security安全验证登录

最新推荐文章于 2024-02-01 11:48:27 发布
最新推荐文章于 2024-02-01 11:48:27 发布
阅读量823 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EnlightenedNet/article/details/116598666
版权

一,简单的Secuity登录验证

1.导入依赖
        <!-- security安全验证依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
2.查询数据库
package com.xxx.blog.service.impl;

import com.xxx.blog.entity.TUser;
import com.xxx.blog.mapper.TUserMapper;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import javax.annotation.Resource;

/**
 * @Author user
 * UserDetailsService的实现类 实现对账户的数据查询
 */
@Service
public class CustomUserServiceImpl implements UserDetailsService {
    @Resource
    TUserMapper tUserMapper;
    
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        TUser tUser = tUserMapper.loadUserByUserName(s);
        if (tUser == null){
            throw new UsernameNotFoundException("用户名不存在!");
        }
        return tUser;
    }
}
3.创建SecurityConfig
package com.xxx.blog.config;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.xxx.blog.entity.TUser;
import com.xxx.blog.service.impl.CustomUserServiceImpl;
import com.xxx.blog.utils.RespBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.CredentialsExpiredException;
import org.springframework.security.authentication.DisabledException;
import org.springframework.security.authentication.LockedException;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;

import javax.annotation.Resource;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * @Author user
 * spring security是一个基于spring aop 和servlet过滤器的安全框架
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Resource
    CustomUserServiceImpl customUserService;

    @Bean
    PasswordEncoder passwordEncoder(){
        //强制要求密码加密
        return new BCryptPasswordEncoder();
    }

    //要有一个configure方法吧hrService整进来
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        //将用户信息存入到
        auth.userDetailsService(customUserService);
    }


    @Override
    protected  void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //表示剩下的任何请求只要验证之后都可以访问
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .usernameParameter("username")
                .passwordParameter("password")
                //登录的访问接口。localhost:端口号/doLogin
                .loginProcessingUrl("/doLogin")
                //如果没有登录的话直接访问/login报错
                .loginPage("/login")
                //登陆成功的处理(用于前后端分离时,直接返回json
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp,
                                                        Authentication authentication) throws IOException, ServletException {
                        //如果登录失败也返回一段json
                        resp.setContentType("application/json;charset=utf-8");
                        //这是往出写的
                        PrintWriter out = resp.getWriter();
                        //Authentication里存放的的是登录成功的用户信息登录成功的hr对象
                        TUser tUser = (TUser) authentication.getPrincipal();
                        //为了安全。这里返回给前端时将密码设置为null
                        tUser.setPassword(null);
                        RespBean ok = RespBean.ok("登录成功!", tUser);
                        //把字符写出去
                        out.write(new ObjectMapper().writeValueAsString(ok));
                        out.flush();
                        out.close();
                    }
                })
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp,
                                                        AuthenticationException exception) throws IOException, ServletException {

                        //如果登录失败也返回一段json
                        resp.setContentType("application/json;charset=utf-8");
                        //这是往出写的
                        PrintWriter out = resp.getWriter();
                        RespBean error = RespBean.error("登录失败!");
                        if (exception instanceof LockedException){
                            error.setMsg("账户被锁定,请联系管理员!");
                        }else if (exception instanceof CredentialsExpiredException){
                            error.setMsg("密码过期,请联系管理员!");
                        }else if (exception instanceof DisabledException){
                            error.setMsg("账户被禁用,请联系管理员!");
                        }else if (exception instanceof BadCredentialsException){
                            error.setMsg("用户名或者密码输入错误,请重新输入!");
                        }
                        out.write(new ObjectMapper().writeValueAsString(error));
                        out.flush();
                        out.close();
                    }
                })
                //permitALL()表示放开和登陆有关的接口,csrf是关闭csrf,以便我们在 postman类似的软件测试被系统给拦截了
                .permitAll()
                .and()
                .logout()
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp,
                                                Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        out.write(new ObjectMapper().writeValueAsString(RespBean.ok("注销成功!")));
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()
                .and()
                .csrf()
                .disable();
    }
}
4,设置没有登录的提示接口
package com.xxx.blog.controller;

import com.xxx.blog.utils.RespBean;
import io.swagger.annotations.ApiOperation;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @Author user
 */
@RestController
@Slf4j
@ApiOperation("登录失败时会跳转")
public class LoginController {

    @RequestMapping("/login")
    public RespBean login(){
        return RespBean.error("尚未登陆,请先登录!");
    }
}
5.返回类
package com.xxx.blog.utils;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

/**
 * @Author user
 */
@Data
@AllArgsConstructor
@NoArgsConstructor
public class RespBean {
    private Integer status;
    private String msg;
    private Object obj;


    public static RespBean build() {
        return new RespBean();
    }

    public static RespBean ok(String msg){
        return new RespBean(200,msg,null);
    }

    public static RespBean ok(String msg,Object obj){
        return new RespBean(200,msg,obj);
    }

    public static RespBean error(String msg){
        return new RespBean(500,msg,null);
    }

    public static RespBean error(String msg,Object obj){
        return new RespBean(500,msg,obj);
    }
}

番外

也可以单独处理登录后的返回处理,例如

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Autowired
    MyUserDetailsService myDetailService;
    
    @Autowired
    private AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> authenticationDetailsSource;
    
    protected Log log = LogFactory.getLog(this.getClass());
    
    @Autowired
    private AuthenticationProvider authenticationProvider; 

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        
        auth.authenticationProvider(authenticationProvider);
    }
    
    //定义登陆成功返回信息
    private class AjaxAuthSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {
        @Override
        public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
            
            //User user = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
            log.info("商户[" + SecurityContextHolder.getContext().getAuthentication().getPrincipal() +"]登陆成功!");
            //登陆成功后移除session中验证码信息
            request.getSession().removeAttribute("codeValue");
            request.getSession().removeAttribute("codeTime");
            
            response.setContentType("application/json;charset=utf-8");
            PrintWriter out = response.getWriter();
            out.write("{\"status\":\"ok\",\"msg\":\"登录成功\"}");
            out.flush();
            out.close();
        }
    }
    
    //定义登陆失败返回信息
    private class AjaxAuthFailHandler extends SimpleUrlAuthenticationFailureHandler {
        @Override
        public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
            //登陆失败后移除session中验证码信息
            request.getSession().removeAttribute("codeValue");
            request.getSession().removeAttribute("codeTime");
            
            response.setContentType("application/json;charset=utf-8");
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            PrintWriter out = response.getWriter();
            out.write("{\"status\":\"error\",\"msg\":\"请检查用户名、密码或验证码是否正确\"}");
            out.flush();
            out.close();
        }
    }
    
    //定义异常返回信息
    public class UnauthorizedEntryPoint implements AuthenticationEntryPoint {
        @Override
        public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
            response.sendError(HttpStatus.UNAUTHORIZED.value(),authException.getMessage());
        }

    }
    
    //定义登出成功返回信息
    private class AjaxLogoutSuccessHandler extends SimpleUrlLogoutSuccessHandler  {

        public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response,
                Authentication authentication) throws IOException, ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter out = response.getWriter();
            out.write("{\"status\":\"ok\",\"msg\":\"登出成功\"}");
            out.flush();
            out.close();
        }
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .exceptionHandling().authenticationEntryPoint(new UnauthorizedEntryPoint())
        .and()
        .csrf().disable()
        .authorizeRequests()                   
            .antMatchers("/users/login_page","/users/captcha").permitAll()
            .anyRequest().authenticated()
            .and().formLogin().loginPage("/users/login_page")
                              .successHandler(new AjaxAuthSuccessHandler())
                              .failureHandler(new AjaxAuthFailHandler())
                              .loginProcessingUrl("/login")
                              .authenticationDetailsSource(authenticationDetailsSource)
            .and()
            .logout().logoutSuccessHandler(new AjaxLogoutSuccessHandler())
            .logoutUrl("/logout");
    }
}
EnlightenedNet
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
登入验证安全 上(验证码、忘记密码、客户端验证
m0_61506558的博客
08-13 1097
抓包后输入对的验证码后,反复发送査看回包,可以看到,没有出现验证码错误,出现的是用户名不存在,那么这里还出现一个点,用户名爆破,只要输入账号错误和密码错误回显不一样,就可以算成用户名可爆破漏洞。简单来说,验证信息没有进入服务器,直接在前端进行效验,可以通过查看源代码发现验证码是前端验证码,可以通过直接抓包的方式在 bp 里边爆破,首先在一个网站注册一个用户,然后修改这个用户的密码,通过抓取数据包中的参数判断哪里是校验用户,通过修改关键参数,达到任意修改其他用户密码的目的。.........
springsecurity+springspoot登录验证拦截
08-30
springsecurity+springspoot登录验证拦截,安全登录验证,按照角色控制访问模块
Spring Security 安全认证框架
qq_35930739的博客
05-19 698
一、认证流程 UsernamePasswordAuthenticationFilter过滤器用于处理基于表单方式的登录验证,该过滤器默认只有当请求方法为post、请求页面为/login时过滤器才生效,如果想修改默认拦截url,只需在刚才介绍的Spring Security配置类WebSecurityConfig中配置该过滤器的拦截url:.loginProcessingUrl("url")即可; BasicAuthenticationFilter用于处理基于HTTP Basic方式的登录验证.
(idea)利用SpringSecurity完成登录验证的流程
junqiqi77的博客
06-05 1583
spring security是一个安全可靠且高度可定制的安全框架,它提供身份验证和访问权限控制。按照框架的要求提供相关的信息和配置就可以利用spring security写出企业级安全登录功能。认证:验证登录者的身份授权:定义登录登录后可以做什么攻击防护:防止身份伪造有了springboot之后,springboot对spring security提供了自动化配置的方案,所以在springboot项目中可以实现零配置使用spring security
Spring Security登录验证过程详解
qq_41375630的博客
11-17 4068
前端: 在前端页面输入username和password,通过地址login访问验证。 后台: 调用 AbstractAuthenticationProcessingFilter.doFilter()方法 原因:SpringSecurity对Spring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的 2.在AbstractAuthenticationProcessingFilter.doFilter()调用UsernamePasswor
security登录流程
weixin_48100716的博客
12-15 1086
用户发起登陆请求AdminController,然后调用我们自己的登录业务实现类AdminServiceImpl的登录方法去处理,调用security框架的核心接口方法authenticate开始认证,他会自动去调用我们实现security框架的UserDetailsService接口的登录认证方法,若是认证成功则向前端返回JWT数据,注:AuthenticationManager(接口是认证的核心接口),也是认证的出发点.我们通过security框架认证登录信息,若登陆成功,最终返回的是JWT数据。
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了Spring Security验证流程剖析及自定义验证方法,需要的朋友可以参考下
SpringSecurity实现表单安全登录、图形验证的校验、记住我时长控制机制、第三方登录
01-30
SpringSecurity实现表单安全登录、图形验证的校验、记住我时长控制机制、第三方登录
SpringBoot安全认证Security的实现方法
08-25
主要介绍了SpringBoot安全认证Security的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity登录验证和鉴权粗解
javaFrom0To100的博客
09-13 828
SpringSecurity是Spring家族中的一个安全管理框架,它的底层是一系列的拦截器和拦截规则,相当于一个拦截器链。
SpringBoot security 安全认证(一)——登录验证
最新发布
朗朗的博客
02-01 1273
本节内容:使用springboot自动security模块实现用户登录验证功能;登录过程如下图:AuthenticationManager内容实现用户账号密码验证,还可以对用户状态(启用/禁用),逻辑删除,账号是否被锁定等判断。密码默认使用BCryptPasswordEncoder。那么我们在用户注册时密码要使用 new BCryptPasswordEncoder().encode(pwd)进行加密。代码实现过程:1、引入相关依赖;2、创建UserDetails实现类LoginUser;
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)
Json的知识梦工厂
07-23 4330
org.springframework.security.crypto.password.PasswordEncoder 接口。
学习:security登陆、认证、授权
Museum
07-31 1103
设置账号和密码 第一种方法:配置文件(不常用) application spring.security.user.name=admin spring.security.user.password=123 第二种方法:配置类 需要继承WebSecurityConfigurerAdapter @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected
清晰搞懂Spring Security登录认证
陈宝子的博客
07-18 7933
在简单学习完成Redis之后,又进行了SpringSecurity的学习,这里学习的资源为三更草堂的SpringSecurity框架教程,讲得感觉还不错,推荐😁。这里主要是对学习过程进行一个记录和总结,参考的仍然是三更草堂的笔记,但中间加上了自己的一些理解和看法以及一些遇到的问题总结,如果哪里有问题还请各位指点指点😻。
apache安全—用户登录验证
元贞
05-24 373
一、登录验证 当用户访问网站或者网站某个目录时,如果希望用户提供授权才能登录,那么就需要针对该站或者该目录设置登录验证了。apache提供了该功能,可以让我们针对站点或目录设置登录验证。这样用户访问网站时需要提交账号密码才能登录。 二、登录验证实现 1)修改apache配置文件 AuthName "Private" AuthType Basic AuthUserFile "/usr/local...
Security 登录认证流程详细分析 源码与图相结合
09-25 908
最近在写毕业设计的时候用这个框架,小伙伴给我提了个多种登录方式的需求,说仅仅只有账号、密码登录不太行,说让我增加几种方式,如:手机短信验证登录、邮箱验证登录、第三方登录等等(前两个已经实现,第三方登录还没搞定)一开始也挺让人懵逼,无从下手的。 看了好几篇博客,都弄的不完整,或者就是太高级了,我不太能行。之后就是看博客,说弄懂原理、流程后,写多种方式其实也蛮简单。然后我就老老实实的去Debug了。 这样子的效果是十分好的,多Debug几回,无论是对使用,还是对于编写代码,以及对这个技术的理解都会加深一些,以.
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2285
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
Security+jwt+验证码实现验证和授权
爱哭的毛毛虫的博客
11-26 4456
微服务Security+jwt+验证码实现认证和授权简要介绍基本流程核心代码测试 简要介绍 本次博客采用Spring Security、jwt、验证码的形式实现登录验证,项目本上是一个前后端分离项目。如果你的项目在登陆时不需要验证码,你只需要在后续的代码中,将有关验证码的过滤器删除。 基本流程 1、前端请求后端"/captcha"验证码接口,后端生成验证码文本及编码并将其存入redis缓存,然后返回验证码文本(五个字符)和验证码base64编码给前端。 2、前端显示验证码图片,用户输入用户名、密码、验证
SpringSecurity登录认证流程
weixin_52353216的博客
11-07 2400
springsecurity登录认证流程及对源码的一些解读
springsecurity登录验证流程
05-18
Spring Security是一个基于Spring框架的安全性框架,可以帮助我们实现身份验证、授权、攻击防护等安全功能。下面是Spring Security登录验证的基本流程: 1. 用户在登录页面输入用户名和密码,提交表单。 2. Spring Security将表单提交的数据封装成一个Authentication对象,其中包括用户名和密码等信息。 3. AuthenticationManager接收到Authentication对象,根据用户名和密码等信息进行身份验证。 4. 如果身份验证成功,AuthenticationManager返回一个经过身份验证的Authentication对象。 5. 如果身份验证失败,AuthenticationManager抛出一个AuthenticationException异常。 6. 接着,AuthenticationProvider接收到身份验证成功的Authentication对象,根据用户的角色等信息进行授权。 7. 如果授权成功,AuthenticationProvider返回一个包含用户角色信息的Authentication对象。 8. 如果授权失败,AuthenticationProvider抛出一个AccessDeniedException异常。 9. 最后,授权成功的Authentication对象交给SecurityContextHolder进行管理,用于后续的安全访问控制。 总之,Spring Security登录验证流程大致分为身份验证和授权两个阶段,其中身份验证是基础,授权则是对用户角色的进一步确认。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值