springsecuriy入门案例-UserDetailsService

最新推荐文章于 2024-12-12 10:11:26 发布
最新推荐文章于 2024-12-12 10:11:26 发布
阅读量792 收藏
点赞数
分类专栏: springsecurity 文章标签: java spring boot mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60467232/article/details/130288675
版权
一、认证流程

使用UserDetailsService进行springsecurity的用户认证,本篇使用session非token。

首先我们看一下springsecurity的的认证流程。

1.发起请求:小明从浏览器登录一个网站,此时发送一个携带着用户名和密码的请求。

2.获取请求:请求被Authentication接口的实现类UsernamePasswordAuthenticationToken获取,并被封装为Authentication,并将Authentication提交至认证管理器(AuthenticationManager)进行认证 。

3.选取认证Provider:AuthenticationManager使用默认的DaoAuthenticationProvider实现认证。(DaoAuthenticationProvider为AuthenticationProvider的实现类,如果自己要自定义身份验证,自己实现AuthenticationProvider或许更好)。

4.认证流程1(获取用户名密码):在DaoAuthenticationProvider中,根据 UsernamePasswordAuthenticationToken获取的username,然后调用 UserDetailsService 检索用户详细信息。

5.认证流程2(根据用户名查出信息):UserDetailsService是一个接口,我们需要实现它,只需实现其唯一的方法loadUserByUsername(),在loadUserByUsername()方法中根据用户名从数据库查询用户信息,包括密码和权限,最后将用户名,密码和权限封装在内部可识别的UserDetails对象中,并返回。

6.认证流程3(与数据库的密码检验):在DaoAuthenticationProvider,调用additionalAuthenticationChecks 密码认证方法。

7.认证流程4(填充权限):密码验证成功后,将从数据库查到的权限填充至Authentication对象中,并返回Authentication对象(权限信息, 身份信息,细节信息,但密码通常会被移除)。

8.放入容器:SecurityContextHolder 安全上下文容器将填充了信息的 Authentication ,通过 SecurityContextHolder .getContext().setAuthentication(…)方法,设置到其中。

9.放入session:当登录请求处理完毕后,Spring Security 会将 SecurityContextHolder 中的数据拿出来保存到 Session 中,同时将 SecurityContexHolder 中的数据清空。以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到 SecurityContextHolder中。

二、案例
1.依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
2.配置SecurityConfig

springsecurity的核心文件就是SecurityConfig

@Configuration
@EnableWebSecurity //开启Security
@EnableGlobalMethodSecurity(prePostEnabled = true) //方法级别的安全认证
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    @Resource
    private SysUserService sysUserService;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //重写configure配置,将我们自己的校验密码器注入到该bean中
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(sysUserService).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .formLogin() //下面是表单提交的配置
                .loginPage("/login") //指定登陆页面
                .loginProcessingUrl("/doLogin")//制定表单提交的请求地址
                .successForwardUrl("/home")//登录成功跳转页面
                .failureForwardUrl("/myError") //登录失败跳转页面
                .usernameParameter("username") //前端用户名的name属性,不设置默认是username
                .passwordParameter("password")//前端密码的name属性,不设置默认是password
                .and()
                .logout() //以下为注销设置
                .logoutUrl("/logout")
                .logoutSuccessUrl("/login")
                .and()
                .authorizeRequests() //下面的都是授权的配置
                .antMatchers( "/login", "doLogin").permitAll()//访问此地址就不需要进行身份认证了
                .antMatchers("/admin").hasAnyAuthority("admin,manager")
            	.antMatchers("/order").hasRole("order")
                .antMatchers("/hello").anonymous() //未登录的可以访问,登录的不可以
                .anyRequest() //任何请求
                .authenticated() //访问任何资源都需要身份认证
                .and()
                .csrf().disable(); // 禁用 Spring Security 自带的跨域处理

    }


}

  • 通过继承WebSecurityConfigurerAdapter开启配置

  • 注解@EnableWebSecurity和@EnableGlobalMethodSecurity

@EnableWebSecurity开启springsecurity配置,让其生效

@EnableGlobalMethodSecurity(prePostEnabled = true)方法级别的安全认证

prePostEnabled = true 会解锁 @PreAuthorize 和 @PostAuthorize 两个注解。从名字就可以看出@PreAuthorize 注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证。

例:@PreAuthorize(“hasRole(‘ADMIN’)”) 必须拥有 ROLE_ADMIN 角色

  • 重写核心方法

configure(HttpSecurity http)

该方法主要是拦截的作用,从三个反面入手

表单登录

http
.formLogin() //下面是表单提交的配置
.loginPage(“/login”) //指定登陆页面
.loginProcessingUrl(“/doLogin”)//制定表单提交的请求地址
.successForwardUrl(“/home”)//登录成功跳转页面
.failureForwardUrl(“/myError”) //登录失败跳转页面
.usernameParameter(“username”) //前端用户名的name属性,不设置默认是username
.passwordParameter(“password”)//前端密码的name属性,不设置默认是password

如果不配置会有默认配置,像loginProcessingUrl的默认是/login(此时虽然和登录页面都是/login但一个是get,表单提交是post),如果设置了应与前端表单提交的url一致。

loginPage(“/login”) 就是指定登录界面,未登录访问不该访问的界面就会被强行跳转至此;

loginProcessingUrl(“/doLogin”)表单提交的请求,只有该请求springsecurity才会开启登录认证;

其他的功能上面注释都有。

注销

  http          
            .logout() //以下为注销设置
            .logoutUrl("/logout")
            .logoutSuccessUrl("/login")

logoutUrl(“/logout”)设置注销请求为/logout,该请求可以让session失效从而退出登录,还可以使用deleteCookies删除指定的cookie。

logoutSuccessUrl(“/login”)注销成功后重定向页面。

授权

            .authorizeRequests() //下面的都是授权的配置
            .antMatchers( "/login").permitAll()//访问此地址就不需要进行身份认证了
            .antMatchers("/admin").hasAnyAuthority("admin,manager")
            .antMatchers("/order").hasRole("order")
            .antMatchers("/hello").anonymous() //未登录的可以访问,登录的不可以
            .anyRequest() //任何请求
            .authenticated() //访问任何资源都需要身份认证

authorizeRequests()权限认证

.antMatchers( “/login”).permitAll() 以上请求不需要认证就可以访问

.antMatchers(“/admin”).hasAnyAuthority(“admin,manager”)有admin,manager权限的可以访问

.antMatchers(“/order”).hasRole(“order”) 有order权限可以访问,数据库里用ROLE_order,这里会自动去除ROLE_

.antMatchers(“/hello”).anonymous() 未登录的可以访问,登录的不可以,用的少

.anyRequest().authenticated() //以上未设置访问任何资源都需要身份认证

.csrf().disable(); // 禁用 Spring Security 自带的跨域处理

开启后get请求可以正常访问,而post的请求却无法访问。

configure(AuthenticationManagerBuilder auth)

该方法是主要进行验证

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(sysUserService).passwordEncoder(passwordEncoder());
    }

userDetailsService(sysUserService)装配自定义sysUserService,密码验证前会执行sysUserService下的loadUserByUsername(String s)方法;

passwordEncoder(passwordEncoder()) 采用BCryptPasswordEncoder()加密方式

3.实现UserDetailsService接口
@Service
@Slf4j
public class SysUserService extends ServiceImpl<SysUserMapper, SysUser> implements ISysUserService, UserDetailsService {

    @Autowired
    private SysUserMapper sysUserMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        QueryWrapper<SysUser> wrapper = new QueryWrapper<>();
        wrapper.eq("username",s);
        SysUser sysUser = sysUserMapper.selectOne(wrapper);
        if (sysUser == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList(sysUser.getRole());
        return new User(sysUser.getUsername(),sysUser.getPassword(),list);
    }
}

UserDetailsService是一个用于用户数据的DAO,将数据提供给框架内的其他组件。

UserDetailsService接口只有一个方法实现loadUserByUsername(String s),传进来username的值在此进行处理,查询数据库获取用户信息,封装成userdetails对象交给框架处理,框架进行密码验证等等。

这里用的mybatis-plus与数据库交互,把查询到的信息封装返回。

4.测试

创建六个界面login登录界面,home登录后主界面,admin有admin权限的可以访问,order有order权限的可以访问,myError登录失败跳转界面,hello未登录才可以访问的界面

请添加图片描述

这里使用thymeleaf模板引擎测试

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>

处理请求跳转界面

@Controller
public class LoginController {

    @RequestMapping("/login")
    public String toLogin(){
        return "login";
    }

    @RequestMapping("/home")
    public String home(){
        return "home";
    }

    @RequestMapping("/myError")
    public String myError(){
        return "myError";
    }

    @RequestMapping("/admin")
    public String admin(){
        return "admin";
    }

    @RequestMapping("/hello")
    public String hello(){
        return "hello";
    }

    @RequestMapping("/order")
    public String order(){
        return "order";
    }
}

用户名:admin

密码:123

测试各个界面访问

demo详细:https://gitee.com/a13657926270/java-workspace/tree/master/springboot%E6%95%B4%E5%92%8C%E7%B3%BB%E5%88%97/springSecurity/springsecurity-UserDetailsService

spring-security(十四)UserDetailsService
高枫的博客
02-19 1469
前言: 作为spring security的核心类,大多数的认证方式都会用到UserDetailsServiceUserDetails这两个接口,本文会详细探讨下UserDetailsService及其实现类。 1. UserDetailsService接口 在spring security中,为了方便扩展,UserDetailsService接口被设计的极其简单,只包含一个方法...
Spring Cloud入门-Oauth2授权之JWT集成(Hoxton版本)
2401_84023683的博客
04-30 553
5 | Spring Cloud入门-Hystrix Dashboard与Turbine断路器监控(Hoxton版本) || 6 | Spring Cloud入门-OpenFeign服务消费者(Hoxton版本) || 7 | Spring Cloud入门-Zuul服务网关(Hoxton版本) || 8 | Spring Cloud入门-Config分布式配置中心(Hoxton版本) || 9 | Spring Cloud入门-Bus消息总线(Hoxton版本) |
详解Spring Security进阶身份认证之UserDetailsService(附源码)-附件资源
03-02
详解Spring Security进阶身份认证之UserDetailsService(附源码)-附件资源
详解Spring Security进阶身份认证之UserDetailsService(附源码)
weixin_33738555的博客
01-29 4569
    在上一篇Spring Security身份认证博文中,我们采用了配置文件的方式从数据库中读取用户进行登录。虽然该方式的灵活性相较于静态账号密码的方式灵活了许多,但是将数据库的结构暴露在明显的位置上,绝对不是一个明智的做法。本文通过Java代码实现UserDetailsService接口来实现身份认证。    1.1 UserDetailsService在身份认证中的作用    Spring...
(2)Spring Security - 了解UserDetailsService
最新发布
drsonxu的博客
12-12 981
如图所示,Authentication Filter将身份验证请求委托给AuthenticationManager,后者使用AuthenticationProvider处理身份验证。InMemoryUserDetailsManager是UserDetailsManager的非持久性实现,他将用户信息存储在内存中,断电后信息会丢失。‌UserDetails是Spring Security框架中的一个核心接口,用于表示用户的详细信息。这些属性包括用户名、密码、权限、账户状态等,确保用户信息的安全性和完整性‌。
SpringSecurity (2) UserDetailsService
热门推荐
O_o
05-04 1万+
主要介绍如何利用 UserDetailsService 接口从数据库中获取用户信息, 并通过实现 AuthenticationProvider 接口编写自己的校验逻辑, 从而完成 SpringSecurity 身份校验.
Spring Security身份认证之UserDetailsService
AE86-打破常规的博客
03-20 7274
Spring Security身份认证之UserDetailsService 什么是Spring Security中的身份认证? 让我们考虑一个每个人都熟悉的标准身份验证方案。 提示用户使用用户名和密码登录。 系统(成功)验证密码对于用户名是否正确。 获取该用户的上下文信息(他们的角色列表等)。 为用户建立安全上下文 用户继续进行,可能执行一些可能受访问控制机制保护的操作,该访问控制...
SpringSecurity之UserDetailsService接口讲解
hcyxsh的博客
04-06 2404
SpringSecurity之UserDetailsService接口讲解 当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中 账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。 如果需要自定义逻辑时,只需要实现UserDetailsService接口即可 1 定义UserDetailsService接口 2 返回值UserDetails 类中的方法说明 // 表示获取登录用户所有权限 Collection<? exte
SpringSecurity之UserDetailsService详解
风归去.
06-25 5747
当什么也没有配置的时候,账号和密码是由 定义生成的。而在实际项目中账号和密码都是从数据 库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 接口即可。接口定义如下:直接看源码 要想返回 UserDetails 的实例就只能返回接口的实现类。SpringSecurity 中提供了如下的实例。对于我们只需要使 用里面的 User 类即可。注意 User 的全限定路径是:org.springframework.security.core.userdetail
Spring Boot+Spring Security框架里配置UserDetailsService
昂哥学嵌入式
03-09 5060
公司工作需要使用自建的云平台,虽然我是嵌入式工程师但是因为人手不足(主要还是建站的人走了,没人会Java)所以交由我来维护。 这次有了新需求,需要进行权限的分类和管理,由于原先的代码已经经了好几手了(心累啊!!),我需要保持原先的结构不动的情况下加入这些功能,那么原先的方式已经不满足需求了。 查阅了资料以后,决定直接使用UserDetailsService的形式对原先页面进行改造。 我们原先的sp...
SpringSecurity:入门案例
shmily_404的博客
07-21 138
SpringSecurity入门案例 创建项目 新建springboot项目 确定新建(什么都不要配置) 配置SpringSecurity依赖 修改pom.xml,添加依赖<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </depe
SpringSecurity框架原理浅谈之UserDetailsService
黄先生的博客
02-11 2051
UserDetailsService的作用就是从特定的地方(通常是数据库)加载用户信息.
Spring Security】2. 自定义UserDetailsService
小桶的博客
11-28 2635
`UserDetailsService`是Spring Security加载用户数据的核心接口,提供了根据用户名查找用户的方法
SpringSecurity-5-UserDetailsServiceUserDetails接口(用户来源)
文天大人
09-14 1163
怀念二抱三抱
spring-boot2-oauth2-jwt:阅读更多http
05-13
- `UserDetailsService`:实现用户信息的服务,用于身份验证。 - 数据库配置(可能使用JDBC):存储OAuth2相关的客户端信息、用户信息和令牌。 在实际应用中,开发者还需要考虑以下要点: - 安全存储私钥:JWT的...
实现UserDetailsService
码字不易,大家的支持就是我坚持下去的动力
03-05 997
Spring Security 中用于加载用户信息的接口,它包含了一个方法,用于根据用户名加载用户信息。开发者可以通过实现接口,并重写方法来实现自定义的用户信息加载逻辑。下面是一个实现// 从数据库中根据用户名加载用户信息 User user = userRepository . findByUsername(username);
Spring Security:用户服务UserDetailsService源码分析
kaven
01-04 1672
在上一篇博主中,博主介绍了Spring Security的UserDetails接口及其实现Spring Security使用UserDetails实例(实现类的实例)表示用户,当客户端进行验证时(提供用户名和密码),Spring Security会通过用户服务(UserDetailsService接口及其实现)来获取对应的UserDetails实例(相同的用户名),如果该UserDetails实例存在并且与客户端输入的信息匹配,则验证成功,否则验证失败,想了解UserDetails接口及其实现可以看下面
Spring Security UserDetailsService
Claroja
03-19 153
最终还是由AuthenticationManager来调用 参考: https://blog.csdn.net/qq_39329616/article/details/89978773 https://my.oschina.net/yangzijing/blog/3038140
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值