【SpringSecurity系列】自定义认证逻辑

最新推荐文章于 2024-08-11 00:57:36 发布
最新推荐文章于 2024-08-11 00:57:36 发布
阅读量349 收藏 2
点赞数
文章标签: java spring 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_pfx/article/details/116453885
版权
本文介绍了SpringSecurity的认证流程,通过分析AuthenticationProvider和DaoAuthenticationProvider,提出了自定义认证的思路,即创建自定义AuthenticationProvider并重写additionalAuthenticationChecks方法,以实现如验证码校验等特定认证逻辑,同时避免破坏原有过滤器链。文章通过代码示例展示了如何实现这一自定义认证过程,并进行了测试验证。
摘要由CSDN通过智能技术生成

今日分享开始啦,请大家多多指教~

有小伙伴会说,自定义认证逻辑还不简单?是的,没错,无论是添加登录验证码还是修改登录数据库格式,都需要对认证逻辑作出调整。

之前我们自定义的一个核心思路就是自定义过滤器,在过滤器中做各种各样我们想做的事。

举一个简单的例子,在添加登录验证码中,我为了校验验证码就自定义了一个过滤器,并把这个自定义的过滤器放入 SpringSecurity 过滤器链中,每次请求都会通过该过滤器。但实际上,只需要登录请求经过该过滤器即可,其他请求是不需要经过该过滤器的,这个时候,大家是不是就发现弊端了。

当然,如果你对性能没有极致追求,这种写法其实也问题不大,毕竟功能已经实现了,但是抱着学习的态度,今天要在前面的基础上给大家介绍一个更加优雅的写法。

1.认证流程简析

AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义:

public interface AuthenticationProvider {
 Authentication authenticate(Authentication authentication)
   throws AuthenticationException;
 boolean supports(Class<?> authentication);
}

可以看到,AuthenticationProvider 中就两个方法:

  • authenticate 方法用来做验证,就是验证用户身份。
  • supports 则用来判断当前的 AuthenticationProvider 是否支持对应的 Authentication。

这里又涉及到一个东西,就是 Authentication。

玩过 Spring Security 的小伙伴都知道,在 Spring Security 中有一个非常重要的对象叫做 Authentication,我们可以在任何地方注入 Authentication 进而获取到当前登录用户信息,Authentication 本身是一个接口,它实际上对 java.security.Principal 做的进一步封装,我们来看下 Authentication 的定义:

public interface Authentication extends Principal, Serializable {
 Collection<? extends GrantedAuthority> getAuthorities();
 Object getCredentials();
 Object getDetails();
 Object getPrincipal();
 boolean isAuthenticated();
 void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

可以看到,这里接口中的方法也没几个,我来大概解释下:

  1. getAuthorities 方法用来获取用户的权限。
  2. getCredentials 方法用来获取用户凭证,一般来说就是密码。
  3. getDetails 方法用来获取用户携带的详细信息,可能是当前请求之类的东西。
  4. getPrincipal 方法用来获取当前用户,可能是一个用户名,也可能是一个用户对象。
  5. isAuthenticated 当前用户是否认证成功。

Authentication 作为一个接口,它定义了用户,或者说 Principal 的一些基本行为,它有很多实现类:在这里插入图片描述
在这些实现类中,我们最常用的就是 UsernamePasswordAuthenticationToken 了,而每一个 Authentication 都有适合它的 AuthenticationProvider 去处理校验。例如处理 UsernamePasswordAuthenticationToken 的 AuthenticationProvider 是 DaoAuthenticationProvider。

所以大家在 AuthenticationProvider 中看到一个 supports 方法,就是用来判断 AuthenticationProvider 是否支持当前 Authentication。

在一次完整的认证中,可能包含多个 AuthenticationProvider,而这多个 AuthenticationProvider 则由 ProviderManager 进行统一管理。

这里我们来重点看一下 DaoAuthenticationProvider,因为这是我们最常用的一个,当我们使用用户名/密码登录的时候,用的就是它,DaoAuthenticationProvider 的父类是 AbstractUserDetailsAuthenticationProvider,我们就先从它的父类看起:

public abstract class AbstractUserDetailsAuthenticationProvider implements
  AuthenticationProvider, InitializingBean, MessageSourceAware {
 public Authentication authenticate(Authentication authentication)
   throws AuthenticationException {
  String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
    : authentication.getName();
  boolean cacheWasUsed = true;
  UserDetails user = this.user
最低0.47元/天 解锁文章
SpringSecurity 自定义认证逻辑
qq_34136709的博客
05-08 579
SpringSecurity 自定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
SpringSecurity 认证逻辑实现
weixin_57801340的博客
07-22 345
自定义登陆逻辑 SpringSecurity支持通过配置文件的方式定义用户信息(账号密码和角色等),但这种方式有明显的缺点,那就是系统上线后,用户信息的变更比较麻烦。因此SpringSecurity还支持通过实现UserDetailsService接口的方式来提供用户认证授权信息,其应用过程如下: 第一步:定义security配置类 /** * 由@Configuration注解描述的类为spring中的配置类,配置类会在spring * 工程启动时优先加载,在配置类中通常会对第三方资源进行初始配置..
Spring Security 自定义认证逻辑
开源世界
01-20 807
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义逻辑,主要包括以下内容: 一个自定义Authentication 实现类,与 UsernamePasswordAuthenticat
springsecurity的学习(三):自定义认证
最新发布
weixin_45037073的博客
08-11 1023
使用springsecurity的基本流程,原理,以及简单的自定义认证的例子
springSecurity自定义认证逻辑
qiuxinfa123的博客
04-14 739
springSecurity入门demo 中,用户信息是放在内存中的,而在真实的项目中,肯定是不会是这样的,一般是都是放在数据库中存储的。示例代码在GitHub中:https://github.com/qiuxinfa/springSecurity-study 。实现如下功能: (1)自定义用户信息的获取 (2)自定义认证成功以及失败后的回调 (3)实现记住我的功能 ...
Spring Security自定义用户认证逻辑
taojin12的博客
05-06 302
Spring Security中,用户的校验逻辑是不需要自己是实现的。但是我们需要通过页面用户输入的信息和数据库的用户信息进行比较。 Spring Security中提供了一个 接口UserDetailsService, 在他的loadUserByUsername方法中,对从数据库获取的用户信息进行封装。 自定义实现UserDetailsService @Component public class MyUserDetailService implements UserDetailsService {
SpringBoot(3)集成Spring Security 5.0.11 自定义认证逻辑
ruyulin的博客
04-06 422
目录Spring Security自定义认证逻辑1.如何处理获取用户信息2.如何处理校验用户信息3.如何处理密码加密解密Spring Security 自定义认证步骤我的环境项目结构项目pom.xmlUserDetailsServiceImplSecurityConfigSecurityApplicationapplication.yml启动测试 Spring Security 框架默认的认证业务...
Springboot +spring security自定义认证器实现验证码功能
weixin_40991408的博客
05-22 914
Springboot +spring security自定义认证器实现验证码功能
SpringSecurity自定义用户认证逻辑
洛阳城下逢公子
01-08 234
一、处理用户信息获取逻辑 用户信息的获取逻辑,在SpringSecurity中是被封装在一个接口后面的,这个接口叫UserDetailsService。这个接口中只有一个方法loadUserByUsername,接收一个String类型的参数,返回一个UserDetails对象。这个方法的作用就是根据用户在前台输入的用户名到数据集合(数据库)中去读取一个用户信息,用户信息最后被封装...
springSecurity自定义用户认证逻辑
足迹人生的博客
01-06 168
springSecruity自定义用户认证逻辑
spring security3.1 实现验证码自定义登录
03-29
NULL 博文链接:https://jw-long.iteye.com/blog/1291866
springsecurity(三) 自定义用户认证逻辑
s297485987的专栏
07-30 170
1>修改security config类 2>注入认证成功,认证失败处理类 3.自定义认证成功处理类 4.自定义认证失败处理类 5.定义用户配置枚举,根据用户配置项决定认证成功/失败是直接跳转还是返回json串 6.自定义登录页面处理接口,根据用户是浏览器访问还是直接调restful api决定返回json字符串还是跳转到登录页 7.自定义读取用户配置类 1>定义读...
Spring Security入门(十六)-自定义用户认证逻辑
上千主上-贝库塔
05-14 389
一.导学 自定义用户认证逻辑 处理用户信息获取逻辑 处理用户校验逻辑 处理密码加密解密 二.处理用户信息获取逻辑 用户信息获取逻辑Spring security中是封装在接口 UserDetailsService里面的 这个接口中只有一个方法 根据用户前面输入的用户名到你的存储(不管是数据库还是什么去读取一个用户信息) 用户信息封装在UserDetails接口对象中的实现类中,登陆成功会把...
用户自定义认证逻辑
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-12 706
上一篇进行了最简单的Spring Security的初始搭建,像用户名和密码都是固定的,这篇就来讲讲自定义用户认证逻辑的实现,包括用户信息的获取,用户密码的校验以及用户密码的加密解码
Spring Security渐入佳境(二) -- 自定义用户认证逻辑
分享技术,共同进步!
12-12 356
(一)用户信息获取 <1>UserDetailsService 这是SpringSecurity提供的一个接口,用于根据登录名获取用户信息(从内存,数据库中…)。 <2>实现接口UserDetailsService 详解UserDetails请参考附录。 @Component public class MyUserDetailsService implements User...
SpringBoot 集成 Spring Security 自定义认证逻辑备忘
热门推荐
nangongyanya的专栏
08-28 1万+
引入 Spring Security 之后(Spring Security 的引入请浏览《SpringBoot 引入 Spring Security 备忘》),Spring Security 将会通过其内置的拦截器对URL进行拦截,以此来管理登录验证和用户权限验证。 当用户登陆时,会被 AuthenticationProcessingFilter 拦截,调用 AuthenticationMana...
SpringSecurity如何自定义用户认证逻辑
java永无止境!
06-11 696
Spring Security 用于从数据库、LDAP 或其他任何地方检索用户信息的策略接口。你可以通过实现此接口来定义如何检索用户信息。实现首先,创建一个实现接口的类。你需要重写方法来定义加载用户的逻辑
SpringSecurity学习之路7-自定义用户认证逻辑
kevin
05-14 554
在上文中,每次登陆的密码都是由系统随机生成的,这不符合实际应用,用户输入账号密码后应从数据库或其他存储中查找是否匹配。 在SpringSecurity中,通过实现UserDetailsService接口的loadUserByUsername()方法来完成用户登录的自定义验证。 下面首先是自定义用户身份校验逻辑: loadUserByUsername()方法的返回值类型是UserDetai...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值