Spring Security身份认证之UserDetailsService

最新推荐文章于 2024-04-22 09:10:46 发布
最新推荐文章于 2024-04-22 09:10:46 发布
阅读量7.6k 收藏 7
点赞数 1
分类专栏: springboot security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linhaibing009/article/details/85147801
版权

 

Spring Security身份认证之UserDetailsService

SecurityConfig

package com.waylau.spring.boot.blog.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * Spring Security 配置类.
 * 
 * @since 1.0.0 2017年3月8日
 * @author <a href="https://waylau.com">Way Lau</a>
 */
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 启用方法安全设置
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	
	private static final String KEY = "waylau.com";
	
	@Autowired
	private UserDetailsService userDetailsService;

	@Autowired
    private PasswordEncoder passwordEncoder;
	
	@Bean  
    public PasswordEncoder passwordEncoder() {  
        return new BCryptPasswordEncoder();   // 使用 BCrypt 加密
    }  
	
	@Bean  
    public AuthenticationProvider authenticationProvider() {  
		DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
		authenticationProvider.setUserDetailsService(userDetailsService);
		authenticationProvider.setPasswordEncoder(passwordEncoder); // 设置密码加密方式
        return authenticationProvider;  
    }  
 
	/**
	 * 自定义配置
	 */
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests().antMatchers("/css/**", "/js/**", "/fonts/**", "/index").permitAll() // 都可以访问
				.antMatchers("/h2-console/**").permitAll() // 都可以访问
				.antMatchers("/admins/**").hasRole("ADMIN") // 需要相应的角色才能访问
				.and()
				.formLogin()   //基于 Form 表单登录验证
				.loginPage("/login").failureUrl("/login-error") // 自定义登录界面
				.and().rememberMe().key(KEY) // 启用 remember me
				.and().exceptionHandling().accessDeniedPage("/403");  // 处理异常,拒绝访问就重定向到 403 页面
		http.csrf().ignoringAntMatchers("/h2-console/**"); // 禁用 H2 控制台的 CSRF 防护
		http.headers().frameOptions().sameOrigin(); // 允许来自同一来源的H2 控制台的请求
	}
	
	/**
	 * 认证信息管理
	 * @param auth
	 * @throws Exception
	 */
	@Autowired
	public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService);
		auth.authenticationProvider(authenticationProvider());
	}
}

UserServiceImpl

@Service
public class UserServiceImpl implements UserService, UserDetailsService {
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		return userRepository.findByUsername(username);
	}

}

UserController

/**
	 * 新建用户
	 * @param user
	 * @param result
	 * @param redirect
	 * @return
	 */
	@PostMapping
	public ResponseEntity<Response> create(User user, Long authorityId) {
		List<Authority> authorities = new ArrayList<>();
		authorities.add(authorityService.getAuthorityById(authorityId));
		user.setAuthorities(authorities);
		
		if(user.getId() == null) {
			user.setEncodePassword(user.getPassword()); // 加密密码
		}else {
			// 判断密码是否做了变更
			User originalUser = userService.getUserById(user.getId());
			String rawPassword = originalUser.getPassword();
			PasswordEncoder  encoder = new BCryptPasswordEncoder();
			String encodePasswd = encoder.encode(user.getPassword());
			boolean isMatch = encoder.matches(rawPassword, encodePasswd);
			if (!isMatch) {
				user.setEncodePassword(user.getPassword());
			}else {
				user.setPassword(user.getPassword());
			}
		}
		
		try {
			userService.saveUser(user);
		}  catch (ConstraintViolationException e)  {
			return ResponseEntity.ok().body(new Response(false, ConstraintViolationExceptionHandler.getMessage(e)));
		}
		
		return ResponseEntity.ok().body(new Response(true, "处理成功", user));
	}
/**
 * @author Administrator
 *
 */
public class ConstraintViolationExceptionHandler {

	/**
	 * 获取批量异常信息
	 * @param e
	 * @return
	 */
	public static String getMessage(ConstraintViolationException e) {
		List<String> msgList = new ArrayList<>();
		for (ConstraintViolation<?> constraintViolation : e.getConstraintViolations()) {
			msgList.add(constraintViolation.getMessage());
        }
		String messages = StringUtils.join(msgList.toArray(), ";");
		return messages;
	}

}

 

header.html(没有该令牌不能操作方法,只有POST提交才自动有令牌)

   <!-- CSRF -->
	<meta name="_csrf" th:content="${_csrf.token}"/>
	<!-- default header name is X-CSRF-TOKEN -->
	<meta name="_csrf_header" th:content="${_csrf.headerName}"/>

main.js

// 删除用户
	$("#rightContainer").on("click",".blog-delete-user", function () { 
		// 获取 CSRF Token 
		var csrfToken = $("meta[name='_csrf']").attr("content");
		var csrfHeader = $("meta[name='_csrf_header']").attr("content");
		
		
		$.ajax({ 
			 url: "/users/" + $(this).attr("userId") , 
			 type: 'DELETE', 
			 beforeSend: function(request) {
                 request.setRequestHeader(csrfHeader, csrfToken); // 添加  CSRF Token 
             },
			 success: function(data){
				 if (data.success) {
					 // 从新刷新主界面
					 getUersByName(0, _pageSize);
				 } else {
					 toastr.error(data.message);
				 }
		     },
		     error : function() {
		    	 toastr.error("error!");
		     }
		 });
	});

 

linhaibing009
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 实现UserDetails 简易扩展
weixin_45189306的博客
03-18 3218
一、定义pojo实现UserDetails扩展 public class WgcUserDetails implements UserDetails { private Collection<GrantedAuthority> authorities; private String password; private String username; ...
详解Spring Security进阶身份认证UserDetailsService(附源码)-附件资源
03-05
详解Spring Security进阶身份认证UserDetailsService(附源码)-附件资源
7. Spring Security缓存UserDetails
一个人的人生
11-29 1497
Spring Security提供了一个实现了可以缓存UserDetails的UserDetailsService实现类,CachingUserDetailsService。该类的构造接收一个用于真正加载UserDetails的UserDetailsService实现类。当需要加载UserDetails时,其首先会从缓存中获取,如果缓存中没有对应的UserDetails存在,则使用持有的UserD
深入理解 AuthenticationManagerBuilder 【源码篇】
shenliba的博客
04-22 1182
null) {= null) {首先,我们可以通过调用 parentAuthenticationManager 方法来给一个 AuthenticationManager 设置 parent。inMemoryAuthentication、jdbcAuthentication 以及 userDetailsService 几个方法松哥在之前的文章中都已经介绍过了(),作用就是为了配置数据源,这里就不再赘述。
Spring Security Config : UserDetailsServiceConfigurer
Details Inside Spring
06-02 530
概述 介绍 UserDetailsServiceConfigurer是Spring Security Config提供的一个安全配置器基类,用于配置安全构建器ProviderManagerBuilder,它继承自AbstractDaoAuthenticationConfigurer。UserDetailsServiceConfigurer对来自基类的能力作了如下定义 : 扩展定义 : 提供一个初...
Spring Security 定制UserDetailsService,动态uri权限,Thymeleaf,限制密码强度、过期、错误密码锁定超时自动解锁、禁用历史密码、新密码和现密码差异要求编辑距离
allway2的博客
11-20 1175
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。凭据应存储在数据库中,因此让我们创建新表,表间关系ER图如下:接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。
Spring扩展------SpringSecurity
hspnb的博客
09-24 436
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
详解最简单易懂的Spring Security 身份认证流程讲解
08-26
"Spring Security 身份认证流程讲解" Spring Security 是一个功能强大且复杂的框架,对于 JavaEE 工程师来说是一个必备的知识点。本文将从身份认证的角度讲解 Spring Security 的原理和实现过程。 身份认证是 Web...
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
springboot+ spring security实现登录认证
05-04
Spring Security则是一个全面的安全管理框架,提供了访问控制、身份验证和授权等功能,适用于Web和非WEB应用。 首先,我们需要理解Spring Security的基本工作流程:当一个请求到达时,Spring Security会检查该请求...
详解springSecurity之java配置篇
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
Spring security认证授权
11-30
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。它提供了全面的安全解决方案,包括用户认证、权限授权、会话管理、CSRF防护以及基于HTTP的访问控制。在这个例子中,我们将...
Spring Security基于数据库实现认证过程解析
08-18
3. 认证成功:如果角色验证通过,Spring Security将认证用户的身份,并将其授权给对应的角色。 四、示例代码 以下是使用Spring Security基于数据库实现认证的示例代码: ```java @Service public class ...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题中,我们将深入探讨如何结合SpringSecurity与数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
Spring Security模块
09-03
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,主要用于构建安全的 Java Web 应用程序。它提供了一套全面的安全解决方案,包括身份验证、授权、会话管理以及跨站请求伪造(CSRF)防护等功能。...
详解Spring Security认证流程
08-25
其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的认证流程。 一、过滤器链和认证过程 Spring Security的认证流程可以分为三个步骤: 1. Filter拦截请求,生成一个未认证的...
Spring SecurityuserDetailsService用户认证以及授权
horinjsor的博客
06-01 2450
Spring安全框架
SpringSecurity (2) UserDetailsService
热门推荐
O_o
05-04 1万+
主要介绍如何利用 UserDetailsService 接口从数据库中获取用户信息, 并通过实现 AuthenticationProvider 接口编写自己的校验逻辑, 从而完成 SpringSecurity 身份校验.
Spring Security身份认证UserDetailsService使用教程
07-15
Spring Security中,可以使用UserDetailsService来获取用户信息并进行身份认证UserDetailsService是一个接口,需要自定义实现来提供用户信息。 下面是一个简单的示例,演示如何使用UserDetailsService来进行身份认证: 1. 创建一个实现UserDetailsService接口的类,并实现其loadUserByUsername方法。在该方法中,你可以从数据库或其他数据源中获取用户信息,并返回一个实现了UserDetails接口的用户对象。 ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), getAuthorities(user.getRoles())); } private Collection<? extends GrantedAuthority> getAuthorities(Set<Role> roles) { return roles.stream() .map(role -> new SimpleGrantedAuthority(role.getName())) .collect(Collectors.toList()); } } ``` 2. 在配置类(如SecurityConfig)中,使用@Autowired注解将UserDetailsService实例注入,并在configure方法中配置AuthenticationManagerBuilder。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } // ...其他配置... @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 上述代码中,我们将UserDetailsService实例注入到AuthenticationManagerBuilder中,并使用BCryptPasswordEncoder作为密码编码器。 3. 在登录过程中,Spring Security将调用UserDetailsService的loadUserByUsername方法来获取用户信息,并使用密码编码器对用户输入的密码进行验证。 现在,当用户尝试进行身份认证时,UserDetailsService将被调用,从数据库中获取用户信息并进行验证。你可以根据自己的需求来自定义UserDetailsService的实现,以适应不同的用户信息存储方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值