SpringSecurity(一)表单登录之登录认证

最新推荐文章于 2024-06-15 16:48:03 发布
最新推荐文章于 2024-06-15 16:48:03 发布
阅读量559 收藏
点赞数
分类专栏: 学习 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangwen001/article/details/108066719
版权

SpringSecurity(一)表单登录之登录认证

springsecurity是spring推荐的安全权限框架,今天我们来看看它的原理,后面会放github地址
springsecurity包含了两部分:登录认证和访问授权
1.登录认证
–首先我们来看看表单登录,表单登录需要在security配置类里面配置HttpSecurity 的 formLogin

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()
            .authorizeRequests()
        // 首页和登录页面
        .antMatchers("/").permitAll()
        // 其他所有请求需要身份认证
        .anyRequest().authenticated()
        // 配置登录认证
        .and().formLogin().loginProcessingUrl("/login");
    }
}

不配置HttpSecurity 的 formLogin也可以,可以在配置里再加上最后一句,在
JwtLoginFilter里面继承UsernamePasswordAuthenticationFilter也可以

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()
            .authorizeRequests()
        // 首页和登录页面
        .antMatchers("/").permitAll()
        // 其他所有请求需要身份认证
        .anyRequest().authenticated()
        // 配置登录认证
        .and().formLogin().loginProcessingUrl("/login");
        // 开启登录认证流程过滤器
        http.addFilterBefore(new JwtLoginFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
    }
}

为什么表单登录要在配置类配置formLogin呢?
不要急,我们来看看formLogin里面做了哪些操作:
点进去我们会看到这一段代码
在这里插入图片描述
发现它会返回一个FormLoginConfigurer对象,我们点进去会看到
在这里插入图片描述
发现里面有绑定一个UsernamePasswordAuthenticationFilter过滤器,进去擦查看
在这里插入图片描述
如果你的请求地址是/login,并且为post请求,那么就会被这个过滤器所拦截,
这就是我们上面配置类的那两个方法为什么需要那样配置的原因。
接下来我们继续看被这个过滤器拦截之后做了哪些操作:
首先,UsernamePasswordAuthenticationFilter继承了AbstractAuthenticationProcessingFilter,父类里面的doFilter如图
在这里插入图片描述
建议大家跟着点击进去查看里面的相关逻辑,我们先来看里面的主要操作
1.authResult = attemptAuthentication(request, response);
此方法由其子类继承所实现,我们这里用的是表单登录,由UsernamePasswordAuthenticationFilter重写里面的逻辑,其他登录方式可以通过继承AbstractAuthenticationProcessingFilter重写实现具体逻辑。然后我们回到子类UsernamePasswordAuthenticationFilter里attemptAuthentication的相关逻辑:
在这里插入图片描述
重写这里可以自己定义token。
我们看最后一行代码
return this.getAuthenticationManager().authenticate(authRequest);
调用的是AuthenticationManager 的authenticate方法,AuthenticationManager 是一个接口,它有一个默认的实现类ProviderManager,而ProviderManager委托给了AuthenticationProvider的authenticate方法有许多繁衍出来的类
在这里插入图片描述
AbstractUserDetailsAuthenticationProvider是其中的一个实现类,定义了较为统一的验证逻辑,我们可以继承这个类完成各种验证。我们来看看AbstractUserDetailsAuthenticationProvider

public Authentication authenticate(Authentication authentication) throws AuthenticationException {// Determine username
        String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        UserDetails user = this.userCache.getUserFromCache(username);
        if (user == null) {
            cacheWasUsed = false;
            try {
          // 子类根据自身情况从指定的地方加载认证需要的用户信息
                user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
            }
            ...try {
       // 前置检查,一般是检查账号状态,如是否锁定之类
            preAuthenticationChecks.check(user);

       // 进行一般逻辑认证,如 DaoAuthenticationProvider 实现中的密码验证就是在这里完成的
            additionalAuthenticationChecks(user, (UsernamePasswordAuthenticationToken) authentication);
        }
        ...

     // 后置检查,如可以检查密码是否过期之类
        postAuthenticationChecks.check(user);

     ...
     // 验证成功之后返回包含完整认证信息的 Authentication 对象
        return createSuccessAuthentication(principalToReturn, authentication, user);
    }

它是利用retrieveUser来获取认证的
在这里插入图片描述
retrieveUser里面只有一个方法,loadUserByUsername(String username),一般需要我们实现此接口方法,根据用户名加载登录认证和访问授权所需要的信息,并返回一个 UserDetails的实现类,后面登录认证和访问授权都需要用到此中的信息。
2.successfulAuthentication
登陆成功后,将认证后的 Authentication 对象存储到请求线程上下文,这样在授权阶段就可以获取到 Authentication 认证信息,并利用 Authentication 内的权限信息进行访问控制判断
在这里插入图片描述
重写这里自己生成token,返回前端…

源码地址:
https://github.com/15915972008/start-admin

小黄银技术栈
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 之 登录
悟已往之不谏,知来者之可追
01-24 148
当用户提交他们的用户名和密码时,UsernamePasswordAuthenticationFilter从HttpServletRequest实例中提取用户名和密码,创建一个UsernamePasswordAuthenticationToken,这是一种Authentication的类型。通常情况下,这是一个SimpleUrlAuthenticationSuccessHandler,它会重定向到由ExceptionTranslationFilter保存的请求,当我们重定向到登录页面。
Spring Security中的登录
白小纯的博客
06-08 608
前言 本文将介绍,在spring security中最基本的form登录,以及一些相关的配置。 自定义登录 如果我们不进行配置的话,spring security默认的登录页和登录接口都是/login,只不过一个是get请求一个是post请求而已。 get http://localhost:8080/login.html 访问页面 post http://localhost:8080/login.html 提交form数据 我们也可以把它们独定义出来如下图中: @Configurati
SpringSecurity一:开发基于登录
w1lgy的博客
09-10 277
文章目录一、SpringSecurity基本原理:1、基本原理2、基本代码二、自定义用户认证逻辑1、根据用户名获取用户信息2、处理用户校验逻辑3、处理密码加密解密三、个性化用户认证流程1、自定义登录2、自定义登录成功和失败处理四、认证流程原理详解1、认证流程源码级详解2、认证结果如何在多个请求之间共享3、获取认证用户信息 前言:SpringSecurity系列是比较高级的内容,需要有一定的基础才能学得懂,例如需要熟悉spring系列,熟悉filter和interceptor,还得有实际的开发经验;这个系列的
Spring Security 登录
weixin_34297300的博客
06-18 160
1. 简介 本文将重点介绍使用Spring Security登录。 本文将构建在之前简的Spring MVC示例之上,因为这是设置Web应用程序和登录机制的必不可少的。 2. Maven 依赖 要将Maven依赖项添加到项目中,请参阅Spring Security with Maven一文。 标准的spring-security-web和spring-security-config都是必需的。 ...
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 1477
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
Spring Security:登录
​​
05-25 1236
登录接口 很多初学者分不清登录接口和登录页面,这个我也很郁闷。我还是在这里稍微说一下。 登录页面就是你看到的浏览器展示出来的页面,像下面这个: 登录接口则是提交登录数据的地方,就是登录页面里边的 form 的 action 属性对应的值。 在 Spring Security 中,如果我们不做任何配置,默认的登录页面和登录接口的地址都是 /login,也就是说,默认会存在如下两个请求: GET http://localhost:8080/login POST http://localhost:8080
SpringSecurity 自定义登录的实现
08-25
其中,自定义登录SpringSecurity 中的一个重要组件,本文将详细介绍如何在 SpringSecurity 中实现自定义登录。 一、 创建 SpringSecurity 项目 首先,我们需要使用 IDEA 创建一个 SpringBoot 项目,并且...
SpringSecurity 默认登录页展示流程
08-25
SpringSecurity 是一个强大的安全框架,用于管理Web应用的安全性,包括认证、授权和访问控制。在本篇文章中,我们将深入探讨SpringSecurity如何展示其默认的登录页面以及背后的流程。 首先,我们要了解的是准备...
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录的数据,验证后返回JWT令牌。 9. **测试Controller**:编写测试用例以确保登录和权限验证功能正常工作。 通过这种方式,Spring ...
Spring Security自定义登录原理及实现详解
09-07
Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权和会话管理。 1. **自定义登录的必要性** 在标准的Spring Security配置中,form登录通常会自动处理,但这可能并...
Spring Security 登录功能的实现方法
08-25
主要介绍了Spring Security 登录,本文将构建在之前简的 Spring MVC示例 之上,因为这是设置Web应用程序和登录机制的必不可少的。需要的朋友可以参考下
[Spring Security] Spring Security基于登录认证
ShotMoon的博客
05-13 1447
1.基本原理SpringSecurity 最核心的部分是由一系列的过滤器组成的过滤器链,每个过滤器都负责处理一种认证方式,请求经过任何一个过滤器过滤后,都会在请求上做一个标记,来记录认证是否成功,最后由FilterSecurityInterceptor根据我们配置的权限来决定是否能通过认证,从而访问我们的服务。今天我们主要使用的是用来处理登录的UsernamePasswordAuthentic...
Spring Security登录认证
lingbomanbu_lyl的博客
11-27 1193
Spring Security是一个强有力并且高度定制化的认证和访问控制框架,致力于为Java应用程序提供认证和授权。 特性: 1、为认证和授权提供综合性和扩展性支持。 2、免受session定位、点击劫持、跨站点请求伪装等攻击。 3、Servelt API集成。 4、与Spring MVC集成   一、Spring Security架构 1、认证 AuthenticationMa...
Security 登陆二
qq_42126105的博客
08-23 220
Spring security自定义登陆
入门SpringSecurity——第一节、登录
weixin_44083561的博客
08-28 207
文章目录SpringSecurity初体验1.新建一个SpringBoot项目,添加Web和SpringSecurity依赖2.写一个接口进行测试2.1.在application.yml中进行配置2.2增加一个配置类![在这里插入图片描述](https://img-blog.csdnimg.cn/0abe5f3b02c649a8b3d4698147b5a8d3.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,t
手摸手教你定制 Spring Security 登录
码猿技术专栏
09-06 308
大家好,我是不才陈某~在本专栏前篇文章中介绍了HttpBasic模式,该模式比较简,只是进行了通过携带Http的Header进行简登录验证,而且没有可以定制的登录页面,所以使用场景比较窄。对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观而且提供多种登录方式。这就需要Spring Security支持我们自己定制登录页面,也就是本文给大家介绍的FormLogin模式登录认...
认证篇:Spring Security 基于登录认证模式
小奇学编程的博客
09-13 606
认证(一):基于登录认证模式 原理探讨 当我们在项目中引入 Spring Security的相关依赖后,默认的就是登录形式;俗话说:“听人劝,吃饱饭”,既然 Spring Security已经给我们安排的明明白白了,我们就从登录开始吧。 在开始之前,我们可以站在 Spring Security的角度上思考:如果我自己来实现登录的功能,那么我需要做哪些工作呢? 就我个人而言,我可能会考虑以下几点: 配置用户信息,存储如账号、密码等;密码不能以明文传输,需要加密功能 执行校验 认证
登录中验证用户登录
weixin_34074740的博客
11-09 443
ono 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3...
使用Spring Security 写一个登录验证
07-22
使用Spring Security来实现登录验证可以确保你的应用程序的安全性。以下是一个基本的示例: 1. 添加Spring Security依赖:在你的项目中,添加Spring Security的依赖项。如果使用Maven,可以在pom.xml文件中添加以下依赖项: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类来配置Spring Security,例如SecurityConfig.java。你可以扩展WebSecurityConfigurerAdapter类,并重写configure方法来定义安全规则。以下是一个简的示例: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() // 允许所有用户访问登录页面 .antMatchers("/admin/**").hasRole("ADMIN") // 需要ADMIN角色才能访问/admin目录下的页面 .anyRequest().authenticated() // 其他请求需要认证 .and() .formLogin() .loginPage("/login") // 指定登录页面的URL .defaultSuccessUrl("/home") // 登录成功后跳转的URL .permitAll() .and() .logout() .logoutUrl("/logout") // 指定登出URL .logoutSuccessUrl("/login") // 登出成功后跳转的URL .permitAll(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}password").roles("ADMIN"); // 在内存中配置一个ADMIN角色的用户 } } ``` 在上述示例中,我们配置了登录页面、认证规则和用户角色。你可以根据实际需要进行自定义配置,例如从数据库中获取用户信息进行认证。 3. 创建登录页面:在你的前端项目中,创建一个登录页面(例如login.html),用于用户输入用户名和密码。登录的action属性应该指向Spring Security配置中的登录URL(例如/login)。 4. 运行应用程序:启动你的应用程序,并访问登录页面。当用户提交登录时,Spring Security将会对用户进行认证,并根据配置的规则决定是否允许访问受保护的资源。 这只是一个简的示例,实际开发中可能还需要考虑更多的安全性措施和实现方式。希望对你有所帮助!如果有任何问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值