Spring Security(二) UserDetailsService 和 PasswordEncoder 密码解析器 详解

已于 2023-07-19 16:46:42 修改
阅读量5.7k 收藏 11
点赞数 4
分类专栏: 安全管理框架(Spring Security、Shiro) 文章标签: spring oracle 数据库
于 2020-09-28 17:32:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/donglinjob/article/details/108853877
版权

一、 UserDetailsService  详解

当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。

如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。接口定义如下:

1 返回值

返回值 UserDetails 是一个接口,定义如下

要想返回 UserDetails 的实例就只能返回接口的实现类。Spring Security 中提供了如下的实例。对于我们只需要使用里面的 User 类即可。注意 User 的全限定路径是:

org.springframework.security.core.userdetails.User

此处经常和系统中自己开发的 User 类弄混。

在 User 类中提供了很多方法和属性。

其中构造方法有两个,调用其中任何一个都可以实例化

UserDetails 实现类 User 类的实例。而三个参数的构造方法实际上也是调用 7 个参数的构造方法。

username:用户名

password:密码

authorities:用户具有的权限。此处不允许为 null

此处的用户名应该是客户端传递过来的用户名。而密码应该是从数据库中查询出来的密码。Spring Security 会根据 User 中的 password和客户端传递过来的 password 进行比较。如果相同则表示认证通过,如果不相同表示认证失败。

authorities 里面的权限对于后面学习授权是很有必要的,包含的所有内容为此用户具有的权限,如有里面没有包含某个权限,而在做某个事情时必须包含某个权限则会出现 403。通常都是通过AuthorityUtils.commaSeparatedStringToAuthorityList(“”) 来 创 建authorities 集合对象的。参数时一个字符串,多个权限使用逗号分隔。

2 方法参数

方法参数表示用户名。此值是客户端表单传递过来的数据。默认情况下必须叫 username,否则无法接收。

3 异常

UsernameNotFoundException 用 户 名 没 有 发 现 异 常 。 在loadUserByUsername 中是需要通过自己的逻辑从数据库中取值的。如果 通 过 用 户 名 没 有 查 询 到 对 应 的 数 据 , 应 该 抛 出UsernameNotFoundException,系统就知道用户名没有查询到。

二、 PasswordEncoder  密码解析器详解

Spring Security 要求容器中必须有 PasswordEncoder 实例。所以当自定义登录逻辑时要求必须给容器注入 PaswordEncoder 的 bean 对象

1 接口介绍

encode():把参数按照特定的解析规则进行解析。

matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个参数表示存储的密码。

upgradeEncoding():如果解析的密码能够再次进行解析且达到更安全的结果则返回 true,否则返回 false。默认返回 false。

2 内置解析器介绍

在 Spring Security 中内置了很多解析器。

3 BCryptPasswordEncoder  简介

BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析器。

BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,默认 10.

4 代码演示

在 项 目 src/test/java 下 新 建 com.bjsxt.MyTest 测 试BCryptPasswordEncoder 用法。

@SpringBootTest
@RunWith(SpringRunner. class)
public class MyTest {
	@Test
	public d void test(){
		//创建解析器
		PasswordEncoder encoder = w new BCryptPasswordEncoder();
		//对密码进行加密
		String password = encoder.encode( "123");
		System. out .println( "------------"+password);
		//判断原字符加密后和内容是否匹配
		boolean result = encoder.matches( "123",password);
		System. out .println( "============="+result);
	}
}

plenilune-望月
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
关于spring security BCryptPasswordEncoder加密解密及相关配置
Eindi的博客
09-01 1708
一、相关异常 Encoded password does not look like BCrypt 、场景 在配置Securityconfig时我们会发现PasswordEncoder的NoOpPasswordEncoder已经提示过时了 现在推荐使用BCryptPasswordEncoder进行加密,加密方式是采取SHA-256+随机盐+密钥对密码进行加密, SHA系列是Hash算法,非加密算法,进行Hash处理的过程不可逆。 (1)加密(encode):注册用户时,使用SHA-256...
Spring Security学习(一)UserDetailsService接口讲解、PassWordEncoder接口讲解、设置登录系统的账号,密码
qq_43644273的博客
12-11 3684
目录
Spring Security系列之PasswordEncoder
最新发布
lonelymanontheway的博客
06-07 929
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoder、PasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
Spring Security(五)--管理用户
学习不止境的博客
09-30 1392
UserDetailsManager接口扩展UserDetailsService接口是体现接口分离原则的一个很好的例子,分离接口可以提供更好的灵活性,因为框架不会强迫我们在应用程序不需要的时候实现行为,如果应用程序只需要验证用户,那么实现UserDetailsService契约就足以覆盖所需功能。而如果需要真正管理用户,我们就可以在其基础上自己扩展管理用户的功能亦或者直接实现UserDetailsManager的接口。
SpringSecurity】五、UserDetails接口和UserDetailsService接口(原理、流程)
llg___的博客
08-23 2945
接下来自己定义一个用户类SecurityUser类,也去实现UserDetails接口,重写UserDetails接口方法时,直接写死一个用户信息,一会儿new这个自定义的SecurityUser类,也就和上面的User.builder一个意思。重写loadUserByUsernam方法,并当用户名等于自定义的SecurityUser对象中的用户名时,返回SecurityUser对象。查看User类的源码,其实现了UserDetails接口,因此上面才可以直接创建User对象。重启服务,登录下,一切正常。
SpringSecurityUserDetailsService详解
风归去.
06-25 5591
当什么也没有配置的时候,账号和密码是由 定义生成的。而在实际项目中账号和密码都是从数据 库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 接口即可。接口定义如下:直接看源码 要想返回 UserDetails 的实例就只能返回接口的实现类。SpringSecurity 中提供了如下的实例。对于我们只需要使 用里面的 User 类即可。注意 User 的全限定路径是:org.springframework.security.core.userdetail
SpringSecurity学习 day2
weixin_47277897的博客
12-28 2553
SpringSecurity Web 权限方案 设置登录系统的账号、密码 方式一:在 application.properties spring.security.user.name=ezio spring.security.user.password=1234 方式:编写类实现接口 @Service("userDetailsService") public class UserDetailServiceImpl i..
Spring security中使用自定义实现类定义登陆权限账号密码
godkzz的博客
08-22 307
mybatis的trim标签一般用于去除sql语句中多余的and关键字,逗号,或者给sql语句前拼接 “where“、“set“以及“values(“ 等前缀,或者添加“)“等后缀,可用于选择性插入、更新、删除或者条件查询等操作。 以下是trim标签中涉及到的属性: 属性 描述 prefix 给sql语句拼接的前缀 suffix 给sql语句拼接的后缀 prefixOverrides 去除sql语句前面的关键字或者字符,该关键字或者字符由prefixOverrides属性指定,假设该...
Java Spring Security 安全框架:(四)PasswordEncoder 密码解析器详解
地球村
10-10 2749
PasswordEncoder 密码解析器详解1.接口介绍2.内置解析器介绍3.BCryptPasswordEncoder 简介4.代码演示 Spring Security 要求容器中必须有 PasswordEncoder 实例。所以当自定义登录逻辑时要求必须给容器注入 PaswordEncoder 的 bean 对象 1.接口介绍 encode():把参数按照特定的解析规则进行解析 matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回 true;如果不匹配
Spring Security PasswordEncoder 密码校验和密码加密流程
热门推荐
hdfg159的专栏
05-29 1万+
Spring Security PasswordEncoder 密码校验和密码加密流程 本文使用的源码是 Spring Security 5.1.2 http://central.maven.org/maven2/org/springframework/security/spring-security-core/5.1.2.RELEASE/spring-security-core-5.1.2.R...
详解springSecurity之java配置篇
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架...我们可以使用 Spring Security 之 Java 配置篇来保护基于 Java 的 Web 应用程序,包括自定义登陆页面、使用多用户、过滤器顺序等。
Spring Security基本配置方法解析
08-25
Spring Security基本配置方法解析 Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的标准。Spring Security是一个专注于为Java应用程序提供身份验证...
Spring Security UserDetails实现原理详解
09-07
理解`UserDetails`和`UserDetailsService`的工作原理对于有效地定制和扩展Spring Security的安全策略至关重要。通过深入学习和实践,我们可以更好地掌握Spring Security,确保应用程序的安全性。
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的安全管理解决方案。而OAuth2则是一种开放标准,用于授权第三方应用访问用户的数据。在前后端分离的架构中,OAuth2常常用于处理用户登录验证,...
Spring Security Remember me使用及原理详解
08-25
Spring Security Remember me使用及原理详解 Spring Security是一个广泛使用的安全框架,提供了许多功能来保护Web应用程序。在这些功能中,Remember me是其中的一个重要组件。它允许用户在登录时选择“记住我”,...
java中Spring Security的实例详解
08-29
Spring Security 使用一系列过滤器来处理请求,包括 `SecurityContextPersistenceFilter`(保存和恢复安全上下文)、`UsernamePasswordAuthenticationFilter`(处理表单登录)以及 `CsrfFilter`(防止 CSRF 攻击)...
项目中遇到的一些问题总结(一)
m0_51431003的博客
05-11 745
自定义密码校验流程需要实现Spring Security提供的PasswordEncoder接口,并将其注册到Spring容器中。然后在Spring Security的配置中指定使用自定义的PasswordEncoder即可。具体步骤如下:实现PasswordEncoder接口,实现encode()和matches()方法,用于加密和验证密码。将自定义的PasswordEncoder实例注入到Spring容器中,可以使用@Component或@Bean注解。} }
用户信息登录相关配置代码模块
写bug的程序鱼
08-15 318
​}​@Override//获取到用户名和密码//封装对象,目的是调用Manager//调用Manager的authenticate}}
Spring Security
weixin_50526770的博客
09-08 292
SpringBoot2核心技术与响应式编程 简介 SpringBoot能够简化整合spring所有生态圈框架,可以免于写繁重的配置文件等,让程序员更加专注于业务逻辑,SpringBoot0是整合Spring技术栈的一站式框架,SpringBoot是简化Spring技术栈的快速开发脚手架 作用:快速创建出生产级别的Spring应用 优点: ​ chuang00jian0独立Spring应用 ​ 内嵌web服务器 ​ 自动starter依赖,简化构建配置 ​ 自动配置Spring以及第三方功能 ​ tigong
spring security 扩展 UserDetailsService 同时根据手机号或用户名查询
04-09
UserDetails 的实现,你能给出一个示例吗? 当然,我可以为您提供一个示例。在自定义 UserDetailsService 中实现根据手机号或用户名查询 UserDetails 的方法,示例代码如下: ```java @Service("userDetailsService") public class CustomUserDetailsService implements UserDetailsService { private final UserRepository userRepository; @Autowired public CustomUserDetailsService(UserRepository userRepository) { this.userRepository = userRepository; } @Override public UserDetails loadUserByUsername(String usernameOrMobile) throws UsernameNotFoundException { User user = userRepository.findByUsernameOrMobile(usernameOrMobile, usernameOrMobile) .orElseThrow(() -> new UsernameNotFoundException("User with username/mobile not found.")); return new CustomUserDetails(user); } } ``` 该示例中,我们使用 UserRepository 查询数据库中的 User 实体,通过 findByUsernameOrMobile 方法实现根据手机号或用户名查询用户信息的功能,并将其转化为 Spring Security 所需的 UserDetails 对象。这样,我们就可以在实现 UserDetailsService 时,轻松地实现根据手机号或用户名查询 UserDetails 的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

plenilune-望月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值