Spring Security(二)

最新推荐文章于 2023-08-02 10:56:05 发布
最新推荐文章于 2023-08-02 10:56:05 发布
阅读量148 收藏
点赞数
分类专栏: Spring Security Spring java 文章标签: Spring Security Java 鉴权 Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YLiuwillbebetter/article/details/86305020
版权
java 同时被 3 个专栏收录
17 篇文章 0 订阅
订阅专栏
Spring
6 篇文章 0 订阅
订阅专栏
Spring Security
4 篇文章 0 订阅
订阅专栏

Spring Security(二)

注:凡是源码部分,我已经把英文注释去掉了,有兴趣的同学可以在自己项目里进去看看。?

定义用户认证逻辑

用户登录成功后,用户的信息会被 Security 封装在一个接口里(“UserDetailsService”)

UserDetailsService 源码:

public interface UserDetailsService {
   // UserDetails 封装的用户信息接口
   UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

处理密码加密解密

Spring Security 处理登录密码的是 PasswordEncoder 接口。

PasswordEncoder 源码:

public interface PasswordEncoder {
    
    // 用来把用户登录时传入的密码进行加密处理
	String encode(CharSequence rawPassword);
    
    // 用来判断加密后的密码和用户传入的代码是否匹配
	boolean matches(CharSequence rawPassword, String encodedPassword);

}

Security 为 PasswordEncoder 接口提供了默认的实现 BCryptPasswordEncoder ,在项目中配置上密码加解密如下:

@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        // Security 默认实现
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 启用表单登陆
        http.formLogin()
            .and()
            // 对请求做授权
            .authorizeRequests()
            // 任何请求
            .anyRequest()
            // 都需要身份认证
            .authenticated();
    }
}

配置 UserDetailService 接口实现:

@Configuration
public class MyUserDetailsService implements UserDetailsService {

    private static final Logger log = LoggerFactory.getLogger(MyUserDetailsService.class);

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("登录用户名 ={}", username);
        // 根据用户名查询用户信息(此处省略与数据库交互逻辑)
        // 下面的“User”对象是Security的,它实现了UserDetailsService接口
        List<GrantedAuthority> grantedAuthorities =
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin");
        // 根据查找到的用户信息判断用户是否被冻结
        String encode = passwordEncoder.encode("123456");
        log.info("加密后的密码 ={}", encode);
        return new User(username, encode,
                true, true, true, true, grantedAuthorities);
    }

}

登录后,日志如下:

2019-01-10 01:22:10.946  INFO 6572 --- [nio-8081-exec-3] c.i.s.browser.MyUserDetailsService       : 登录用户名 =root
2019-01-10 01:22:11.074  INFO 6572 --- [nio-8081-exec-3] c.i.s.browser.MyUserDetailsService       : 加密后的密码 =$2a$10$8NCzA8f.T9vLijKnrI9BKOKVB53FB4esFG1QlaBT1Fmh2I5ITjRGm

由此可见,Security 默认的加解密接口实现中的密码加密并不是我们所熟悉的 MD5 ,如果想使用 MD5 加密,可自定义一个 PasswordEncoder 接口的实现类,如下:

/**
 * 自定义 PasswordEncoder 接口实现
 */
public class MyPasswordEncoder implements PasswordEncoder {
    @Override
    public String encode(CharSequence rawPassword) {
        String pwd = rawPassword.toString();
        return DigestUtil.md5Hex(pwd);
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return this.encode(rawPassword).equalsIgnoreCase(encodedPassword);
    }
}

@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        // Security 自定义实现
        return new MyPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 启用表单登陆
        http.formLogin()
            .and()
            // 对请求做授权
            .authorizeRequests()
            // 任何请求
            .anyRequest()
            // 都需要身份认证
            .authenticated();
    }
}
「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security
04-01
**Spring Security 源码分析** Spring Security 是一个强大的、高度可定制的访问控制和身份认证框架,广泛应用于Java EE应用程序的安全管理。它为开发者提供了丰富的功能,包括身份验证、授权、会话管理以及CSRF...
spring securityjava功能演示
呼噜娃
05-30 640
下面是一个使用JavaSpring Security的详细示例代码。该示例演示了如何设置身份验证和授权规则,并保护特定的URL路径。请注意,这只是一个基本示例,您可以根据自己的需求进行修改和扩展。首先,确保您已经安装了Java开发环境(JDK)和Maven构建工具。接下来,我们将创建一个Maven项目,并在项目的pom.xml文件中添加以下依赖项:
SecurityConfiguration安全认证与授权
weixin_49302930的博客
07-06 501
这意味着在配置中关闭CSRF保护后,应用程序将不会验证请求是否包含有效的CSRF令牌。禁用CSRF保护可能会有一定的风险,因此在禁用之前应该仔细评估应用程序的安全需求。CSRF是一种常见的Web攻击,攻击者通过利用用户在访问恶意网站时的身份验证信息,发送伪造的请求来执行非法操作。需要注意的是,在禁用CSRF保护时,我们需要确保应用程序有其他有效的安全措施来防止CSRF攻击。这段代码是在使用Spring Security配置CSRF(跨站请求伪造)保护时的一个配置方法。方法用于禁用CSRF保护。
SecurityConfig配置:日后要熟悉一点,一开始会觉得陌生
m0_68935893的博客
08-02 434
【代码】SecurityConfig配置:日后要熟悉一点,一开始会觉得陌生。
javaConfig方式配置spring security
neweastsun的专栏
01-10 4575
javaConfig方式配置spring security 本文介绍javaConfig方式配置spring security,通过阅读可以了解无需xml配置且较容易地配置使用spring security。 从spring framework3.1开始并支持javaConfig方式,spring security3.2中扩展了该功能,通过使用@Configuration注解方式配置
Spring Security Java Config 浅析
carl.zhao的专栏
03-08 1074
在之前的项目中使用接触过 xml 配置使用 Spring Security。但是最近比较流行 java config。并且对它的 builder 模式比较感兴趣,就会查看了它的源码实现。下面就把自己的分析结果记录下来,希望对阅读这篇博客的你也有帮助。在 Spring Security 里面有两个非常重要的概念认证与授权。 - 认证:是确认某主体在某系统中是否合法、可用的过程。这里的主体既可以是登陆系统的用户也可以是接入 的设备或者其他系统 - 授权:是指当前主体通过认证之后,是否允许其执行某项操作的过程
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
Spring Security模块
09-03
**Spring Security 的工作流程** 1. **请求到达**:用户发送 HTTP 请求到服务器。 2. **过滤器链**:Spring Security 的过滤器链开始工作,首先是 `DelegatingFilterProxy`,它将请求转发给 Spring Security ...
基于java configspringSecurity的基本集成配置()--自定义认证
01-11
基于java configspringSecurity的基本集成配置()--自定义认证,详细介绍:http://blog.csdn.net/xiejx618/article/details/42609497
security java的配置_Spring Security:无法使用java config配置方法安...
weixin_39665507的博客
02-22 687
我正在努力用java配置的spring安全性来配置方法安全性.我的配置没有任何问题,直到我在任何控制器中使用@Secured注释.Spring Security Config:(java config)@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(securedEnabled=true)public class Securi...
SSM整合SpringSecurity实现权限管理实例 javaconfig配置方式
poorCoder_的博客
04-18 2万+
1.前言 本文讲述使用javaconfig的方式整合SpringMVC+Mybatis+SpringSecurity实现基于数据库的权限系统,包括对按钮的权限控制。 使用技术: springMVC、springsecurity4、mybatis、ehcache、前端使用dataTables表格、ztree。 2.表结构介绍 标准的五张表结构。其中t_resources包含了后台系...
基于java configspringSecurity(一)--基本搭建
热门推荐
xiejx618的专栏
01-08 2万+
本文主要介绍基于java config的集成配置.spring data jpa等等相关的资料在前面博文有介绍. 1.pom.xml. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schema
spring security 配置说明
shining的专栏
12-17 495
以下为若依框架中SecurityConfig对于spring security配置的说明: /** * anyRequest | 匹配所有请求路径 * access | SpringEl表达式结果为true时可以访问 * anonymous | 匿名可以访问 * denyAll ...
Spring SecurityJava Configuration方式
海恩的博客
04-29 2001
java configuration方式 上面是以xml文件的方式配置,接下来介绍以自定义java类的方式来配置spring security 可先在719行:自定义过滤器一节了解认证流程。 1. 注册DelegatingFilterProxy package com.study.config; import org.springframework.security.web.c...
前后端分离框架如何用postman测试接口(解决权限问题的两种方式)
开发者导航
06-01 6998
项目背景:1、前后端分离框架,前端用的是vue、element,后端使用springboot2、后端采用spring security作为安全认证框架如果直接访问,结果是这样的:{"msg":"请求访问:/equip/detail/1,认证失败,无法访问系统资源","code":401}目前站长用的两种方式:一种是直接在security配置文件Sec...
java url权限控制_SpringSecurity权限管理,根据请求URL鉴权
weixin_39579127的博客
02-13 411
packagecom.liuyanzhao.sens.config.security;importcom.liuyanzhao.sens.common.utils.SecurityUtil;importcom.liuyanzhao.sens.config.security.jwt.AuthenticationFailHandler;importcom.liuyanzhao.sens.con...
Springboot+Security)访问资源时鉴权
weixin_43606226的博客
12-19 1249
在上一篇对用户认证授权之后,用户访问资源的时候,需要获得这个资源的权限和用户的权限,然后通过决策器来比对用户是否有权限访问该资源。一般可以在Security中配置需要的权限,然后使用默认的鉴权即可。这里是使用了自定的鉴权方法和拦截器。 1.鉴权的基本流程 访问资源的时候,即访问url时,会先通过 AbstractSecurityInterceptor 拦截器拦截请求,它会调用 FilterInvo...
springsecurity 次认证
最新发布
08-24
Spring Security提供了强大的身份认证和授权功能,但默认情况下只提供了一种单一的认证方式。如果你需要进行次认证,你可以按照以下步骤进行配置: 1. 创建一个自定义的AuthenticationProvider:你可以实现`AuthenticationProvider`接口创建一个自定义的认证提供者。在该实现中,你可以添加额外的认证逻辑,例如验证手机验证码、指纹等。 2. 配置Spring Security:在Spring Security的配置类中,注册你自定义的AuthenticationProvider。可以使用`AuthenticationManagerBuilder`的`authenticationProvider`方法来注册。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthenticationProvider customAuthenticationProvider; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(customAuthenticationProvider); } // 其他配置... } ``` 3. 实现次认证逻辑:在自定义的AuthenticationProvider中,实现`authenticate`方法来执行次认证逻辑。例如,你可以在该方法中调用其他认证接口或者验证用户输入的验证码等。如果认证成功,返回一个`Authentication`对象;如果认证失败,可以抛出`AuthenticationException`异常。 ```java @Component public class CustomAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { // 次认证逻辑,例如验证手机验证码 // 如果认证成功,返回一个Authentication对象 // 如果认证失败,可以抛出AuthenticationException异常 } @Override public boolean supports(Class<?> authentication) { return authentication.equals(UsernamePasswordAuthenticationToken.class); } } ``` 以上是一个基本的实现示例,你可以根据你的具体需求进行相应的调整和扩展。通过自定义AuthenticationProvider,你可以实现多种不同的认证方式,以满足不同场景下的次认证需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值