"}, value ="/index.html")
    public String handleInvalidLogin(HttpServletRequest request) {
       //...  How can I get the username that was used???
       // I've tried:
       Object username = request.getAttribute("SPRING_SECURITY_LAST_USERNAME_KEY");
       Object username = request.getAttribute("SPRING_SECURITY_LAST_USERNAME");  // deprecated
    }
Run Code Online (Sandbox Code Playgroud)

因此,我们将所有人都BadCredentialsExceptions指向index.htmlIndexController.在IndexController我想要获得username用于失败登录尝试的那个.我怎样才能做到这一点?

kas*_*ega 23

好的,所以答案结果是非常简单的,但据我所知,没有经过深入讨论或记录.

这就是我必须做的所有事情(没有任何配置只是创建这个类)...

import org.apache.log4j.Logger;
import org.springframework.context.ApplicationListener;
import org.springframework.security.authentication.event.AuthenticationFailureBadCredentialsEvent;
import org.springframework.stereotype.Component;

@Component
public class MyApplicationListener implements ApplicationListener<AuthenticationFailureBadCredentialsEvent> {
    private static final Logger LOG = Logger.getLogger(MyApplicationListener.class);

    @Override
    public void onApplicationEvent(AuthenticationFailureBadCredentialsEvent event) {
        Object userName = event.getAuthentication().getPrincipal();
        Object credentials = event.getAuthentication().getCredentials();
        LOG.debug("Failed login using USERNAME [" + userName + "]");
        LOG.debug("Failed login using PASSWORD [" + credentials + "]");
    }
}
Run Code Online (Sandbox Code Playgroud)

我离春天的安全专家很远,所以如果有人读到这个并知道我们不应该这样做的理由,或者知道一个更好的方式我会喜欢听到它.

Raf*_*yng 17

我是这样做的:

  1. 创建了一个扩展的类 SimpleUrlAuthenticationFailureHandler

  2. 覆盖onAuthenticationFailure方法,该方法接收HttpServletRequest作为参数.

  3. request.getParameter("username"),"username"我的HTML表单中输入的名称.

Sai*_*ish 5

您可以改为提供自己的DefaultAuthenticationEventPublisher版本并覆盖publishAuthenticationFailure方法.

归档时间:

查看次数:

19806 次

最近记录:

7 年 前
相关归档
如何使用spring管理REST API版本控制? 107
什么是Reified Generics?他们如何解决类型擦除问题以及为什么不能在没有重大变化的情况下添加它们? 68
强制多个线程在可用时使用多个CPU 66
Java替换字符串中的所有方括号 62
Java7 try-with-resources语句优势 50
Locks AutoCloseable? 42
PathMatchingResourcePatternResolver(spring)用法 9
Google App Engine上的Spring Security 3.0? 2
如何使用 3rd 方库依赖项部署 javaagent 2
当在后台使用Netty vs Tomcat时,春季webFlux有所不同 2
难疑归档
如何删除子模块? 3366
在JavaScript中循环遍历数组 2940
如何在PHP中阻止SQL注入? 2776
将具有默认值的列添加到SQL Server中的现有表 2648
用JavaScript比较两个日期 1791
为什么在C++中读取stdin的行比Python要慢得多? 1738
什么是 ":-!!" 用C代码? 1627
如何在SQL中使用JOIN执行UPDATE语句? 1262
从字典中删除元素 1243
将标签重新定义为4个空格 1041