基于 Spring Security 数据库的身份验证

最新推荐文章于 2024-05-06 09:25:44 发布
最新推荐文章于 2024-05-06 09:25:44 发布
阅读量1.2k 收藏
点赞数
文章标签: spring linq java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/122785954
版权

在上一篇文章中,我们学习了 Spring Security 的实现,使用 In-Memory 配置对用户进行身份验证。在此示例中,我们将学习根据数据库表对用户和角色进行身份验证。

如果您是 Spring Security 的新手,我强烈建议您阅读 Spring Security 的基础知识

执行

为了实现 Spring Security,我们将借助WebSecurityConfigurerAdapter. 要启用 Spring 安全性,我们需要使用@EnableSpringSecurity和注释我们的配置类@Configuration

在此示例中,我们将使用H2 内存数据库来存储我们的用户凭据并获取这些凭据以进行身份​​验证。我们将在应用程序启动期间使用@PostConstruct注释将我们的用户凭据添加到数据库中。

复制
复制
COPY
COPY 
@PostConstruct
    public void setup() {
        userRepositoty.save(new UserEntity(1, "shail@mail.com", passwordEncoder.encode("shail@123"), "ROLE_ADMIN"));
        userRepositoty.save(new UserEntity(2, "john@mail.com", passwordEncoder.encode("john@123"), "ROLE_USER"));
    }

为了根据数据库表对我们的用户进行身份验证,我们将使用DaoAuthenticationProvider类和UserDetailsService接口。

  • DaoAuthenticationProvider是其中一种实现,AuthenticationProvider它借助UserDetailsService检索用户名和密码来对用户进行身份验证。

  • UserDetailsService接口有一个只读方法 loadUserByUsername()。我们重写这个方法来编写我们的逻辑来从数据库中获取数据。

    复制
    复制
    COPY
    COPY 
    @Component
public class UserDetailsServiceImpl implements UserDetailsService {
  @Autowired
  private UserRepository userRepository;

  @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      UserEntity user = userRepository
                                      .findByUsername(username)
                                      .orElseThrow(() -> new UsernameNotFoundException("INVALID USERNAME"));

      UserDetails userDetails = new User(username, user.getPassword(), AuthorityUtils.createAuthorityList(user.getRole()));

      return userDetails;
  }
}

我们需要重写作为参数的configure()方法。有一个将 AuthenticationProvider 作为参数的方法;我们将把我们的对象作为参数传递给这个方法。我们还需要告诉我们的 ``DaoAuthenticationProvider我们将使用的密码编码器。WebSecurityConfigurerAdapterAuthenticationManagerBuilderAuthenticationManagerBuilder`authenticationProvider()DaoAuthenticationProviderUserDetailsServiceImpl

复制
复制
COPY
COPY 
@Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {

        DaoAuthenticationProvider daoAuthProvider = new DaoAuthenticationProvider();
        daoAuthProvider.setPasswordEncoder(passwordEncoder());
        daoAuthProvider.setUserDetailsService(userDetailsServiceImpl);

        auth.authenticationProvider(daoAuthProvider);

    }

我们还需要覆盖另一个作为参数的configure()方法。在这里,我们将为不同的 URI 模式和这些 URI 模式上允许的角色配置我们的基本安全参数。WebSecurityConfigurerAdapterHttpSecurity

复制
复制
COPY
COPY 
@Override
    public void configure(HttpSecurity http) throws Exception {
        // @formatter:off

        http
            .httpBasic().and()
            .authorizeRequests()
            .antMatchers("/h2-console/**").permitAll()
            .antMatchers("/api/admin/**").hasRole("ADMIN")
            .antMatchers("/api/user/**").hasRole("USER")
            .antMatchers("/api/any/**").hasAnyRole("ADMIN", "USER")
            .anyRequest()
            .authenticated()
            .and().formLogin().disable();

        http.csrf().ignoringAntMatchers("/h2-console/**");

        http.headers().frameOptions().sameOrigin();

        // @formatter:on

    }

测试

为了测试我们的实现,让我们创建一个简单的控制器,其中包含一些返回不同消息的 GetMapping。

复制
复制
COPY
COPY 
@RestController
@RequestMapping(value = "api")
public class MessageController {

    @GetMapping(value = "/admin/message")
    public String adminMessage(Authentication auth) {
        String role = "";
        for (GrantedAuthority gauth: auth.getAuthorities()) {
                role = gauth.getAuthority();
        }
        return "<h1>Hello, "+ auth.getName()+ " you are "+ role+"</h1>";
    }

    @GetMapping(value = "/user/message")
    public String userMessage(Authentication auth) {
        String role = "";
        for (GrantedAuthority gauth: auth.getAuthorities()) {
                role = gauth.getAuthority();
        }
        return "<h1>Hello, "+ auth.getName()+ " you are "+ role+"</h1>";
    }

    @GetMapping(value = "/any/message")
    public String anyMessage(Authentication auth) {
        String role = "";
        for (GrantedAuthority gauth: auth.getAuthorities()) {
                role = gauth.getAuthority();
        }
        return "<h1>Hello, "+ auth.getName()+ " you are "+ role+"</h1>";
    }
}

现在让我们尝试使用 Postman 来使用这些 API。

输入请求 URL 作为localhost:8080/api/admin/message并在 Authorization 选项卡下,选择 Basic Auth 并提供用户名和密码,然后单击发送。

身份验证成功后,您将能够访问 URL 并将获得输出为 -

如果您尝试通过上述 URL 上的凭据登录,您将收到一条错误消息Forbidden ,因为这仅适用于 ADMIN 角色。

我建议您尝试将其他组合凭据与 URL 资源一起使用,请参阅输出。

概括

在本文中,我们学习了如何实现 Spring Security 并针对数据库对用户进行身份验证,以及如何根据用户角色限制 URL 或资源。

在该系列的后续文章中,我们将继续学习 Spring Security 并查看使用 JWT 和 Spring Security 的身份验证。

最后但并非最不重要的一点是,您总能找到实现的完整源代码 @Github

allway2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity 基于数据库验证
抛弃幻想,准备斗争
04-25 3337
之前给出的用户名和密码的信息都是由用户固定填写的,这种做法并不适合实际的开发,所以在所有项目系统中,用户名和密码都应该交由数据库进行管理,包括密码也应该使用MD5进行加密处理。 一、基于标准数据库的保存 如果要想实现基于标准的数据库保存操作,那么首先要根据Spring安全框架的定义要求,创建相关的数据表。 一个用户具备多个角色,所以属于一对多的关系。 如果现在要想使用MD5的加...
Spring Security使用数据库中的用户进行身份认证
热门推荐
小尘
04-30 1万+
Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。     1. Spring Security中的身份认证是什么?     现在让我们考虑一下每个人都熟悉的标准身份认证场景:
SpringBoot中使用Security(二)
smiling
01-01 329
前面一篇文章说到 实现一个配置类继承WebSecurityConfigurerAdapter,并且重写configure(HttpSecurity http)方法。同样可以取消掉Security登录验证。 @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerA...
SpringSecurity实现数据库认证
波波烤鸭的博客
12-05 3917
  上篇文章我们介绍了SpringSecurity系统认证的流程,我们发现系统认证其实是通过一个UserDetailService的实现类来实现的,所以我们就可以使用相同的方式将认证的业务改成和数据库的对比。此案例持久层我们通过Mybatis来实现 一、mybatis准备 1.导入相关依赖 <dependency> <groupId>org.mybatis</gr...
Spring Security基础教程:从入门到实战
Yaml4的博客
05-06 1234
无论你选择以何种方式进行身份验证--是使用 Spring Security 提供的机制和提供商,还是与容器或其他非 Spring Security 身份验证机构集成--你都会发现授权服务可以以一致而简单的方式在你的应用程序中使用。在上面的示例中,都是基于配置文件进行用户的配置角色的设置,都是静态的信息,而实际工作中,都是需要从数据库中进行查询的。当环境中引入上面的依赖后,默认情况会对所有的请求都进行拦截,同时启动服务时会输出随机密码,而用户则默认是"user"。推荐订阅精彩专栏 👇🏻 避免错过下次更新。
Spring Securityspringboot + mybatis-plus + mysql 密码加密存储下的数据库用户验证登录
锥栗的博客
05-29 1361
前言 配置 编码 config.SecurityConfig package org.sample.config; import com.alibaba.fastjson.JSON; import org.sample.service.UserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import or
SpringSecurity-------基于数据库的认证流程
m0_73179389的博客
04-21 790
SpringSecurity认证
Spring Security基于数据库实现认证过程解析
08-18
Spring Security基于数据库实现认证过程解析 Spring Security是一个功能强大且灵活的安全框架,提供了基于数据库的认证机制。本文将通过示例代码详细介绍Spring Security基于数据库实现认证过程的详细解析。 一、...
10-SpringSecurity 数据库DB验证.zip
09-10
总结来说,这个Spring Security数据库验证的示例展示了如何在Spring Boot应用中集成Spring Security,通过数据库验证用户身份,设置不同的访问权限,并使用安全的密码编码策略。这样的实践有助于构建安全、健壮的Web...
spring Security Json 数据库登录验证
01-21
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Spring Boot提供了全面的身份验证和授权服务。在前后端分离的架构中,Spring Security能够帮助我们处理JSON Web Token(JWT)认证,确保...
spring security数据库表结构实例代码
08-29
Spring Security 是一个基于 Java 的安全框架,它提供了强大的身份验证、授权和访问控制机制。在本文中,我们将介绍 Spring Security 数据库表结构实例代码,帮助开发者快速了解 Spring Security数据库设计。 ...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题中,我们将深入探讨如何结合SpringSecurity数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
spring security 基于数据库用户认证
qq_41860765的博客
03-06 845
配合前面几篇文章一起看 Spring Security 认证 OAuth2 SpringBoot +oAuth2+JWT+Spring Security认证配置 我们了解了使用Spring Security进行认证授权的过程,目前各大网站的认证方式非常丰富:账号密码认证、手机验证码认证、扫码登录等。 连接用户中心数据库进行认证 基于的认证流程在研究Spring Security过程中已经测试通过,到目前为止用户认证流程如下: 认证所需要的用户信息存储在用户中心数据库,现在需要将认证服务连接数据库查询用户信
SpringSecurity实现数据库认证,Java开发还不会这些
m0_60635176的博客
03-19 498
显然在实际项目中,对密码加密是必须的,所以我们就来看看SpringSecurity中是怎么做加密的。我们在此处通过BCryptPasswordEncoder来加密,动态加盐的方式。(img-p9FI1EMy-1710843757463)]1.UserService 继承 UserDetailService接口。既然使用自定义的认证方法,那么原来设置的内存中的账号就不需要了。@param s 登录表单输入的账号。定义一个根据账号查询的方法即可。// 根据账号去数据库中查询。// 设置登录账号的角色。
springsecurity基于数据库中的用户信息实现登陆
an715396887的博客
08-08 216
在上述代码中有一个自定义的登陆成功处理器。/*** 登录失败处理器* @param httpServletRequest HTTP请求* @param httpServletResponse HTTP响应* @param e 认证异常* @throws IOException IO异常* @throws ServletException Servlet异常。
SpringSecurity认证流程(超级详细)
qq_34091529的博客
06-27 7020
最近开发项目的时候遇到了和SpringSecurity相关的一些问题,但是之前并没有去了解过SpringSecurity,导致改系统安全权限验证的时候就比较吃力了,目前项目开发大多都直接用脚手架直接开发,系统安全权限验证已经形成了,所以并不是自己写的,自己理解起来会更慢一些,所以这篇文章就是为了分析SpringSecurity的认证流程而写的。
SpringBoot高级篇】SpringSecurity认证 (三)
输入技术、输出想法
07-26 476
SpringSecurity认证(三)工作原理认证方式内存用户信息认证PasswordEncoder连接数据库用户信息认证创建数据库pomapplication.ymlentitymapperservice使用BCryptPasswordEncoder测试 工作原理 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Secur
3.SpringSecurity基于数据库的认证与授权
weixin_51351637的博客
10-26 1208
用户实体类需要实现UserDetails接口,并实现该接口中的7个方法, UserDetails 接口的7个方法如下图认证与授权,需要我们实现UserDetails用户详情类和UserDetailsService类。
进行SpringSecurity身份验证应该怎么做
04-16
Spring Security中进行身份验证可以通过以下步骤来实现: 1. 添加Spring Security依赖:在项目的构建文件中添加Spring Security的依赖,例如在Maven项目中可以在pom.xml文件中添加以下依赖: ```xml <groupId>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值