Spring-security提供的认证方式(一)

最新推荐文章于 2024-07-24 15:40:36 发布
最新推荐文章于 2024-07-24 15:40:36 发布
阅读量481 收藏
点赞数
分类专栏: spring-security 文章标签: spring-security 认证方式 authenticatioinProvider UserDetailsService JdbcDaoImpl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_4809/article/details/82619569
版权

  AuthenticationProvider

 

public interface AuthenticationProvider {
    Authentication authenticate(Authentication authentication) throws AuthenticationException;
    boolean supports(Class<?> authentication);
}

   该接口是开始认证的入口,传入用户输入的用户名密码到authenticate方法中进行验证,通过认证就返回用户完整的信息,若认证过程中有任何的错误,就直接抛出AuthenticationException。接下来实现一个简单的AuthenticationProvider:

 

 1. 项目security.xml中添加如下代码:

<security:authentication-manager>
     <security:authentication-provider ref='myAuthenticationProvider'/>
</security:authentication-manager>

 

 2. 创建java类MyAuthenticationProvider 实现AuthenticationProvider接口:

 

@Component
public class MyAuthenticationProvider implements AuthenticationProvider {
    @Override
    public boolean supports(Class<?> authentication) {
        return (UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication));
    }
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        if (!"silentwu".equals(username)) {
            throw new UsernameNotFoundException("用户不存在");
        }
        if (!"123456".equals(password)) {
            throw new BadCredentialsException("密码错误");
        }
        return new UsernamePasswordAuthenticationToken(authentication.getPrincipal(), authentication.getCredentials(),
                Arrays.asList(new SimpleGrantedAuthority("ROLE_USER")));
    }
}

 

   用户在登录界面中输入用户名:silentwu  密码:123456   那么通过认证,否则返回对应的错误信息。

 

  UserDetailsService

   

public interface UserDetailsService { 
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

   这个接口是认证过程的重要接口,只有一个方法,就是通过用户的唯一标识获取到用户的完整信息,包括密码和权限等。接着来看一个简单的实现:

 

 

 

 1. 在security.xml中添加如下代码:

 

<security:authentication-manager>
    <security:authentication-provider user-service-ref='myUserDetailsService'/>
</security:authentication-manager>

 

    2.   创建Java类MyUserDetailsService ,实现UserDetailsService

@Component
public class MyUserDetailsService implements UserDetailsService {
   @Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return new User("silentwu", "123456", Arrays.asList(new SimpleGrantedAuthority("ROLE_USER")));
    }

}

   在这个类中直接返回一个User对象,用户名是silentwu,密码是123456,对应用户输入的信息是否正确的检测,spring-security已经帮我们检测了

 

  JdbcDaoImpl

   通常情况下我们的用户数据都是存放到数据库中的,那么在用户登录的时候需要查询数据库进行验证,spring-security通过JdbcDaoImpl实现了这个功能,JdbcDaoImpl是UserDetailsService的一个子类。

 

<!--[if !supportLists]-->1.       

         1.   <!--[endif]-->在数据库中执行如下代码:

CREATE TABLE users(
    username VARCHAR(50) NOT NULL PRIMARY KEY,
    PASSWORD VARCHAR(50) NOT NULL,
    enabled BOOLEAN NOT NULL
);

CREATE TABLE authorities (
    username VARCHAR(50) NOT NULL,
    authority VARCHAR(50) NOT NULL,
    CONSTRAINT fk_authorities_users FOREIGN KEY(username) REFERENCES users(username)
);
CREATE UNIQUE INDEX ix_auth_username ON authorities (username,authority);
insert  into `authorities`(`username`,`authority`) values ('silentwu','ROLE_USER');
insert  into `users`(`username`,`password`,`enabled`) values ('silentwu','12345',1);

   

 2. 在security.xml中添加代码:

   <security:authentication-provider>
      <security:jdbc-user-service data-source-ref="securityDataSource"/>
       </security:authentication-provider>
</security:authentication-manager>

 或者

<security:authentication-manager>
    <security:authentication-provider user-service-ref='myUserDetailsService'/>
</security:authentication-manager>
<bean id="myUserDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
    <property name="dataSource" ref="securityDataSource"/>
</bean>

 这两种方式都是同样的效果

 这样JdbcDaoImpl配置就完成了,很简单。

 原理:

    首先通过用户提交的用户名查询出用户信息,若没有查询到用户,那么就抛出UsernameNotFoundException

    通过查询出来的用户去查询用户的权限表,获取用户的权限

    创建UserDetails,返回

 

 

spring-security-oauth2
03-17
Spring Security OAuth2将两者结合,为开发人员提供了一种安全、灵活的方式来实现OAuth2授权流程。 一、Spring Security OAuth2概述 Spring Security OAuth2是Spring Security框架的一个扩展,旨在支持OAuth2协议...
【Spring Security】实现多种认证方式
hui_ss的博客
12-13 2533
首先针对每一种登录方式,我们可以定义其对应的认证AuthenticationProvider,以及对应的认证信息Authentication实际场景中这两个一般是配套使用。认证AuthenticationProvider有一个认证方法authenticate(),我们需要实现该认证方法,认证成功之后返回认证信息Authentication。
SpringSecurity用户认证
m0_62787705的博客
06-06 840
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括**用户认证Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
SpringSecurity认证流程(超级详细)
qq_34091529的博客
06-27 8166
最近开发项目的时候遇到了和SpringSecurity相关的一些问题,但是之前并没有去了解过SpringSecurity,导致改系统安全权限验证的时候就比较吃力了,目前项目开发大多都直接用脚手架直接开发,系统安全权限验证已经形成了,所以并不是自己写的,自己理解起来会更慢一些,所以这篇文章就是为了分析SpringSecurity的认证流程而写的。
springsecurity_Spring Security
weixin_39639514的博客
11-26 281
Spring Security一、 Spring Security 简介 1 概括Spring Security 是一个高度自定义的安全框架。利用 Spring IoC/DI 和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中...
Spring Security 如何实现身份认证和授权?
u013749113的博客
05-21 3086
Spring Security 是一个非常强大的安全框架,可以为 Spring Boot 应用提供完整的身份认证和授权功能。本文介绍了 Spring Security 如何实现身份认证和授权,并提供了示例代码。使用 Spring Security 可以非常方便地保护应用程序,防止恶意攻击和数据泄露。
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
spring-security-oauth2文档
03-26
Spring Security OAuth2 Boot 2.6.8作为Spring Security OAuth2支持的最后一个版本,为开发者提供了在Spring Boot项目中实现OAuth2认证授权功能的便捷途径。通过合理的依赖管理和配置,可以快速构建出安全可靠的授权...
spring-Security-oauth2.zip
05-26
Spring Security OAuth2 是一个强大的框架,用于在Spring应用程序中实现安全性和身份验证。OAuth2 是一个授权框架,允许第三方应用获取有限的访问权限到受保护的资源,而无需分享用户名和密码。本压缩包文件“spring...
spring-security-digest:spring-security 与摘要认证示例
06-21
在这个特定的示例 "spring-security-digest" 中,我们关注的是摘要认证(Digest Authentication),这是一种比基本认证更安全的身份验证机制,因为它不直接在请求中传递明文密码。 摘要认证的基本原理是,服务器向...
Markdonw语法
吴大侠的博客
11-25 2621
[TOC] Spring Security功能的实现主要是由一系列过滤器相互配合完 成。也称之为过滤器链,Spring Security默认加载15个过滤器, 但是随着配置可以增加或者删除一些过滤器. 一、过滤器链介绍 过滤器是一种典型的AOP思想,下面简单了解下这些过滤器链,后续再源码剖析中在涉及到过滤器链在 仔细讲解 1.org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter 根据
Spring Security 用户认证方式
qq_60458298的博客
03-22 1073
这里的角色只是一个字符串,可以自定义,可以根据自己的业务需要指定不同的角色。在configure(AuthenticationManagerBuilder auth)方法中,我们使用ldapAuthentication()方法来启用基于LDAP的认证,并通过userDnPatterns()方法来指定用户DN的格式,groupSearchBase()方法和groupRoleAttribute()方法用于指定LDAP中的组信息,contextSource()方法用于指定LDAP服务器的URL和管理员账号密码。
【spring security】认证过程详解
欢迎来到【战羽】的博客
11-15 1169
spring security 主要有两大功能,即认证和授权 1、security是如何认证账号的: 验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法 Authentication authenticate(Authentication authentication) thr...
Spring Security学习笔记(二)Spring Security认证和鉴权
最新发布
飞!!!的博客
07-24 1595
用户认证的基础Filter,只有UsernamePasswordAuthenticationFilter这一个实现类。...//主要方法//先校验请求url与表单校验提交的url是否一致,不一致执行下一个Filter//一致的话就执行认证逻辑,一般默认的表单提交url是"/login"if (!} else {try {//实现类执行具体的认证逻辑return;//由子类实现具体的验证逻辑...
Spring Security 认证
qq_41860765的博客
03-10 744
目前我们测试通过OAuth2的密码模式,用户认证会提交账号和密码,由DaoAuthenticationProvider调用UserDetailsService的loadUserByUsername()方法获取UserDetails用户信息。我们可以在loadUserByUsername()方法上作文章,将用户原来提交的账号数据改为提交json数据,json数据可以扩展不同认证方式所提交的各种参数。有了这些认证参数我们可以定义一个认证Service接口去进行各种方式认证。定义认证Service 接口。
Spring Security实现多种方式认证
luoxuhuan_的博客
10-15 570
Spring Security的多种认证方式
史上最简单的Spring Security教程(二十六):DaoAuthenticationProvider详解
热门推荐
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProviderAuth...
spring security 认证简介
Littlemotor
08-05 1731
spring security的核心功能:认证和授权,认证就是身份验证(你是谁?),授权就是访问控制(你可以做什么?),同时他还提供很多安全管理的周边功能。在Spring Security的架构设计中,认证Authentication)和授权(Authorization)是分开的,本篇文章主要涉及认证相关的功能和原理介绍。...............
看清spring security 认证流程,自定义认证方式
麻雀的博客
01-30 2084
读懂spring security认证的具体实现,自定义认证方式可支持多种登录模式
Spring-Security框架详解:安全访问控制
Spring Security的发展历程反映了其在安全领域的持续演进和适应性,它提供了从3.0版本开始的一系列更新,以满足不断变化的安全需求。 Spring Security的核心优点在于它将安全性设计与业务逻辑分离,使得开发者可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值