Spring Security里的authentication中加入自定义的内容

最新推荐文章于 2023-06-08 12:39:55 发布
最新推荐文章于 2023-06-08 12:39:55 发布
阅读量2.8k 收藏 6
点赞数 1
分类专栏: Spring相关 文章标签: Spring Security里的authenticatio
原文链接:https://www.nbucedog.com/blog/article/8
版权

转载自:https://www.nbucedog.com/blog/article/8

叙述

当Spring security认证成功了之后会返回一个authentication,里面包含一些用户的认证信息。但有时候里面已有的信息并不能满足我们的需求,比如说当我们使用org.springframework.security.core.userdetails.User这个类的时候

代码

@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException{
    User user = userDAO.findByUsername(s);
    if(user==null){
        throw new UsernameNotFoundException("用户不存在");
    }
    Collection<GrantedAuthority> authorities = new ArrayList<>();
    for (Role role:user.getRoleSet()){
        for (Permission permission:role.getPermissionSet())
        authorities.add(new SimpleGrantedAuthority(permission.getPermission()));
    }
    return new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),authorities);
}

会得到下面这样的authentication

{
    "authorities": [
        {
            "authority": "add_admin"
        }
    ],
    "details": {
        "remoteAddress": "0:0:0:0:0:0:0:1",
        "sessionId": null
    },
    "authenticated": true,
    "principal": {
        "password": null,
        "username": "nbucedog",
        "authorities": [
            {
                "authority": "add_admin"
            }
        ],
        "accountNonExpired": true,
        "accountNonLocked": true,
        "credentialsNonExpired": true,
        "enabled": true
    },
    "credentials": null,
    "name": "nbucedog"
}

可以看到这里关于用户的信息只有一个username,但其实我还想要用户的id,因为使用Spring注解进行权限认证时id会比username更保险(这个我后面会说)。

接下来我们看看怎么能够在authentication.principal里加入id吧

第一步:写一个实现UserDetails接口的类

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.GrantedAuthority;
import java.util.Collection;

public class SecurityUser extends User{
    private Integer id;
    public SecurityUser(String username, String password, Collection<GrantedAuthority> authorities) throws IllegalArgumentException{
        super(username,password,authorities);
    }
    public Integer getId() {
        return id;
    }
    public void setId(Integer id) {
        this.id = id;
    }
}

因为org.springframework.security.core.userdetails.User本身就是UserDetails的实现类,而且它里面有许多东西我们还要用,所以我们就直接继承它并加入自己的东西,这里加入一个id属性

第二步:在loadUserByUsername方法里使用这个自定义的类

@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException{
    System.out.println("UserService:"+s);
    User user = userDAO.findByUsername(s);
    if(user==null){
        throw new UsernameNotFoundException("用户不存在");
    }
    Collection<GrantedAuthority> authorities = new ArrayList<>();
    for (Role role:user.getRoleSet()){
        for (Permission permission:role.getPermissionSet())
        authorities.add(new SimpleGrantedAuthority(permission.getPermission()));
    }
    SecurityUser securityUser = new SecurityUser(user.getUsername(),user.getPassword(),authorities);
    securityUser.setId(user.getId());
    return securityUser;
}

这样之后,我们会得到一个authentication.principal里包含id的authentication

{
    "authorities": [
        {
            "authority": "add_admin"
        }
    ],
    "details": {
        "remoteAddress": "0:0:0:0:0:0:0:1",
        "sessionId": null
    },
    "authenticated": true,
    "principal": {
        "password": null,
        "username": "nbucedog",
        "authorities": [
            {
                "authority": "add_admin"
            }
        ],
        "accountNonExpired": true,
        "accountNonLocked": true,
        "credentialsNonExpired": true,
        "enabled": true,
        "id": 1
    },
    "credentials": null,
    "name": "nbucedog"
}

接下来我们就可以使用Spring注解进行权限配置了,比如要求只有用户自己能修改自己的用户信息

@RequestMapping(value = "/user",method = RequestMethod.PUT)
@ResponseBody
@PreAuthorize("#user.id==authentication.principal.id")
public Map UpdateUser(@RequestBody User user){
    try {
        User oldUser = userService.findById(user.getId());
        oldUser.setNickname(user.getNickname());
        oldUser.setSex(user.getSex());
        oldUser.setPhone(user.getPhone());
        oldUser.setMail(user.getMail());
        oldUser.setResume(user.getResume());
        userService.save(oldUser);
        return ResultTools.result(0);
    }catch (Exception e){
        e.printStackTrace();
        return ResultTools.dataResult(1000,e.getMessage());
    }
}

接下来说说在代码里我们为什么使用了authentication.principal.id,而非authentication.principal.username
这里举个例子,假如我们使用了@PreAuthorize("#user.username==authentication.principal.username"),而某个用户名为badguys,id为2的bad guys提交了如下的json数据

{
    "id":1,
    "username":"badguys",
    "nickname":"bad guys"
    ...
}

当id为2的bad guys用他自己注册的账户登录后,通过这个数据成功的通过了@PreAuthorize里的过滤条件,并且成功修改了id为1的用户信息。而当我们使用@PreAuthorize("#user.id==authentication.principal.id")时,这条带有攻击性的json数据则会被拦截。

Full Stack Developme
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security 自定义用户认证
victoryyounger的博客
02-02 299
前言 Spring security内置的用户存储非常便利,但是当我们的应用需要一些更特殊的功能时,当开箱即用的用户存储无法满足需求的时候,我们就需要创建和配置自定义的的用户 详情服务,最终数据位于关系型数据库,使用Spring Data respository 一、定义用户实体 如下是一个Boss类 package sia.tacocloud.DAO; import com.sun.istack.NotNull; import lombok.Data; import org.springframewo
Spring Security - 07 在内存认证(添加用户到内存
qq_29761395的博客
02-06 2991
文章目录环境项目结构添加用户到内存测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) Firefox Browser 96.0.3 (64 位) Microsoft Edge 版本 98.0.1108.43 (官方内部版本) (64 位)
security认证授权系统添加自定义用户登录
Mr_Li的博客
07-24 1013
security认证授权系统添加自定义用户登录 spring-security.xml配置,对登录认证管理器进行配置 <!--配置登录认证管理器--> <security:authentication-manager> <!--提供服务类 去数据库查询账户密码--> <security:authentic...
SpringSecurity自定义AuthenticationProvider和AuthenticationFilter
weixin_34248849的博客
02-19 1169
AuthenticationProvider 默认实现:DaoAuthenticationProvider 授权方式提供者,判断授权有效性,用户有效性,在判断用户是否有效性,它依赖于UserDetailsService实例,开发人员可以自定义UserDetailsService的实现。 additionalAuthenticationChecks方法校验密码有效性 retrieveUser方...
spring security——工作笔记 实现自定义 AuthenticationProvider身份认证-使用不同的用户表订证登录
ourenyou的博客
06-08 1373
创建不同的数据查询入口第一种用户验证第二种用户验证先用一个接口继承再用一个类来实现. . . //通过 phone 获取用户信息,前提手机号码能定位唯一用户 public UserDetails loadUserByPhone(String phone) throws UsernameNotFoundException {//从持久层获取数据 User user = userMapper . getUserInfoByPhone(phone);
spring security配置自定义认证
weixin_43359917的博客
10-18 5644
spring security配置自定义认证 spring security认证机制: 自定义认证类: 1.实现接口AuthenticationProvider,spring security内置的认证实现类DaoAuthenticationProvider。 2.重写authenticate(Authentication authentication)方法,实现认证逻辑。 spring se...
spring security自定义登录页面
08-29
自定义 Spring Security 的登录页面,我们需要在 Spring Security 的配置文件添加相应的配置。下面是一个基本的示例: ```xml authentication-failure-url="/login.jsp" default-target-url="/index....
SpringSecurity自定义成功失败处理器的示例代码
09-07
Spring Security框架自定义成功失败处理器是用于定制用户登录认证后的响应行为。默认情况下,Spring Security提供了标准的处理程序来处理用户的登录成功或失败情况,但有时我们需要根据业务需求进行个性化设置...
java自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文,我们将深入探讨如何在Java项目自定义Spring Security的权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录是非常重要的,它可以满足不同的业务需求。本文主要介绍了 Spring Security 自定义认证登录的全过程记录,包括认证流程、核心代码分析等。 1. 概要 Spring Security 是一个...
spring security自定义决策管理器
08-29
Spring Security 自定义决策管理器 Spring Security 提供了一种自定义决策管理器的机制,允许开发者根据自己的需求实现自定义的决策逻辑。在 Spring Security ,决策管理器是指 AccessDecisionManager 接口的实现...
Spring Security 初识(三)--配置自定义的用户存储
只有变秃 才能变强
12-29 5021
Spring Security 初识(三)–配置自定义的用户存储假设我们需要认证的用户存储在非关系型数据库,如Mongo或 Neo4j,在这种情况下,我们需要提供一个自定义的 UserDetailsService接口实现。上节我们讲到Spring Security 初识(二),我们在 SecurityConfig 的配置类 重写了 configure(AuthenticationManage
SpringBoot Security 自定义异常消息
℡メ㏑╭ァ小凯
03-23 650
默认情况未登录和无权限都是返回403,下面我可以重写未登录和无权限的两个错误返回提示 验证为未登陆状态会进入此方法,认证错误 import com.alibaba.fastjson.JSONObject; import com.java.core.web.vo.HttpResult; import com.java.core.web.vo.HttpStatus; import org.springframework.security.core.AuthenticationException; im
SpringSecurity自定义请求参数名、自定义登录处理器
赵大土的博客
11-28 2437
用户名和密码请求参数名自定义 在进行登录验证时,SpringSecurity会执行UsernamePasswordAuthenticationFilter过滤器,查看源码可知参数名有默认值,且只接收post请求 修改配置类即可完成对默认值的修改 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdap...
SpringSecurity增加额外登录参数
m0_37068073的博客
08-09 2891
参考连接 自定义认证逻辑的两种方式(高级玩法) 我的需求是需要在传多个参数,从数据库查询 自定义UsernamePasswordAuthenticationFilter /** * @author Junisyoan * @date 2021年2月23日 * 验证登录用户密码 */ public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter { ...//省略 @Ove.
Spring Security用户认证和权限控制(默认实现)
jingke_1524的博客
09-25 1355
1 背景 实际应用系统,为了安全起见,一般都必备用户认证(登录)和权限控制的功能,以识别用户是否合法,以及根据权限来控制用户是否能够执行某项操作。 Spring Security是一个安全相关的框架,能够与Spring项目无缝整合,本文主要是介绍Spring Security默认的用户认证和权限控制的使用方法和原理,但不涉及到自定义实现。 Spring Security用户认证和权限控制(自定义实现)这篇文章专门讲解用户认证和权限控制相关的自定义实现。 2 实战示例 2.1 创建工程 创建一个
配置Spring Security AuthenticationFilter和AuthenticationPrincipal
qiuweifan的博客
04-01 1966
5.自定义Spring Security AuthenticationFilter 最后,让我们编写JWTAuthenticationFilter从请求获取 JWT 令牌,对其进行验证,加载与令牌关联的用户,并将其传递给 Spring Security - public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvi
springsecurity 获取用户信息
Soul space of Jamon_Wang
11-30 2595
一、使用注解 @AuthenticationPrincipal @GetMapping("/user") public String user(@AuthenticationPrincipal Principal principal, Model model){ model.addAttribute("username", principal.getName()); return "user/user"; } @AuthenticationPrinc
Spring Security OAuth2单点登录
22333
05-07 4124
springSecurity入门以及点单登录实现
SpringSecurity如何在AuthenticationManager自定义provider
最新发布
06-09
Spring Security,我们可以通过实现`AuthenticationProvider`接口来自定义身份验证提供程序,并在`AuthenticationManager`注册它。下面是一个简单的示例: 1. 创建一个自定义的身份验证提供程序 ```java @Component public class MyAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String username = authentication.getName(); String password = authentication.getCredentials().toString(); // 进行自定义的身份验证逻辑 if ("admin".equals(username) && "123456".equals(password)) { return new UsernamePasswordAuthenticationToken(username, password, new ArrayList<>()); } else { throw new BadCredentialsException("Authentication failed"); } } @Override public boolean supports(Class<?> authenticationType) { return authenticationType.equals(UsernamePasswordAuthenticationToken.class); } } ``` 2. 注入自定义的身份验证提供程序到`AuthenticationManager` ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyAuthenticationProvider myAuthenticationProvider; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(myAuthenticationProvider); } // ... 省略其他配置 ... } ``` 在以上示例,我们通过实现`AuthenticationProvider`接口,自定义了一个名为`MyAuthenticationProvider`的身份验证提供程序。在`configure(AuthenticationManagerBuilder auth)`方法,我们通过调用`auth.authenticationProvider(myAuthenticationProvider)`方法将该提供程序注册到`AuthenticationManager`。这样,当用户在登录时,`AuthenticationManager`就会自动调用`MyAuthenticationProvider`的`authenticate`方法进行身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值