пружинная безопасность 2-фазная аутентификация

Question

Я новичок в весенней безопасности, и я не уверен, с чего начать. У меня есть требования для многостраничной аутентификации. Первая страница аутентифицирует имя пользователя, если имя пользователя существует, веб-приложение переходит на страницу пароля. (изображение сайта) Вторая страница аутентифицирует пароль, в случае успеха пользователь аутентифицируется. Я не уверен, как поместить это в весенний аут. Добавляю ли я несколько фильтров для входа и проверки подлинности? Если я добавлю несколько аутентификаторов, будет ли я аутентифицирован после первого входа?

Answer 1

Страница 1: Пользователь вводит имя пользователя. Отправьте это на свой собственный контроллер, где вы проверяете, существует ли пользователь. Если пользователь существует, отобразите страницу 2, передайте имя пользователя в модели. На этом шаге лучше не включать аутентификацию Spring Security.

Страница 2: Пользователь вводит пароль. Используйте только чтение или скрытое поле, чтобы отслеживать имя пользователя. Отправьте форму в фильтр регистрации формы Spring Security. Вам не нужны несколько поставщиков проверки подлинности.

Примечание: этот подход имеет информацию «утечка»; любой посетитель может проверить, существует ли в системе имя пользователя.

Answer 2

Это зависит от типа вашей аутентификации:

• JDBCAuthentication

  Вы можете сделать с @ holmis83 предлагает.

• LDAPAuthentication:

  Я боюсь THT вы не можете сделать это.