SpringSecurity学习第一讲(自定义配置类,登录逻辑)

已于 2022-02-09 14:29:46 修改
阅读量2.2k 收藏 2
点赞数 1
文章标签: java 安全 spring boot
于 2021-12-24 16:14:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JavaSupeMan/article/details/121999000
版权

简介:

SpringSecurity是spring家族中的一个安全管理框架,相比与另外一个安全框架shiro,它资源更丰富。
一般中大型项目都是使用SpringSecurity来做安全框架,小项目shiro比较多。
一般web应用的需要进行认证和授权
认证:验证当前访问系统的是不是本系统用户,并且要确认具体是哪个用户
授权:经过认证后判断当前用户是否有权限进行某个操作
而认证和授权是SpringSecurity作为安全框架的核心功能

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

相关pom
 <!--springsecurity相关依赖-->
  		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
		 <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
         <!--spring启动类-->
 		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-parent</artifactId>
        </dependency>
       <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

一、入门体验

新建项目,引入依赖,然后直接启动,打开网址输入 localhost:8080
发现跳转到了默认页面
在这里插入图片描述
默认用户名是:admin
密码在启动日志中:

在这里插入图片描述
成功登陆啦!
----------这里先告一段落,下面先讲解细的内容,然后再串起来接着上面的例子细化Demo----------------end

密码解析器详解

这里用到的类是springsecurity提供的PasswordEncoder类

//接口介绍
	encode():把参数按照特点的解析规则进行加密
	matches():第一个参数是明文密码,第二个是存储的加密后的密码,用于密码比较
	(这里提一嘴,这个加密是单向加密的,所以不可能从加密后的密码解析出未被加密的密码)
	upgradeEncoding(): 如果加密后的密码能够再次加密且达到更安全的结果则返回true

  @Test
    void test() {
		PasswordEncoder pw = new BCryptPasswordEncoder();
        String encode = pw.encode("123456");
        System.out.println("加密后的密码"+encode);
        //密码对比,正确返回true
        boolean matches = pw.matches("123456", encode);
        System.out.println(matches);
        }

二、UserDetailsService

这个接口是要实现自定义登录逻辑的重要接口,通俗的讲,密码登录校验就在这
登录实现逻辑必须实现该接口
实现逻辑:
1.根据username查询数据库
2.根据查询的对象比较密码
3.返回UserDetail对象

例:简单版本:
-------------------接着入门案例------------------strat

创建一个类,实现UserDetailsService 接口

//写logionservice实现UserDetailsService 
@Service
public class LogionServiceImpl implements UserDetailsService {
    
    @Autowired
    PasswordEncoder pw;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    	//这里的用户名和密码是写死的哈,实际应用应该是从库里查出来的
        //1.根据username查询数据库
        if(!"admin".equalsIgnoreCase(username))
            throw new UsernameNotFoundException("用户名或密码错误!");

        //2,根据查询的对象比较密码
        String password = pw.encode("123456");

        //返回用户对象
        return new User("admin",password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal"));
    }
}

测试 启动项目----->可以发现控制台不再有生成密码,在默认登录页输入 admin 123456进行登录
-------------------入门案例------------------end

例:实际应用版本:
这里把user类改为继承的,验证逻辑改为操作数据库的

//这里可以封装一个User类,这样可以自定义属性,继承security提供的User类
public class FcsUser extends User {

    @Getter
    private Integer uid;

    public FcsUser(Integer uid, String username, String password, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {
    	//这个很重要,是User的构造方法
        super(username, password, true, true, true, accountNonLocked, authorities);

        this.uid = uid;

    }
}

登录逻辑实现

@Slf4j
@Component
@RequiredArgsConstructor
public class UserDetailsServiceImpl implements UserDetailsService {

	//user表的dao类,这里你们得自己写啊
    private final SysUserRepository sysUserRepository;
	//getway限流
    private final RequestRateLimiter limiter;

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		//根据用户名去查询用户对象
        SysUser sysUser = sysUserRepository.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException(username));
		//用于限流的,这里可以忽略
        boolean lock = limiter.geLimitWhenIncremented(username, 0);

        log.info("lock: {}", lock);
        return new FcsUser(sysUser.getUserId(), sysUser.getUsername(), sysUser.getPassword(), !lock, new ArrayList<>());
    }
}

三、WebSecurityConfigurerAdapter

自定义配置类
例: 自定义一个配置类SecurityConfig

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder pw(){
        return new BCryptPasswordEncoder();
    }

   @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                //配置自定义登录页
                .loginPage("/login.html")
                //配置这个后,会去找实现了UserDetailsService的接口的loadUserByUsername方法进行登录认证,具体是底层实现
                .loginProcessingUrl("/login")
                //------------登陆成功/登陆失败后访问接口------------
                .successForwardUrl("/toMain")
                .failureForwardUrl("/toError")
                //----------------------------------------------
                //自定义登录用户名/密码 参数(前端的 input  name值)
                .usernameParameter("username")
                .passwordParameter("password");

       //授权
        http.authorizeRequests()
                //放行登录页面
                .antMatchers("/login.html").permitAll()
                //放行失败页面
                .antMatchers("/error.html").permitAll()
                //所有请求都必须被认证(登录)     配置这个后,就不能直接去访问未被放行的页面
                .anyRequest().authenticated();


        //关闭csrf防护
        http.csrf().disable();
    }
}

controller层

    @RequestMapping("/toMain")
    public String logion(){
        return "redirect:main.html";
    }

    @RequestMapping("/toError")
    public String toError(){
        return "redirect:error.html";
    }

自定义登录成功逻辑 自定义跳转页面
假如设置登录成功后跳转到www.baidu.com
1.写一个类继承AuthenticationSuccessHandler接口

package com.springsecurity.config;

import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class MyAuthenSuccessHandler implements AuthenticationSuccessHandler {

    private final String url;

    public MyAuthenSuccessHandler(String url) {
        this.url = url;
    }
	//Authentication 这个对象下面会介绍一下
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.sendRedirect(url);
    }
}

2.修改上面配置类里的内容
在这里插入图片描述
补充:介绍一下Authentication 类


public interface Authentication extends Principal, Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials(); //获取凭证,也就是密码

    Object getDetails(); //当前用户的详情

    Object getPrincipal();//其实就是user对象

    boolean isAuthenticated();//是否被认证

    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException; //设置认证
}

自定义登录失败逻辑
1.写一个类继承AuthenticationFailureHandler接口

//自定义登录成功逻辑
public class MyAuthenFailureHandler implements AuthenticationFailureHandler {

    private final String url;

    public MyAuthenFailureHandler(String url) {
        this.url = url;
    }

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.sendRedirect(url);
    }
}

2.修改配置类
在这里插入图片描述
目录结构如下:

在这里插入图片描述

JavaSupeMan
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Security--自定义登录逻辑
我和井盖都笑了博客
04-04 1001
   自定义登录逻辑       当进行自定义登录逻辑时需要用到之前解的UserDetailsService 和 PasswordEncoder。但是 Spring Security 要求:当进行自定义登录逻辑时容器内必须有 PasswordEncoder 实例。所以不能直接 new 对象  &n...
spring security自定义登录页面
08-29
在项目中我们肯定不能使用Spring自己生成的登录页面,而要用我们自己的登录页面,下面通过本文给大家分享spring security自定义登录页面的实现方法,一起看看吧
Springboot+Security(一)自定义验证
weixin_43606226的博客
12-19 1029
Springboot+Security验证授权,访问资源鉴权1.数据库表:2.验证授权2.1 实体User.Java2.2 Dao层PermissionMapper.javaPermissionMapper.xml2.3 实现UserDetailsService接口,返回用户数据给自定义AuthenticationProvider来对用户验证授权MyUserDetailsService(实现Us...
SpringSecurity 用户名和密码的校验过程及自定义密码验证
热门推荐
z69183787的专栏
02-06 1万+
1、源码执行过程 1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken) 2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken) 3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证 4.AuthenticationProvider认证提供
Security自定义全局AuthenticationManager
程序三两行
07-20 3034
security 自定义全局AuthenticationManager
Spring Security 自定义登录逻辑实现
zongzhibin117的博客
09-15 1116
1、准备两个页面,登录页面和登录成功页面。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> </head> <body> <form action="/login" method="post"> 用户名: <input type="
spring security自定义认证登录的全过程记录
08-28
主要给大家介绍了关于spring security自定义认证登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
java学习SpringSecurity配置登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
Spring Security自定义登录原理及实现详解
09-07
主要介绍了Spring Security自定义登录原理及实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity学习自定义过滤器的实现代码
08-26
主要介绍了SpringSecurity学习自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
Spring Security UserDetails实现原理详解
09-07
主要介绍了Spring Security UserDetails实现原理详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
Spring Security快速入门(二)自定义登录逻辑
weixin_44283682的博客
03-16 2565
Spring Security快速入门(二)一、UserDetailsService接口二、User1. User中authorities字段三、PasswordEncoder接口四、实现自定义登录逻辑1. 编写配置2. 自定义逻辑 从上一篇博客中可以看见,当我们什么都没有配置的时候,账号和密码都是由Spring Security定义生成的。而再实际项目中账号和密码都是从数据库中查询出来的。所以我们需要通过自定义逻辑控制认证登录。 一、UserDetailsService接口 需要自定义逻辑时,我们只
Spring Security(五)--管理用户
学习不止境的博客
09-30 1340
UserDetailsManager接口扩展UserDetailsService接口是体现接口分离原则的一个很好的例子,分离接口可以提供更好的灵活性,因为框架不会强迫我们在应用程序不需要的时候实现行为,如果应用程序只需要验证用户,那么实现UserDetailsService契约就足以覆盖所需功能。而如果需要真正管理用户,我们就可以在其基础上自己扩展管理用户的功能亦或者直接实现UserDetailsManager的接口。
Spring Security--自定义登录和授权逻辑
weixin_44889894的博客
04-10 489
Spring Security自定义登录和授权逻辑 概念 SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。 SpringBootSpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecurity的基本使用。 1,导入相关依赖 <!--spring security--> <dependency&gt
SpringSecurity配置
qq_45733154的博客
10-19 8094
SpringSecurity配置与使用
第一章:Spring Security(三):Security中重要的几个
ayong95的专栏
01-08 959
文章目录 前言 一、Spring Security中的重要 二、 1. 2. 总结 前言 前面我们在访问资源时,没有登录到系统中,所以会跳转到login请求。本章节,我们就来了解下Spring Security中重要的几个。 一、SpringSecurity中的重要 1. UserDetailsService 2. UserDetails 二、 1. 2.读入数据 代码如下(示例): 该处使用的url网络请求...
SpringSecurity(一)自定义登录界面
lizc_lizc的博客
11-12 6095
1. 新建一个SpringBoot工程 添加如下依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&g...
Spring security 入门 - 03 自定义登录成功后的处理逻辑
nimo10050的博客
02-01 2080
Spring security 系列博客目录 Spring Security 01- 将 Spring security 引入到工程 Spring security 02-自定义用户登录页面和登录处理逻辑 Spring security 03-自定义登录成功后的处理逻辑 Spring security 04-整合 jwt 对应源代码 Spring Security 01- 将 Spring ...
springsecurity自定义多种登录方式
最新发布
09-28
3. 自定义手机号码登录:可以通过继承 Spring Security 的 `AbstractAuthenticationProcessingFilter` 来实现自定义手机号码登录。 可以在自定义的过滤器中验证手机号码,并进行认证逻辑。 4. 自定义单点登录...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JavaSupeMan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值