spring security 3 自定义(一)

最新推荐文章于 2023-03-21 11:47:18 发布
最新推荐文章于 2023-03-21 11:47:18 发布
阅读量2.1k 收藏 5
点赞数
分类专栏: spring 文章标签: spring Spring

如果你没有用过自定义的验证的话,你的资源和资源应该有的权限都应该还是在配置文件中配置的。

类似这样:

1.

复制代码 
    <http auto-config="true" lowercase-comparisons="false">
        <intercept-url pattern="/images/**" filters="none"/>
        <intercept-url pattern="/styles/**" filters="none"/>
        <intercept-url pattern="/scripts/**" filters="none"/>
        <intercept-url pattern="/app/admin/**" access="ROLE_ADMIN"/>
        <intercept-url pattern="/app/passwordHint*" access="ROLE_ANONYMOUS,ROLE_ADMIN,ROLE_USER"/>
        <intercept-url pattern="/app/signup*" access="ROLE_ANONYMOUS,ROLE_ADMIN,ROLE_USER"/>
        <intercept-url pattern="/app/**" access="ROLE_ADMIN,ROLE_USER"/>
        <form-login login-page="/login" authentication-failure-url="/login?error=true" login-processing-url="/j_security_check"/>
        <remember-me user-service-ref="sysUserDao" key="e37f4b31-0c45-11dd-bd0b-0800200c9a66"/>
    </http>
复制代码

2.你的用户角色权限也应该像这样,是在配置文件中配置的或者是按照标准的数据库指定到一个数据源。

类似这样:

<authentication-manager> 
    <authentication-provider>   
    <jdbc-user-service data-source-ref="securityDataSource"/> 
    </authentication-provider>
 </authentication-manager>

要做一个自定义的验证过程,就是要替换这些。

  如果要实现自定义的这个过程理论上security第一步是根据你的配置文件去数据库中读取相应的资源和权限的对应关系。但是作为我们用户而言,总是从登陆开始。所以先讲如何替换用户登陆时候的过程。

  在非自定义的情况下,security是这样帮我们去验证的。

  当用户输入用户名密码之后,提交到一个controller去验证,这个验证的过程是:

  先看你的配置文件是直接配置用户名密码在资源文件中或者是在他给你的标准表中(也就是直接指定的datasource)然后进行验证。

   替换用户登陆时候的过程,也就是把这一步换成我们自己写的逻辑,不用框架去提取用户的信息判断。看实现。

       首先建一个实体类,这个实体类呢必须实现UserDetails 接口:

复制代码 
package cn.com.xinma.frame.model;

import org.compass.annotations.Searchable;
import org.compass.annotations.SearchableComponent;
import org.compass.annotations.SearchableId;
import org.compass.annotations.SearchableProperty;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.Collections;
import java.util.Comparator;
import java.util.HashSet;
import java.util.Set;
import java.util.SortedSet;
import java.util.TreeSet;

import javax.persistence.CascadeType;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.Id;
import javax.persistence.OneToMany;
import javax.persistence.Table;
import javax.persistence.Transient;

import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;

import javax.xml.bind.annotation.XmlRootElement;

import java.io.Serializable;

/**
 * 系统用户登录信息
 * 
 * @author guolc
 * 
 */
@SuppressWarnings("serial")
@Entity
@Table(name = "sys_user")
@Searchable
@XmlRootElement
public class SysUser extends BaseObject implements Serializable, UserDetails {
    private static class AuthorityComparator implements
            Comparator<GrantedAuthority>, Serializable {
        public int compare(GrantedAuthority g1, GrantedAuthority g2) {
            // Neither should ever be null as each entry is checked before
            // adding it to the set.
            // If the authority is null, it is a custom authority and should
            // precede others.
            if (g2.getAuthority() == null) {
                return -1;
            }

            if (g1.getAuthority() == null) {
                return 1;
            }

            return g1.getAuthority().compareTo(g2.getAuthority());
        }
    }

    private static SortedSet<GrantedAuthority> sortAuthorities(
            Collection<GrantedAuthority> authorities) {
        // Assert.notNull(authorities,
        // "Cannot pass a null GrantedAuthority collection");
        // Ensure array iteration order is predictable (as per
        // UserDetails.getAuthorities() contract and SEC-717)
        SortedSet<GrantedAuthority> sortedAuthorities = new TreeSet<GrantedAuthority>(
                new AuthorityComparator());

        for (GrantedAuthority grantedAuthority : authorities) {
            // Assert.notNull(grantedAuthority,
            // "GrantedAuthority list cannot contain any null elements");
            sortedAuthorities.add(grantedAuthority);
        }

        return sortedAuthorities;
    }

    private boolean accountNonExpired;
    private boolean accountNonLocked;
    
    private boolean credentialsNonExpired;
    public void setAuthorities(Set<GrantedAuthority> authorities) {
        this.authorities = authorities;
    }

    private boolean enabled = true;

    // 实现了UserDetails之后的相关变量
    private Set<GrantedAuthority> authorities = new HashSet<GrantedAuthority>(0);
    
    private String password;

    private String personId;

    private Set<SysGroupMember> sysGroupMembers = new HashSet<SysGroupMember>(0);

    private Set<SysPmenu> sysPmenus = new HashSet<SysPmenu>(0);

    private Set<SysUserRole> sysUserRoles = new HashSet<SysUserRole>(0);

    private String sysuserIsValid;

    private String sysuserLoginname;

    private String sysuserPassword;

    private String username;

    public SysUser() {

    }

    public SysUser(String userId, String userAccount, String userPassword,
            Boolean enabled, Set<SysUserRole> sysUsersRoleses,
            boolean accountNonExpired, boolean credentialsNonExpired,
            boolean accountNonLocked, Collection<GrantedAuthority> authorities) {

        if (((userAccount == null) || "".equals(userAccount))
                || (userPassword == null)) {
            throw new IllegalArgumentException(
                    "Cannot pass null or empty values to constructor");
        }

        this.personId = userId;
        this.sysuserLoginname = userAccount;

        this.sysuserPassword = userPassword;

        this.sysUserRoles = sysUsersRoleses;
        this.username = userAccount;
        this.password = userPassword;

        this.accountNonExpired = accountNonExpired;
        this.credentialsNonExpired = credentialsNonExpired;
        this.accountNonLocked = accountNonLocked;
        this.authorities = Collections
                .unmodifiableSet(sortAuthorities(authorities));
    }

    public boolean equals(Object o) {
        if (!(o instanceof SysUser) || (o == null)) {
            return false;
        }

        SysUser user = (SysUser) o;

        // 具有的权限。
        if (!authorities.equals(user.authorities)) {
            return false;
        }

        // 通过Spring Security构建一个用户时,用户名和密码不能为空。
        return (this.getPassword().equals(user.getPassword())
                && this.getUsername().equals(user.getUsername())
                && (this.isAccountNonExpired() == user.isAccountNonExpired())
                && (this.isAccountNonLocked() == user.isAccountNonLocked())
                && (this.isCredentialsNonExpired() == user
                        .isCredentialsNonExpired()) && (this.isEnabled() == user
                .isEnabled()));
    }

    @Override
    @Transient
    // @OneToMany
    public Collection<GrantedAuthority> getAuthorities() {
        // TODO Auto-generated method stub
        return this.authorities;
    }

    @Override
    @Transient
    public String getPassword() {
        // TODO Auto-generated method stub
        return this.password;
    }

    @Id
    @SearchableId
    @Column(name = "PERSON_ID", unique = true, nullable = false, length = 20)
    public String getPersonId() {
        return this.personId;
    }

    @OneToMany(cascade = CascadeType.ALL, fetch = FetchType.LAZY, mappedBy = "sysUser")
    public Set<SysGroupMember> getSysGroupMembers() {
        return this.sysGroupMembers;
    }

    @OneToMany(cascade = CascadeType.ALL, fetch = FetchType.LAZY, mappedBy = "sysUser")
    public Set<SysPmenu> getSysPmenus() {
        return this.sysPmenus;
    }

    @Column(name = "sysuser_is_valid", nullable = false, length = 6)
    public String getSysuserIsValid() {
        return this.sysuserIsValid;
    }

    @Column(name = "sysuser_loginname", nullable = false, length = 60)
    @SearchableProperty
    public String getSysuserLoginname() {
        return this.sysuserLoginname;
    }

    @Column(name = "sysuser_password", nullable = false, length = 60)
    @SearchableProperty
    public String getSysuserPassword() {
        return this.sysuserPassword;
    }

    @OneToMany(cascade = CascadeType.ALL, fetch = FetchType.LAZY, mappedBy = "sysUser")
    // @Transient
    public Set<SysUserRole> getSysUserRoles() {
        return this.sysUserRoles;
    }

    @Override
    @Transient
    public String getUsername() {
        // TODO Auto-generated method stub
        return this.username;
    }

    public int hashCode() {
        int result = 0;
        result = (sysuserLoginname != null ? sysuserLoginname.hashCode() : 0);
        result = 31 * result
                + (sysuserPassword != null ? sysuserPassword.hashCode() : 0);
        result = 31 * result
                + (sysuserIsValid != null ? sysuserIsValid.hashCode() : 0);

        return result;
    }

    @Override
    @Transient
    public boolean isAccountNonExpired() {
        // TODO Auto-generated method stub
        return this.accountNonExpired;
    }

    @Override
    @Transient
    public boolean isAccountNonLocked() {
        // TODO Auto-generated method stub
        return this.accountNonLocked;
    }

    @Override
    @Transient
    public boolean isCredentialsNonExpired() {
        // TODO Auto-generated method stub
        return this.credentialsNonExpired;
    }

    @Override
    @Transient
    public boolean isEnabled() {
        
        
        return true;
    }

    public void setAccountNonExpired(boolean accountNonExpired) {
        this.accountNonExpired = accountNonExpired;
    }

    public void setAccountNonLocked(boolean accountNonLocked) {
        this.accountNonLocked = accountNonLocked;
    }

    public void setAuthorities(Collection<GrantedAuthority> authorities) {
        this.authorities = (Set<GrantedAuthority>) authorities;
    }

    public void setCredentialsNonExpired(boolean credentialsNonExpired) {
        this.credentialsNonExpired = credentialsNonExpired;
    }

    public void setEnabled(boolean isEnabled) {
        this.enabled = isEnabled;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setPersonId(String personId) {
        this.personId = personId;
    }

    public void setSysGroupMembers(Set<SysGroupMember> sysGroupMembers) {
        this.sysGroupMembers = sysGroupMembers;
    }

    public void setSysPmenus(Set<SysPmenu> sysPmenus) {
        this.sysPmenus = sysPmenus;
    }

    public void setSysuserIsValid(String sysuserIsValid) {
        this.sysuserIsValid = sysuserIsValid;
    }

    public void setSysuserLoginname(String sysuserLoginname) {
        this.sysuserLoginname = sysuserLoginname;
    }

    public void setSysuserPassword(String sysuserPassword) {
        this.sysuserPassword = sysuserPassword;
    }

    public void setSysUserRoles(Set<SysUserRole> sysUserRoles) {
        this.sysUserRoles = sysUserRoles;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String toString() {
        StringBuffer sb = new StringBuffer(getClass().getSimpleName());

        sb.append(" [");
        sb.append("personId").append("='").append(getPersonId()).append("', ");
        sb.append("sysuserLoginname").append("='")
                .append(getSysuserLoginname()).append("', ");
        sb.append("sysuserPassword").append("='").append(getSysuserPassword())
                .append("', ");
        sb.append("sysuserIsValid").append("='").append(getSysuserIsValid())
                .append("', ");

        sb.append("]");

        return sb.toString();
    }
    
    

}
复制代码

这个实体类是项目里用的,比较长可能看起来比较复杂,有很多对多的关系等等,做几个说明:对新手来说很重要

首先你实现了这个UserDetails 接口之后 只会有这么几个方法。

复制代码 
package cn.com.xinma.frame.model;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

public class tt implements UserDetails {

    @Override
    public Collection<GrantedAuthority> getAuthorities() {
        // TODO Auto-generated method stub
        return null;
    }

    @Override
    public String getPassword() {
        // TODO Auto-generated method stub
        return null;
    }

    @Override
    public String getUsername() {
        // TODO Auto-generated method stub
        return null;
    }

    @Override
    public boolean isAccountNonExpired() {
        // TODO Auto-generated method stub
        return false;
    }

    @Override
    public boolean isAccountNonLocked() {
        // TODO Auto-generated method stub
        return false;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        // TODO Auto-generated method stub
        return false;
    }

    @Override
    public boolean isEnabled() {
        // TODO Auto-generated method stub
        return false;
    }

}
复制代码

这些方法你必须给他正确的返回值就可以了,至于你要定义哪些属性,封装哪些属性,完全可以自己去实现。举个简单的例子。

你数据库里的用户密码字段是pwd 你在上面这个实体类中定义了一个变量是private string pwd; 然后你还封装了这个属性(geter seter)

这样没问题,但是你必须保证重写的那个getPassword方法就是返回的正确的密码值。

 

  第二步 建一个service 实现UserDetailsService接口。

   实现UserDetailsService接口之后只会有一个方法:

复制代码 
package cn.com.xinma.frame.model;

import org.springframework.dao.DataAccessException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

public class tt implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String arg0)
            throws UsernameNotFoundException, DataAccessException {
        // TODO Auto-generated method stub
        return null;
    }

}
复制代码

通过一个用户名去获得用户的一个详细信息相信不用我实现给大家看,需要说明的是这边你需要把用户密码也查出来,返回值就是刚才我们所创建的实体类

我给出项目中的实现:

View Code

代码写完也总得配置才会起效

复制代码 
    <authentication-manager alias="authenticationManager">
        <authentication-provider user-service-ref="UserDetailsService">
            <!-- 用户密码加密 just like 899312{gaobing} to md5 -->
            <password-encoder ref="MyPasswordEncode">
                <salt-source user-property="username" />
            </password-encoder>
        </authentication-provider>
    </authentication-manager>
复制代码

 红色背景指向的是什么大家想想应该就明白了。

这样完成之后用户提交登陆页面的时候就会进入到这个方法,按照你的逻辑去查询用户的信息,最后返回一个实现了userdetail的对象。

如果你看过之前讲密码加密(盐值加密)的话 应该会继续走到你自己定义的密码编辑器那边。

如果你的登陆未成功 , 或者没有进入到你自定义的密码编辑器中,可能是应为在你的实体类中 ,重写的那些方法没有给正确的值。比如isEnabled() 这个方法如果返回的是false,不可用,当然不会继续去判断密码之类

 

好了就这么多 ,讲了蛮多不正确的欢迎纠正。

<script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"></script>

Jlins
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity6 | 自定义登录页面
分享思想,留下痕迹。
12-09 1691
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习通过SpringSecurity的一些自定义配置来完成我们自定义认证规则的一些需求。这篇文章我们主要来介绍一下如何自定义我的登录页面。好了,话不多说让我们开始吧😎😎😎。在我们的pom.xml文件中导入ThymeLeaf依赖。
SpringSecurity6 | 自定义认证规则
最新发布
分享思想,留下痕迹。
12-09 1235
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习了如何修改SpringSecurity默认用户,使用我们自己的自定义的用户名和密码来进行认证登录。但是有时候我们的开发者可能并不是所有的接口都需要进行拦截,就比如,登录,注册接口等这些是不是要进行拦截的,那么如何修改并自定义这些规则。没错这就是我们本节的重点。好了,话不多说让我们开始吧😎😎😎。在SpringSecurity6中,我们原本在原来SpringSecurity实现的方法已经被抛弃,已经完全不能用了。
spring security3教程系列--自定义权限管理
bestlove12345的博客
07-08 2244
spring security3教程系列--自定义权限管理 [plain] view plain copy 本文章摘编、转载需要注明来源 http://write.blog.csdn.net/postedit/8575062   spring security3中的权限管理虽然有文件可配置,但是很多时候我们是需要数据库的支持
spring security 3.1中基于数据库自定义验证授权功能实现
iteye_19426的博客
01-10 98
  一、数据库表有5个:users、roles、perms、users_roles、roles_perms。 大家一看就知道这5个表是做什么用的了。 脚本如下: [sql] view plaincopy /*   Navicat MySQL Data Transfer      Source Server         : localhost_3306  ...
springSecurity报错:Cannot pass a null GrantedAuthority collection
我从不打没有准备的仗!
11-15 883
springSecurity报错:Cannot pass a null GrantedAuthority collection
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
Spring security 自定义密码加密方式的使用范例。
09-15
Spring Security 是一个强大的Java安全框架,它为Web应用程序提供了全面的安全解决方案。在Spring Security中,密码的加密是非常关键的一部分,因为这直接关系到用户数据的安全性。本示例将介绍如何在Spring ...
SpringSecurity学习之自定义过滤器的实现代码
08-26
"SpringSecurity学习之自定义过滤器的实现代码" Spring Security学习之自定义过滤器的实现代码主要介绍了Spring Security学习之自定义过滤器的实现代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有...
解决:java.lang.IllegalArgumentException: Cannot pass a null GrantedAuthority collection
Symon的博客
06-12 3768
深入了解 java.lang.IllegalArgumentException: Cannot pass a null GrantedAuthority collection 异常:IllegalArgumentException: Cannot pass a null GrantedAuthority collection 异常信息: org.springframework.beans.factory.BeanCreationException: Error creating bean with na.
Spring Security认证器实现
jjc4261的博客
06-24 575
目录一些权限框架一般都包含认证器和决策器,前者处理登陆验证,后者处理访问资源的控制Spring Security的登陆请求处理如图下面来分析一下是怎么实现认证器的首先登陆请求会被 拦截,这个过滤器看名字就知道是一个拦截用户名密码的拦截器主要的验证是在 方法里,他会去获取在请求中的用户名密码,并且创建一个该用户的上下文,然后在去执行一个验证过程 可以看看 这个类,他是继承了 ,然后这个父类实现了 由这个类的方法和属性可得知他就是存储用户验证信息的,认证器的主要功能应该就是验证完成后填充这个类回到
SpringSecurity权限控制
qq_61544409的博客
03-21 7523
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
五、Spring Security使用数据库数据完成认证
付之一笑的专栏
08-25 697
一、认证流程分析 1.1、UsernamePasswordAuthenticationFilter // // Source code recreated from a .class file by IntelliJ IDEA // (powered by FernFlower decompiler) // package org.springframework.security.web.authentication; import javax.servlet.http.HttpServletReque
springboot-shiro用户登录鉴权
weixin_47681367的博客
12-11 653
springboot-shiro用户登录鉴权;重定向login.jsp
Spring Security学习笔记
waooi的博客
04-05 4056
目录 1.基础概念 1)认证授权会话 2)授权的数据模型 3)RBAC 2.Spring Security简单实现 3.UserDetailsService 1.基础概念 1)认证授权会话 认证概念: 认证就是对用户的身份进行确认,比如我们登录QQ需要输入账号和密码,而这个过程就是认证. 用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时要求验证用户的身份信息,身份合法可以继续访问,不合法则拒绝访问,常见的用户身份验证方式有:用户密码登录,二维码登录
SpringBoot集成SpringSecurity - 入门(一)
Lambda
07-23 392
源码地址:https://github.com/springsecuritydemo/microservice-auth-center01 无论是在生活还是在 WEB 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能需求,但是应该在应用开启初期就考虑进来。如果在应用开发的后期才考虑安全问题,就可能陷入一个两难的境地: 一方面,应用存在严重的安全漏洞,无法满足用户的...
Spring Security 3.1 自定义 authentication provider
xyzroundo的专栏
07-26 1274
来源:http://www.xeclipse.com/?p=1359 前言 在使用Spring Security的时候,遇到一个比较特殊的情况,需要根据用户名、邮箱等多个条件去验证用户或者使用第三方的验证服务来进行用户名和密码的判断,这样SS(Spring Security,一下简称SS)内置的authentication provider和user detail se
spring security3 xml配置详细说明注释
daizi_xiao的专栏
07-02 2984
由于xiang
Spring Security 3.0 自定义数据库表结构实践
"Spring Security 3.0 自定义表结构" Spring Security 3.0 是一个基于 Java 的安全框架,它提供了一个灵活的安全解决方案,允许开发者轻松地在应用程序中实现身份验证和授权机制。然而,在实际项目中,开发者往往...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值