使用Spring Security开发基于表单的认证(一)

最新推荐文章于 2022-11-25 00:30:10 发布
最新推荐文章于 2022-11-25 00:30:10 发布
阅读量498 收藏
点赞数 1
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDN_GIA/article/details/80145570
版权

使用Spring Security开发基于表单的认证(一)

SpringSecurity核心功能:

  1. 认证(你是谁)
  2. 授权(你能干什么)
  3. 攻击防护(防止伪造身份)

使用springsecurity的默认安全机制:
访问接口时,会弹框:

身份验证.png

用户名默认为user
密码为在日志中显示的密码:
Using default security password: e66aeb3d-e09f-4b36-8f29-5e9fee28819e

不作任何配置的情况下,springsecurity默认把所有的访问都保护起来了,访问任何一个rest服务,都要先进行身份验证。

使用自己的验证方式:表单认证

package com.hcx.security.browser;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //使用表单登录:指定了身份认证的方式
        http.formLogin()
            .and()
            .authorizeRequests()//表示以下都是授权的配置
            .anyRequest()//任何请求
            .authenticated();//都需要身份认证

    }

}

使用表单认证登录.png

跳转回访问的接口.png

一、SpringSecurity基本原理

springsecurity基本原理.png

请求和响应都要经过过滤器链

绿色(最核心):
用来认证用户的身份,一个方块代表一个过滤器,每一个过滤器负责处理一种认证方式;主要工作是检查当前的请求里面是不是有这个过滤器所需要的信息;对于UsernamePasswordAuthenticationFilter这个过滤器来说,首先检查当前的请求是不是一个登录请求,该请求中是否携带用户名和密码,如果带了,则该过滤器则尝试用用户名和密码作用户的登录,如果不带,则放行,到下一个过滤器。HTTPBasic过滤器会检查请求的请求头中是否有basic开头的Authentication信息,如果有,则会尝试拿出来作base64解码,然后取出用户名和密码尝试登录。按照此种方式一直往下走;任何一个过滤器成功完成了用户登录之后会在请求上做一个标记:当前用户已经认证成功了。

橙色(FilterSecurityInterceptor):
请求经过了绿色的过滤器之后,到达了该过滤器,该过滤器是整个过滤器链的最后一环,该过滤器决定了当前的请求能不能访问后面真正的服务。判断依据:

.anyRequest()//任何请求
.authenticated();//都需要身份认证

那么他就会判断当前的请求是否经过了前面某一个过滤器的身份认证,判断的结果就是过还是不过,如果过了,就到达服务;如果不过,会根据不同的原因抛出不同的异常。例如配置的是所哟请求都要经过身份认证,如果没有经过身份认证,则会抛一个没有身份认证的异常;如果配的是VIP用户才能访问,虽然经过了身份认证了,但是不是VIP用户,则会抛一个没权限的异常。会根据不能访问的原因来抛出不同的异常。
在异常抛出来以后,在该过滤器的前边还有一个过滤器Exception Translation Filter

蓝色(Exception Translation Filter):
该过滤器的作用是用来捕获后面的过滤器所抛出来的异常;会根据抛出来的异常作相应的处理,比如因为没有登录不能访问,则会根据绿色的过滤器的配置引导用户去登录,比如前面配的是UsernamePasswordAuthenticationFilter,则会把用户引导到一个登录页面中去;前面配的是Basic Authentication Filter,那么就会在浏览器弹出一个窗口,要用户输入用户名和密码。

注意:绿色的过滤器时可以通过配置来决定某一个过滤器是否生效的,其他的都是不能控制的,一定会在过滤器链并且在指定的位置上。

验证码登录、微信登录、QQ登录等都是在过滤器链上加绿色的过滤器来支持不同的身份认证方式。
实际中不止以上三种,还有很多过滤器。

二、自定义用户认证逻辑

1.处理用户信息获取逻辑

从数据库中读取出来

MyUserDetailsService:

package com.hcx.security.browser;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

@Component
public class MyUserDetailsService implements UserDetailsService{

    private Logger logger = LoggerFactory.getLogger(getClass());

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        logger.info("登录用户名:"+username);
        //根据用户名查找用户信息
        //此处没有读取数据库,直接用静态数据 密码:123456 静态权限:admin 这些在实际开发中需要从数据库中获取
        return new User(username,"123456",AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }

}

BrowserSecurityConfig:

package com.hcx.security.browser;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //使用表单登录:指定了身份认证的方式
        http.formLogin()
        //http.httpBasic() //使用回之前的认证方式
            .and()
            .authorizeRequests()//表示以下都是授权的配置
            .anyRequest()//任何请求
            .authenticated();//都需要身份认证

    }

}

密码错误登录失败.jpg

2.处理用户校验逻辑

①密码是否匹配
由SpringSecurity来做,我们只需要告诉SpringSecurity密码是什么就可以了

②其他的校验:例如用户是否被冻结,密码过期等

UserDetails接口中,封装了SpringSecurity登录时所需要的所有信息:

  • Collection

3.处理密码加密和解密

实际应用中,不会把密码的明文存到数据库中。

SpringSecurity主要通过PasswordEncoder接口来实现。

  • String encode(CharSequence rawPassword);将密码加密(手动调用,比如用户注册时往数据库中出入数据之前,调用该方法把用户在页面上注册时写的密码进行加密再存进数据库)

  • boolean matches(CharSequence rawPassword,String encodePassword):判断加密以后的代码跟用户传进来的代码是否匹配(由SpringSecurity自己调用,在登录的过程中拿到返回的UserDetails后,调用该方法把我们传的password和用户输入的对比,如果匹配,返回true,否则返回false,返回false时SpringSecurity就会抛出异常,在页面上显示错误信息)

操作:
第一步:配置PasswordEncoder:

package com.hcx.security.browser;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{

    @Bean //加密
    public PasswordEncoder passwordEncoder() {
        //如果系统本身有了其他的加密方式,此处就应该返回自己写的passwordencoder,再实现encoder和matches方法
        return new BCryptPasswordEncoder();
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //使用表单登录:指定了身份认证的方式
        http.formLogin()
        //http.httpBasic() //使用回之前的认证方式
            .and()
            .authorizeRequests()//表示以下都是授权的配置 
            .anyRequest()//任何请求
            .authenticated();//都需要身份认证

    }

}

注意:passwordEncoder每次加密出出来的结果都是不一样的。

第二步:编写代码:MyUserDetailsService:

package com.hcx.security.browser;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

@Component
public class MyUserDetailsService implements UserDetailsService{

    private Logger logger = LoggerFactory.getLogger(getClass());


    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        logger.info("登录用户名:"+username);
        //根据用户名查找用户信息

        //根据查找到的用户信息判断用户是否被冻结

        //为了把用户是否冻结的信息告诉SpringSecurity,new User的构造方法使用包含四个布尔返回值的参数的方法

        //此处没有读取数据库,直接用静态数据 密码:123456 静态权限:admin 这些在实际开发中需要从数据库中获取
        //passwordEncoder.encode("123456"),在实际应用中,此步骤应该在注册的时候就做好了,此处就直接在数据库拿出加密好的数据
        String password = passwordEncoder.encode("123456");
        logger.info("数据库密码是:"+password);

        return new User(username,password,
                true,true,true,false,
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }

    /**
     * 此处,当前的方法loadUserByUsername返回的是UserDetails接口的实例,使用了Spring默认的User类
     * 实际的应用中,并不一定更要使用该类,只要是UserDetails这个接口的实现就可以
     * 可以使用对应的DAO接口实现UserDetails接口
     */

}
我可能是个假开发
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java开发spring security实现基于MongoDB的认证功能
08-28
主要介绍了Java开发spring security实现基于MongoDB的认证功能,结合实例形式分析了spring security在非JDBC环境下的自定义认证服务实现技巧,需要的朋友可以参考下
Spring Security系列教程22--Spring Security中的密码加密
一一哥
10-24 3784
前言 截止到现在,一一哥 已经带各位学习了很多关于Spring Security的知识点,但是Spring Security作为一个安全框架,其中必然就应该带有安全加密方面的内容,所以本篇文章,一一哥 就带各位来学习Spring Security中的密码加密机制。 Lets go! 一. 密码加密简介 1. 散列加密概述 我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。
springsecurity表单认证流程
weixin_44837750的博客
09-23 221
文章目录前言查看顺序:1,AbstractAuthenticationProcessingFilter抽象类的doFilter方法查看顺序:9,AbstractAuthenticationProcessingFilter抽象类的successfulAuthentication(request, response, chain, authResult);方法查看顺序:2,UsernamePasswordAuthenticationFilter类中的attemptAuthentication(request,.
spring security 开发 基于表单认证
whaleluo的博客
04-06 422
终于进入 spring security 的章节了 基本原理 实现用户名+密码认证 实现手机号+短信认证
Spring Security密码加密
大后生大大大的博客
11-25 2863
PasswordEncoder、DelegatingPasswordEncoder、PasswordEncoderFactories
02 SpringSecurity-表单认证
01-13 490
一、创建配置类 1.创建configuration包,新建一个WebSecurityConfig类,使其继承WebSecurityConfigurerAdapter 2.添加@EnableWebSecurity注解,让Spring发现并注入 3.可以看到WebSecurityConfigurerAdapter已经默认声明了一些安全特性 protected void configure(HttpSecurity http) throws Exception { this.logger.de
SpringSecurity 自定义表单登录的实现
08-25
主要介绍了SpringSecurity 自定义表单登录的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security 表单登录功能的实现方法
08-25
主要介绍了Spring Security 表单登录,本文将构建在之前简单的 Spring MVC示例 之上,因为这是设置Web应用程序和登录机制的必不可少的。需要的朋友可以参考下
Spring Security在标准登录表单中添加一个额外的字段
08-26
主要介绍了Spring Security在标准登录表单中添加一个额外的字段,我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。 需要的朋友可以参考下
security:Spring Security 开发安全的REST服务 —— JoJozhai
05-13
本来是 fork 了 老师的源码的() 跟着学了两章后,发现还是少了点感觉,干脆自己重新码一遍吧 :beaming_face_with_smiling_eyes: 小目标 ...第4章 使用Spring Security开发基于表单的登录 4-1 简介 4-2
Spring security 自定义密码加密方式的使用范例。
09-15
Spring security的完整使用范例,支持自定义密码的加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
SpringSecurity案例之表单认证
凉茶铺的博客
07-16 1153
最重要的是继承这个抽象类,然后实现里面的方法/***Security配置类*//***http请求处理方法**/@Override/*http.httpBasic()//开启httpBasic认证//所有请求都需要认证后才能访问*/http.formLogin()//开启表单认证//所有请求都需要登录认证才能访问;}}问题一localhost将您重定向次数过多/***Security配置类*//***http请求处理方法**/......
spring-security提供的密码加密方法。
诗礼银杏的博客
01-17 1万+
1.引用jar包   <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> ...
SpringBoot基于SpringSecurity表单登录和权限验证
热门推荐
润青
01-11 6万+
一、简介 上篇介绍了一个自己做的管理系统,最近空闲的时间自己在继续做,把之前登录时候自定义的拦截器过滤器换成了基于SpringSecurity来做,其中遇到了很多坑,总结下,大家有遇到类似问题的话就当是为大家闭坑吧。 二、项目实现功能和成果展示 首先来看下登录界面:这是我输入的一个正确的信息,点击登录后SpringSecurity会根据你输入的用户名和密码去验证是否正确,如果正确的话就去你定...
Spring Security表单登录认证
lingbomanbu_lyl的博客
11-27 1182
Spring Security是一个强有力并且高度定制化的认证和访问控制框架,致力于为Java应用程序提供认证和授权。 特性: 1、为认证和授权提供综合性和扩展性支持。 2、免受session定位、点击劫持、跨站点请求伪装等攻击。 3、Servelt API集成。 4、与Spring MVC集成   一、Spring Security架构 1、认证 AuthenticationMa...
Spring Security 安全认证简单入门
03-27 1732
废话不说了,直接上代码   看注释应该丢会吧  到时候改下用户名  和密码即可第一步:导包  pom.xml<!--安全认证  -->                    <dependency>                    <groupId>org.springframework.security</groupId>          ...
什么是中庸之道
hcx_2008的专栏
07-29 2146
所谓中庸之道就是孔子提倡、子思阐发的提高人的基本道德素质达到太平和合的一整套理论与方法。 这一提高人的基本道德素质达到太平和合的理论和方法包括其主题思想、理论基础、具体内容、主要原则、检验标准、知行方法、重要途径等方面的内容。这些内容集中反映在《中庸》的三十三章之中。简述如下。 1.主题思想 中庸之道的主题思想是教育人们自觉地进行自我修养、自我监督、自我教育、自我完善,把自己培养成为具有理想人格,
[Spring Security] Spring Security基于表单的登录认证
ShotMoon的博客
05-13 1432
1.基本原理SpringSecurity 最核心的部分是由一系列的过滤器组成的过滤器链,每个过滤器都负责处理一种认证方式,请求经过任何一个过滤器过滤后,都会在请求上做一个标记,来记录认证是否成功,最后由FilterSecurityInterceptor根据我们配置的权限来决定是否能通过认证,从而访问我们的服务。今天我们主要使用的是用来处理表单登录的UsernamePasswordAuthentic...
SpringSecurity基于表单认证(上)
weixin_43090405的博客
10-10 3877
SpringSecurity基于表单认证(上) 核心功能 认证 授权 攻击防护 ##SpringSecurity基本原理 使用众多的拦截器对url拦截,以此来管理权限。 小案例 添加依赖以后,权限就会起作用,对所有url进行拦截,需要进行用户身份认证,填写用户名和密码,用户名默认user,密码会出现在控制台 Using default security password: f2e5...
Spring Security基于用户名和密码的认证模式流程?
最新发布
07-17
7. 认证管理器将认证通过的Authentication对象返回给Spring Security,表示认证成功。 8. Spring Security会将该认证信息存储到安全上下文(SecurityContextHolder)中,以便后续的权限验证和访问控制。 9. 用户被...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值