DaoAuthenticationProvider和UserDetailsService

于 2024-09-18 17:55:12 发布
阅读量712 收藏 20
点赞数 9
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85480529/article/details/142339814
版权

DaoAuthenticationProvider 是 Spring Security 中最常用的认证提供器之一,专门用于处理基于数据库或其他持久化存储的用户认证。它结合了 UserDetailsServicePasswordEncoder,通过从数据库中加载用户的详细信息来进行身份认证。

核心功能

  • 用户认证:通过 UserDetailsService 加载用户信息。
  • 密码验证:通过 PasswordEncoder 对比用户输入的密码和存储的加密密码。
  • 用户锁定/禁用:可以处理用户的账户是否锁定、禁用或过期等状态。
  • 权限管理:通过 UserDetails 提供用户的权限信息,供后续授权决策使用。

关键组成部分

  1. UserDetailsService:负责从存储中加载用户信息,它的 loadUserByUsername 方法用于查找用户并返回一个 UserDetails 对象(包含用户名、密码、权限等信息)。

  2. PasswordEncoder:用于加密和验证用户密码。DaoAuthenticationProvider 通过 PasswordEncoder 来确保用户输入的密码与存储的加密密码一致,常用的加密器有 BCryptPasswordEncoder

  3. UserDetails:封装用户的详细信息,如用户名、密码和权限等。DaoAuthenticationProvider 会根据 UserDetails 验证密码,并检查用户是否锁定、禁用或账户是否过期。

认证流程

  1. 用户提交用户名和密码进行登录。
  2. DaoAuthenticationProvider 调用 UserDetailsService,根据用户名加载用户信息。
  3. 加载后的用户信息(UserDetails)包含存储在数据库中的加密密码。
  4. 使用 PasswordEncoder 对用户提交的密码进行加密,并与存储的加密密码进行比较。
  5. 如果密码匹配且用户未被锁定或禁用,认证成功,返回一个 AuthenticatedAuthentication 对象。
  6. 如果密码不匹配或用户被锁定/禁用,认证失败。

自定义 UserDetailsService
UserDetailsService 的核心作用是加载用户的信息,通常你需要自定义这个接口来从数据库中加载用户。

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库或其他存储中加载用户信息
        // 假设从数据库加载用户,使用 username 查询
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }

        // 将 User 转换为 Spring Security 的 UserDetails 对象
        return new org.springframework.security.core.userdetails.User(
            user.getUsername(),
            user.getPassword(),
            user.getAuthorities()  // 用户的角色和权限
        );
    }
}

在上面的例子中,CustomUserDetailsService 实现了 UserDetailsService 接口的 loadUserByUsername 方法,用于根据用户名从存储中查找用户信息,并返回一个 UserDetails 对象,Spring Security 会使用这个对象来验证用户身份。

DaoAuthenticationProvider 的常见配置

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private final CustomUserDetailsService userDetailsService;

    public SecurityConfig(CustomUserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 配置 DaoAuthenticationProvider 使用自定义的 UserDetailsService
        auth.authenticationProvider(daoAuthenticationProvider());
    }

    @Bean
    public DaoAuthenticationProvider daoAuthenticationProvider() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setUserDetailsService(userDetailsService);  // 设置 UserDetailsService
        provider.setPasswordEncoder(passwordEncoder());      // 设置 PasswordEncoder
        return provider;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();  // 使用 BCrypt 作为密码加密器
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }
}

重要方法

  • setUserDetailsService(UserDetailsService userDetailsService):指定用于加载用户的 UserDetailsService 实现。

  • setPasswordEncoder(PasswordEncoder passwordEncoder):设置密码加密器,验证用户输入的密码时会使用该加密器进行匹配。

  • authenticate(Authentication authentication):进行认证的核心方法,使用 UserDetailsService 加载用户信息,比较密码并返回认证结果。

认证逻辑分析

  1. authenticate 方法

    • DaoAuthenticationProvider 接收到用户提交的 Authentication 对象(包含用户名和密码)。
    • 调用 UserDetailsServiceloadUserByUsername 方法,查找用户信息。
    • 从用户信息中获取加密后的密码,并使用 PasswordEncoder 验证用户提交的明文密码。
    • 如果密码匹配,则认证成功;否则,抛出认证失败异常。

  2. 用户状态检查

    • 检查用户的账户是否过期、是否被锁定或禁用。如果存在问题,认证也会失败。

总结

  • DaoAuthenticationProvider 是 Spring Security 中用于处理基于用户名和密码的认证的核心类,主要通过 UserDetailsServicePasswordEncoder 实现用户信息加载和密码验证。
  • 它广泛用于数据库、LDAP、内存等多种存储方式的认证场景,可以结合各种 UserDetailsServicePasswordEncoder 实现灵活的认证流程。
2401_85480529
关注
自定义JAVA上下文,如何将自定义的DaoAuthenticationProvider加载到Spring上下文中?
weixin_32016817的博客
03-13 664
我有一个SecurityConfig类的java-config实现,它扩展了WebSecurityConfigurerAdapter。在这个类我想覆盖的方法“配置()”@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, proxyTarge...
Spring Security中的DaoAuthenticationProvider
szm1160809039的博客
10-12 4650
看一看这个DaoAuthenticationProvider是从哪里配置来的,这个得从WebSecurityConfigurerAdapter说起。 在WebSecurityConfigurerAdapter中,以下代码之前都看过,AuthenticationManager 的由来也都说明过,其中有一个parent被所有的子AuthenticationManager共享,而这个DaoAuthenticationProvider就是包括在parent中,AnonymousAuthenticationProv
Spring-security-oauth2之DaoAuthenticationProvider
weixin_33881140的博客
03-13 1325
2019独角兽企业重金招聘Python工程师标准>>> ...
DaoAuthenticationProvider详解
小汤圆
08-11 2633
DaoAuthenticationProvider
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
SpringSecurity自定义AuthenticationProviderAuthenticationFilter
m0_66876551的博客
04-22 1798
AuthenticationProvider 默认实现:DaoAuthenticationProvider 授权方式提供者,判断授权有效性,用户有效性,在判断用户是否有效性,它依赖于UserDetailsService实例,开发人员可以自定义UserDetailsService的实现。 additionalAuthenticationChecks方法校验密码有效性 retrieveUser方法根据用户名获取用户 createSuccessAuthentication完成授权持久化 @Component
auth.userDetailsService(userDetailsService).passwordEncoder()
04-05
In this code snippet, the userDetailsService is injected using the @Autowired annotation, and a new instance of DaoAuthenticationProvider is created with the userDetailsService and a new ...
authenticationManager.authenticate(usernameAuthentication);和daoAuthenticationProvider
08-29
具体来说,daoAuthenticationProvider会通过调用UserDetailsService接口的实现类,从数据库中获取用户的详细信息,并与用户输入的用户名和密码进行比对。 所以,可以说authenticationManager.authenticate...
Spring Security身份认证之UserDetailsService
热门推荐
小尘
04-30 5万+
zhiqian我们采用了配置文件的方式从数据库中读取用户进行登录。虽然该方式的灵活性相较于静态账号密码的方式灵活了许多,但是将数据库的结构暴露在明显的位置上,绝对不是一个明智的做法。本文通过Java代码实现UserDetailsService接口来实现身份认证。     1.1 UserDetailsService在身份认证中的作用     Spring S
Spring Security# Multiple DaoAuthenticationProvider
来啊 快活啊
09-08 3830
正文有三种情况我们需要配置多个AuthenticationProvider,甚至是自定义AuthenticationProvider: 1. 用户认证信息存储在多个地方 2. 在同一个地方但是需要多种授权方式,比如说手机号+密码可以登录,邮箱+密码也可以登录 3. 以上两种情况都有 配置AuthenticationProvider,可以通过AuthenticationManagerBuild
SpringSecurity重写DaoAuthenticationProvider问题
tang_mu_yi的博客
09-03 2294
SpringSecurity重写DaoAuthenticationProvider问题
Security 自定义DaoAuthenticationProvider 实现手动验证
爱情的错的博客
12-19 5880
首先在WebSecurityConfiguration 加上 protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(new LoginAuthenticationProvider(loginService)); ...
Spring Security学习(五)——账号密码的存取(UserDetailService、PasswordEncoder、DaoAuthenticationProvider
sadoshi的专栏
02-15 605
本文是常见Java Web应用中使用Spring Security的核心。一个Web应用管理系统在用户登陆上最核心的问题就是解决两个问题:1、用户提交的账号密码如何与数据库中保存的账号密码匹配上;2、如何保持会话。本文就是解决第一个问题的。
spring security 重写密码比对类DaoAuthenticationProvider
半夏_2021的博客
05-09 3177
spring security 重写密码比对类DaoAuthenticationProvider
SpringSecurity重写DaoAuthenticationProvider,自定义密码对比类
化名三爷
03-27 2872
b、这里说明一下,我是为了图方便,系统原有密码登录情况下,要加入验证码登录,由于验证码时4-5位纯数字,而密码是6位以上的数字+字母,因此不想Filter这些全部来搞,因此想了这个办法简洁一点,也很快能够完成功能。需求,默认的SpringSecurity密码校验,无法满足需求,需要自定义来进行密码比对。SecurityConfig.java代码如下:一定要注意看说明,不然肯定最后还会有问题。a、网上找了一些教程,没法一步到位,很多代码,连import都没有贴出来,烦死了。2.可能存在问题问题。
spring security @EnableWebSecurity自动配置DaoAuthenticationProvider流程
路过君的博客
01-15 584
满足下列情况时,spring-security会自动配置DaoAuthenticationProvider
Spring Security6.x认证模块核心——AuthenticationProvider解析
最新发布
coder184的博客
03-03 2494
略一、模块核心结构展示如果你了解Java web相关开发技术,经过这系列博文介绍,你会对Spring Security的认证模块有一个更全面的了解,对你在公司中实际运用Spring Security会有一个直接的帮助;后续会继续补充介绍该模块的内容(包括直观的代码教程等),以及最重要的,接下来会加入授权和oauth2.0这两个重要模块的内容,完善Spring Security整个体系的介绍。
自定义SpringSecurity----AuthenticationProvider(抽象认证技术可以根据业务需要进行拓展)
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
04-16 484
package com.zcw.demospringsecurity.demo6; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.BadCredentialsException; import org.springf...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值