springSecurity入门笔记(二)--认证、加密

最新推荐文章于 2024-04-16 22:45:31 发布
最新推荐文章于 2024-04-16 22:45:31 发布
阅读量296 收藏
点赞数
分类专栏: java 从0.5开始学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aizen_Sousuke/article/details/104968076
版权

认证过程

  1. 用户使用用户名和密码进行登录。
  2. Spring Security将获取到的用户名和密码封装成一个实现了Authentication接口的UsernamePasswordAuthenticationToken。
  3. 将上述产生的token对象传递给AuthenticationManager进行登录认证。
  4. AuthenticationManager认证成功后将会返回一个封装了用户权限等信息的Authentication对象。
  5. 通过调用SecurityContextHolder.getContext().setAuthentication(…)将AuthenticationManager返回的Authentication对象赋予给当前的SecurityContext。

spring security的类

Authentication接口: 表示用户认证信息
SecurityContextHolder: 保存SecurityContext

  1. 用户登录认证之前相关信息,封装到Authentication接口的具体实现类的对象
  2. 登录成功后将更全面的信息,封装到Authentication接口的具体实现类的对象,保存在SecurityContextHolder所持有的SecurityContext中
  3. 通过Authentication.getPrincipal()可以获取到代表当前用户的信息,这个对象通常是UserDetails的实例

AuthenticationManager: 处理认证请求的接口,只有一个方法,认证成功则返回一个封装了当前用户权限等
Authentication authenticate(Authentication authentication) throws AuthenticationException;

  1. AuthenticationManager的默认实现是ProviderManager,而且它不直接自己处理认证请求,而是委托给其所配置的AuthenticationProvider列表进行认证
  2. 有一个AuthenticationProvider认证后的结果不为null,则表示该AuthenticationProvider已经认证成功,之后的AuthenticationProvider将不再继续认证。然后直接以该AuthenticationProvider的认证结果作为ProviderManager的认证结果
  3. 校验认证请求最常用的方法是根据请求的用户名加载对应的UserDetails,然后比对UserDetails的密码与认证请求的密码是否一致,一致则表示认证通过

AuthenticationProvider:

	<!-- 自定义AuthenticationProvider -->
	<!-- 自定义UserDetailsService -->
   <security:authentication-manager>
      <security:authentication-provider ref="myAuthenticationProvider" user-service-ref="myUserDetailsService"/>
   </security:authentication-manager>

UserDetailsService: UserDetails定义了一些可以获取用户名、密码、权限等与认证相关的信息的方法

  1. 通过Authentication.getPrincipal()的返回类型是Object,但很多情况下其返回的其实是一个UserDetails的实例
   <!-- 用于认证的AuthenticationManager -->
   <security:authentication-manager alias="authenticationManager">

      <security:authentication-provider

         user-service-ref="userDetailsService" />

   </security:authentication-manager>
   <bean id="userDetailsService"
	<!--也可以自己重写方法,不使用JdbcDaoImpl-->
      class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">

      <property name="dataSource" ref="dataSource" />

   </bean>

GrantedAuthority: Authentication的getAuthorities()可以返回当前Authentication对象拥有的权限,即当前用户拥有的权限。其返回值是一个GrantedAuthority类型的数组

从数据库获取用户信息

jdbc-user-service: 定义一个从数据库获取UserDetails的UserDetailsService

	<!--
		users-by-username-query:指定查询用户信息的SQL:默认sql:select username, password, enabled from users where username = ?
		authorities-by-username-query:指定查询用户权限的SQL:默认sql:select username, authority from authorities where username = ?
		group-authorities-by-username-query:指定查询用户组权限的SQL:默认sql:select g.id, g.group_name, ga.authority from groups g, group_members gm, group_authorities ga where gm.username = ? and g.id = ga.group_id and g.id = gm.group_id
	-->
   <security:authentication-manager>
      <security:authentication-provider>
         <security:jdbc-user-service
            data-source-ref="dataSource"
            users-by-username-query="select username, password, enabled from t_user where username = ?" />
      </security:authentication-provider>
   </security:authentication-manager>

** 直接使用JdbcDaoImpl**

<security:authentication-manager>
    <security:authentication-provider user-service-ref="userDetailsService"/>
</security:authentication-manager>
<bean id="userDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
      <property name="dataSource" ref="dataSource"/>
   </bean>

PasswordEncoder

Spring Security支持的加密算法

   <security:authentication-manager>
      <security:authentication-provider user-service-ref="userDetailsService">
         <security:password-encoder hash="md5"/>
      </security:authentication-provider>
   </security:authentication-manager>

属性hash表示我们将用来进行加密的哈希算法

加密算法PasswordEncoder实现类
plaintextPlaintextPasswordEncoder
shaShaPasswordEncoder
sha-256ShaPasswordEncoder,使用时new ShaPasswordEncoder(256)
md4Md4PasswordEncoder
md5Md5PasswordEncoder
{sha}LdapShaPasswordEncoder
{ssha}LdapShaPasswordEncoder
加密时使用salt

指定当前PasswordEncoder需要使用的salt。这个salt可以是一个常量,也可以是当前UserDetails的某一个属性,还可以通过实现SaltSource接口实现自己的获取salt的逻辑,SaltSource中只定义了如下一个方法。
public Object getSalt(UserDetails user);

使用常量“abc”作为salt

   <security:authentication-manager>

      <security:authentication-provider user-service-ref="userDetailsService">

         <security:password-encoder hash="md5" base64="true">

            <security:salt-source system-wide="abc"/>

         </security:password-encoder>

      </security:authentication-provider>

   </security:authentication-manager>

使用UserDetails的username作为salt

   <security:authentication-manager>

      <security:authentication-provider user-service-ref="userDetailsService">

         <security:password-encoder hash="md5" base64="true">

            <security:salt-source user-property="username"/>

         </security:password-encoder>

      </security:authentication-provider>

   </security:authentication-manager>

使用自己实现的SaltSource获取salt

   <security:authentication-manager>

      <security:authentication-provider user-service-ref="userDetailsService">

         <security:password-encoder hash="md5" base64="true">

            <security:salt-source ref="mySaltSource"/>

         </security:password-encoder>

      </security:authentication-provider>

   </security:authentication-manager>
Aizen_Sousuke
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity-数据库认证-简单授权
06-03
在SpringBoot项目中,你可以通过`spring-security-config`依赖来引入SpringSecurity。在`application.properties`或`yaml`文件中,设置数据库连接和用户信息查询的相关属性。在主配置类中,启用SpringSecurity,并...
spring-security-jwt-demo.zip
11-19
《Spring Security与JWT整合实战详解》 在现代Web应用程序中,安全性和..."spring-security-jwt-demo"项目提供了一个具体的实现示例,可以帮助开发者更好地理解和应用这些概念,为构建安全的Web应用程序提供有力支持。
springSecurity入门笔记(一)
Aizen_Sousuke的博客
03-18 172
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为...
Spring Security入门学习笔记
CakeandSnowCake的博客
11-21 269
Spring Security入门学习笔记 一 什么是权限管理 1 权限管理概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。 在权限管理的概念中有两个关键字: 1.认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份。 2.授权:系统根据当前用户的角色,给其授予对...
若依框架(SpringSecurity)登录接口改造_authentication usernamepasswordauthenticationtoken
最新发布
2401_83946044的博客
04-16 685
用过若依框架的不难发现,若依框架在下载时就已经集成了SpringSecurity进行登录效验并连接了自带的sys_user表完成SpringSecurity的自定义登录效验。就要先加密,后调用接口效验,最后将密码加到若依的数据库(具体不知道是什么原因,它还会效验一次数据库的密码)登录后,该后端接口程序会返回效验的结果,并返回需要的数据(这个根据你的具体需求定义)现在需要连接另一个数据库,并用这一张数据库里的用户表(账号/密码),进行登录的效验。
Spring Security学习笔记入门(一)
liu911025的博客
07-26 738
什么是 Spring Security? Spring Security,这是一种基于Spring AOP和Servlet过滤器 [7] 的安全框架。它提供全面 的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上,Spring Security 充分利用了依赖注入(DI,Dependency Injection)和 面向切面技
Spring security 知识笔记入门
weixin_30369087的博客
07-06 63
一、生成spring boot项目文件 二、pom文件如下 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ...
Spring Security笔记
zzxzzxhao的博客
12-07 401
SecurityContextPersistenceFilter位于过滤器顶端,是第一个起作用的过滤器 其作用:     1.执行其他过滤器之前率先判断用户的session是否存在Spring Security上下文的SecurityContext        如果存在,则取出来放入SecurityContextHolder,供Spring Security其他部分使用;        如果...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-...
基于java config的springSecurity的基本集成配置(二)--自定义认证
01-11
基于java config的springSecurity的基本集成配置(二)--自定义认证,详细介绍:http://blog.csdn.net/xiejx618/article/details/42609497
SpringSecurity入门(三)
仰望星空
01-20 631
前言:这是本人在学习  Spring Security技术栈开发企业级认证与授权 第五章 使用SpringSocial开发第三方登陆 课程时做的笔记,供复习之用,不会很全. 目录 第一章 OAuth协议简介 1.1 OAuth协议要解决的问题是什么 1.2 OAuth协议中的各种角色 1.3 OAuth协议运行的流程 1.3.1 授权码模式 第二章 Spring Social的基本原...
SpringBoot + Spring Security 学习笔记(一)自定义基本使用及个性化登录配置
weixin_30642305的博客
06-04 128
https://www.cnblogs.com/mujingyu/p/10701026.html 转载于:https://www.cnblogs.com/tanhao/p/10971410.html
SpringSecurity加密认证
Leon_Jinhai_Sun的博客
11-14 258
加密认证 在IOC容器中提供加密对象 <!--加密对象--> <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/> <!--设置Spring Security认证用户信息的来源--> <security:authentication-manager> <security:aut
SpringSecurity(一)
热门推荐
学习记录和总结
04-06 1万+
SpringSecurity结构介绍和认证流程
Spring Security(04)——认证简介
Elim的博客
11-16 93
认证简介 目录 1.1     认证过程 1.2     Web应用的认证过程 1.2.1    ExceptionTranslationFilter 1.2.2    在request之间共享SecurityContext   1.1     认证过程        1、用户使用用户名和密码进行登录。        2、Spring Security将获取到的用户名和密...
Spring Security
yumeng8525的专栏
04-11 510
xml version="1.0" encoding="UTF-8"?>  xmlns="http://www.springframework.org/schema/security"          xmlns:beans="http://www.springframework.org/schema/beans"          xmlns:c

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值