Java spring security 自定义登录逻辑实现

于 2024-07-29 14:18:11 发布
阅读量386 收藏 6
点赞数 4
分类专栏: java 文章标签: java spring python security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_yonga/article/details/140769356
版权

介绍

在使用框架自带的Security的登录认证时,默认只能使用用户名去查询,如果有业务需要其他字段也需要进行查询,只能采用根据用户名去找到对应的数据。

自定义鉴权接口CustomUsernamePasswordAuthenticationToken

/**
 * @author wuzhenyong
 * ClassName:CustomUsernamePasswordAuthenticationToken.java
 * date:2024-07-29 13:46
 * Description: 定义自定义鉴权类
 */
public class CustomUsernamePasswordAuthenticationToken extends UsernamePasswordAuthenticationToken {
    private final Integer clientId;

    public CustomUsernamePasswordAuthenticationToken(Object principal, Object credentials, Integer clientId) {
        super(principal, credentials);
        this.clientId = clientId;
    }

    public Integer getClientId() {
        return clientId;
    }
}

自定义UserDetailsService用户查询

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

/**
 * @author wuzhenyong
 * ClassName:CustomerUserDetailsService.java
 * date:2024-07-29 13:52
 * Description:
 */
public interface CustomerUserDetailsService {
    UserDetails loadUserByUsername(String username, Integer clientId) throws UsernameNotFoundException;
}

实现类,复制原有自定义的就可以,多加一个参数

import com.astar.common.core.domain.entity.SysUser;
import com.astar.common.core.domain.model.LoginUser;
import com.astar.common.enums.UserStatus;
import com.astar.common.exception.ServiceException;
import com.astar.common.utils.MessageUtils;
import com.astar.common.utils.StringUtils;
import com.astar.framework.web.service.SysPasswordService;
import com.astar.framework.web.service.SysPermissionService;
import com.astar.framework.web.service.UserDetailsServiceImpl;
import com.astar.system.service.ISysUserService;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

/**
 * @author wuzhenyong
 * ClassName:CustomerUserDetailsServiceImpl.java
 * date:2024-07-29 13:53
 * Description:
 */
@Service("clientUserDetailsService")
public class CustomerUserDetailsServiceImpl implements CustomerUserDetailsService{
    private static final Logger log = LoggerFactory.getLogger(UserDetailsServiceImpl.class);

    @Autowired
    private ISysUserService userService;

    @Autowired
    private SysPasswordService passwordService;

    @Autowired
    private SysPermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String username, Integer clientId) throws UsernameNotFoundException
    {
        SysUser user = userService.selectUserByUserNameAndClientId(username, clientId);
        if (StringUtils.isNull(user))
        {
            log.info("登录用户:{} 不存在.", username);
            throw new ServiceException(MessageUtils.message("user.not.exists"));
        }
        else if (UserStatus.DELETED.getCode().equals(user.getDelFlag()))
        {
            log.info("登录用户:{} 已被删除.", username);
            throw new ServiceException(MessageUtils.message("user.password.delete"));
        }
        else if (UserStatus.DISABLE.getCode().equals(user.getStatus()))
        {
            log.info("登录用户:{} 已被停用.", username);
            throw new ServiceException(MessageUtils.message("user.blocked"));
        }

        passwordService.validate(user);

        return createLoginUser(user);
    }

    public UserDetails createLoginUser(SysUser user)
    {
        return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user));
    }
}

增加ClientLoginAuthProvider

里面加入我们的自定义登录用户client

import io.jsonwebtoken.lang.Assert;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsPasswordService;
import org.springframework.security.crypto.factory.PasswordEncoderFactories;
import org.springframework.security.crypto.password.PasswordEncoder;

public class ClientLoginAuthProvider extends AbstractUserDetailsAuthenticationProvider {
 
 
    private static final String USER_NOT_FOUND_PASSWORD = "userNotFoundPassword";
 
    private PasswordEncoder passwordEncoder;
 
    /**
     * The password used to perform {@link PasswordEncoder#matches(CharSequence, String)}
     * on when the user is not found to avoid SEC-2056. This is necessary, because some
     * {@link PasswordEncoder} implementations will short circuit if the password is not
     * in a valid format.
     */
    private volatile String userNotFoundEncodedPassword;
 
    private CustomerUserDetailsService userDetailsService;
 
    private UserDetailsPasswordService userDetailsPasswordService;
 
    public ClientLoginAuthProvider(CustomerUserDetailsService clientUserDetailsService) {
        this.userDetailsService = clientUserDetailsService;
        setPasswordEncoder(PasswordEncoderFactories.createDelegatingPasswordEncoder());
    }
 
    @Override
    @SuppressWarnings("deprecation")
    protected void additionalAuthenticationChecks(UserDetails userDetails,
                                                  UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            this.logger.debug("Failed to authenticate since no credentials provided");
            throw new BadCredentialsException(this.messages
                    .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
        String presentedPassword = authentication.getCredentials().toString();
        if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
            this.logger.debug("Failed to authenticate since password does not match stored value");
            throw new BadCredentialsException(this.messages
                    .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
    }
 
    @Override
    protected void doAfterPropertiesSet() {
        Assert.notNull(this.userDetailsService, "A UserDetailsService must be set");
    }
 
    @Override
    protected UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        CustomUsernamePasswordAuthenticationToken auth = (CustomUsernamePasswordAuthenticationToken) authentication;
 
        // 多个参数
        UserDetails loadedUser = userDetailsService.loadUserByUsername(username,auth.getClientId());
 
        if (loadedUser == null) {
            throw new InternalAuthenticationServiceException(
                    "UserDetailsService returned null, which is an interface contract violation");
        }
        return loadedUser;
    }
 
    @Override
    protected Authentication createSuccessAuthentication(Object principal, Authentication authentication,
                                                         UserDetails user) {
        boolean upgradeEncoding = this.userDetailsPasswordService != null
                && this.passwordEncoder.upgradeEncoding(user.getPassword());
        if (upgradeEncoding) {
            String presentedPassword = authentication.getCredentials().toString();
            String newPassword = this.passwordEncoder.encode(presentedPassword);
            user = this.userDetailsPasswordService.updatePassword(user, newPassword);
        }
        return super.createSuccessAuthentication(principal, authentication, user);
    }
 
    private void prepareTimingAttackProtection() {
        if (this.userNotFoundEncodedPassword == null) {
            this.userNotFoundEncodedPassword = this.passwordEncoder.encode(USER_NOT_FOUND_PASSWORD);
        }
    }
 
    private void mitigateAgainstTimingAttack(UsernamePasswordAuthenticationToken authentication) {
        if (authentication.getCredentials() != null) {
            String presentedPassword = authentication.getCredentials().toString();
            this.passwordEncoder.matches(presentedPassword, this.userNotFoundEncodedPassword);
        }
    }
 
    /**
     * Sets the PasswordEncoder instance to be used to encode and validate passwords. If
     * not set, the password will be compared using
     * {@link PasswordEncoderFactories#createDelegatingPasswordEncoder()}
     * @param passwordEncoder must be an instance of one of the {@code PasswordEncoder}
     * types.
     */
    public void setPasswordEncoder(PasswordEncoder passwordEncoder) {
        Assert.notNull(passwordEncoder, "passwordEncoder cannot be null");
        this.passwordEncoder = passwordEncoder;
        this.userNotFoundEncodedPassword = null;
    }
 
    protected PasswordEncoder getPasswordEncoder() {
        return this.passwordEncoder;
    }
 
    public void setUserDetailsService(CustomerUserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }
 
    protected CustomerUserDetailsService getUserDetailsService() {
        return this.userDetailsService;
    }
 
    public void setUserDetailsPasswordService(UserDetailsPasswordService userDetailsPasswordService) {
        this.userDetailsPasswordService = userDetailsPasswordService;
    }
 
}

修改security拦截器,增加我们自定义的登录逻辑

/**
 * spring security配置
 * 
 * @author astar
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
    @Autowired
    private CustomerUserDetailsService customerUserDetailsService;


    @Bean
    public ClientLoginAuthProvider clientLoginAuthProvider() {
        ClientLoginAuthProvider provider = new ClientLoginAuthProvider(customerUserDetailsService);
        provider.setPasswordEncoder(bCryptPasswordEncoder());
        return provider;
    }
}

在登录接口使用我们的自定义登录信息

注入CustomUsernamePasswordAuthenticationToken
登录接口内替换成新自定义的登录逻辑

 CustomUsernamePasswordAuthenticationToken authenticationToken = new CustomUsernamePasswordAuthenticationToken(username, password, Integer.parseInt(clientId));
            AuthenticationContextHolder.setContext(authenticationToken);
            authentication = clientLoginAuthProvider.authenticate(authenticationToken);
一个小浪吴啊
关注
专栏目录
Spring Security--自定义登录逻辑
我和井盖都笑了博客
04-04 1048
   自定义登录逻辑       当进行自定义登录逻辑时需要用到之前讲解的UserDetailsService 和 PasswordEncoder。但是 Spring Security 要求:当进行自定义登录逻辑时容器内必须有 PasswordEncoder 实例。所以不能直接 new 对象  &n...
Spring Security 自定义认证逻辑
wdjnb的博客
01-21 617
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义逻辑,主要包括以下内容: 一个自定义的Authentication实现类,与UsernamePasswordAuthen...
Spring Security --- 自定义登录逻辑
最新发布
汤键的博客
06-15 1145
目录UserDetailsService详解返回值方法参数异常PasswordEncoder密码解析器详解接口介绍内置解析器介绍BCryptPasswordEncoder简介代码演示自定义登录逻辑编写配置类自定义逻辑
一文搞懂SpringSecurity---[Day03]自定义登录逻辑+自定义登录页面
风归去.
07-01 410
当 进 行 自 定 义 登 录 逻 辑 时 需 要 用 到 之 前 讲 解 的 和 。但是Spring Securit要求:当进行自定义登录逻辑时容器内必须有 PasswordEncoder 实例。所以不能直接 new 对象。`` 自定义逻辑 在 中实现 就表示为用户详情服务。在这个类中编写用户认证逻辑。`` 查看效果 重启项目后,在浏览器中输入账号:admin,密码:123。后可以正确进入到 login.html 页面。虽然 给我们提供了登录页面,但是对于实际项目中,大多喜欢使用自己的登录页面。
Spring Security 自定义登录逻辑实现
zongzhibin117的博客
09-15 1171
1、准备两个页面,登录页面和登录成功页面。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/login" method="post"> 用户名: <input type="
精通Spring Boot ——第十七篇:Spring Security自定义登录逻辑
weixin_33754065的博客
11-25 325
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity 自定义认证逻辑
qq_34136709的博客
05-08 579
SpringSecurity 自定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
spring mvc 和spring security自定义登录
05-14
本文将深入探讨如何结合Spring MVC和Spring Security实现自定义登录功能。 首先,Spring MVC是Spring框架的一部分,它为构建基于HTTP的Web应用程序提供了模型-视图-控制器架构。通过使用Spring MVC,开发者可以...
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
Spring Security--自定义登录和授权逻辑
weixin_44889894的博客
04-10 545
Spring Security自定义登录和授权逻辑 概念 SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。 SpringBoot对SpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecurity的基本使用。 1,导入相关依赖 <!--spring security--> <dependency&gt
SpringSecurity[3]-自定义登录逻辑,自定义登录页面,以及认证过程的其他配置
listeningdu的博客
12-14 576
当进行自定义登录逻辑时需要用到之前讲解的UserDetailsService和PasswordEncoder。但是Spring Security要求:当进行自定义登录逻辑时容器内必须有PasswordEncoder实例。所以不能直接new对象。1.编写配置类新建类com.msb.config.SecurityConfig 编写下面内容@Bean}}2.自定义逻辑Spring Security实现UserDetailService就表示为用户详情服务。在这个类中编写用户认证逻辑
Java登录逻辑及例子
m0_54829066的博客
12-21 1296
这只是一个简单的例子,实际应用中应该使用数据库或其他存储方式保存用户名和密码,并使用更安全的加密方式保存密码。如果用户输入的用户名和密码合法,则系统验证用户名和密码是否正确。这个程序会提示用户输入用户名和密码,然后使用输入的用户名和密码进行登录,并输出登录的结果。如果用户输入的用户名和密码不合法,则系统向用户显示错误信息,并让用户重新输入。如果用户名和密码不正确,则系统向用户显示错误信息,并让用户重新输入。系统验证用户输入的用户名和密码是否合法。用户在登录界面输入用户名和密码,并点击登录按钮。
springboot系列学习(二十八): springsecurity自定义登录逻辑,也就是我们从数据库中拿用户名和密码 (五)
一天不写代码难受的博客
10-09 837
之前的,在配置里面,我们也可以配置数据源,从数据库里面拿用户名和密码 这个认证配置里面,修改一下这个方法,变为数据源的就可以 但是我们还有另外的方法,也就是现在我们想要自定义登录判断的逻辑,现在是自定义逻辑,之前只要配置之后,springsecurity框架自己给你判断是不是对应的用户,判断的逻辑是框架给你的,现在我们想要自己判断,这个咋处理。以下是步骤 自定义登录逻辑 1 导入依赖 只要导入依赖之后就可以使用,这个是简单的使用,有默认的登录页面,这个依赖是 <dependency>
Java登录逻辑
weixin_42601702的博客
12-21 211
Java登录逻辑一般包括以下几步: 用户在登录界面输入用户名和密码,并点击登录按钮。 系统验证用户输入的用户名和密码是否合法。这一步可能会包括以下内容: 检查用户名和密码是否为空; 检查用户名和密码的格式是否正确; 检查用户是否已被禁用。 如果用户输入的用户名和密码不合法,则系统向用户显示错误信息,并让用户重新输入。 如果用户输入的用户名和密码合法,则系统验证用户名和密码是否正确...
Java登录逻辑_Spring security登录过程逻辑详解
weixin_35795512的博客
03-02 587
1. 新建项目引入web和security包完整的pom.xml文件如下xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">4.0.0org.springframework.bootspring-boot-starter-parent2.2.6....
Spring security 入门 - 03 自定义登录成功后的处理逻辑
nimo10050的博客
02-01 2201
Spring security 系列博客目录 Spring Security 01- 将 Spring security 引入到工程 Spring security 02-自定义用户登录页面和登录处理逻辑 Spring security 03-自定义登录成功后的处理逻辑 Spring security 04-整合 jwt 对应源代码 Spring Security 01- 将 Spring ...
Java写一个登录注册的逻辑
weixin_42613018的博客
02-08 170
好的,我会尽力为你解答。 首先,我们需要准备好有关用户信息的数据库,并在数据库中创建相应的表来存储用户的注册信息。 然后,我们可以创建一个 Java 类来处理登录和注册的逻辑。这个类中可以定义两个方法,一个是用于处理用户登录的方法,另一个是用于处理用户注册的方法。 下面是一个简单的示例代码: ``` import java.sql.*; public class LoginAndRegistrat...
SpringSecurity自定义过滤器实现认证逻辑
"本文主要探讨了在SpringSecurity框架中如何实现自定义过滤器,通过具体的代码示例,帮助读者理解自定义过滤器在解决复杂认证场景中的应用。内容包括创建自定义过滤器类以及将其集成到SpringSecurity的过滤器链中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个小浪吴啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值