SpringSecurity如何自定义用户认证逻辑?

于 2024-06-11 09:59:31 发布
阅读量387 收藏 8
点赞数 9
分类专栏: 面试题 # Spring全家桶 文章标签: java spring 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68948067/article/details/139322829
版权

在 Spring Security 中自定义用户认证逻辑通常涉及到实现你自己的 UserDetailsService 或使用自定义的 AuthenticationProvider。下面是通过这两种方式自定义用户认证逻辑的基本演示:

使用 UserDetailsService 自定义

UserDetailsService 是 Spring Security 用于从数据库、LDAP 或其他任何地方检索用户信息的策略接口。你可以通过实现此接口来定义如何检索用户信息。

步骤 1: 实现 UserDetailsService

首先,创建一个实现 UserDetailsService 接口的类。你需要重写 loadUserByUsername 方法来定义加载用户的逻辑。

import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
            .orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));

        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), 
                user.isEnabled(), true, true, true, getAuthorities(user.getRoles()));
    }

    private Collection<? extends GrantedAuthority> getAuthorities(Collection<Role> roles) {
        return roles.stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList());
    }
}

步骤 2: 配置 Spring Security 使用你的 UserDetailsService

在你的 Security 配置类中,你需要将 AuthenticationManager 配置为使用你的 CustomUserDetailsService

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomUserDetailsService userDetailsService;

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(userDetailsService);
        authProvider.setPasswordEncoder(new BCryptPasswordEncoder());
        return authProvider;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            // http configuration...
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider());
    }
}

使用 AuthenticationProvider 自定义

如果你想拥有更多的控制权,比如处理更复杂的认证逻辑(例如 OTP、多因素认证等),你可以实现自定义的 AuthenticationProvider

步骤 1: 实现 AuthenticationProvider

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;

public class CustomAuthenticationProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();

        // 在这里添加自定义逻辑来验证用户名和密码
        if ("正确的逻辑检查") {
            // 如果验证成功,创建并返回一个 Authentication 实现类的实例
            return new UsernamePasswordAuthenticationToken(username, password, Collections.emptyList());
        } else {
            throw new BadCredentialsException("External system authentication failed");
        }
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}

步骤 2: 在你的 Security 配置中注册自定义 AuthenticationProvider

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.authenticationProvider(new CustomAuthenticationProvider());
}

通过使用 UserDetailsService 或实现 AuthenticationProvider,你可以轻松地将 Spring Security 集成到你的应用程序中,并根据需要定制认证逻辑。这为处理各种认证需求提供了灵活性和强大的控制能力。

java奋斗者
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity定义认证逻辑
qq_34136709的博客
05-08 528
SpringSecurity定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
Spring Security 自定义认证逻辑
开源世界
01-20 764
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义逻辑,主要包括以下内容: 一个自定义的 Authentication 实现类,与 UsernamePasswordAuthenticat
springSecurity定义认证逻辑
qiuxinfa123的博客
04-14 712
springSecurity入门demo 中,用户信息是放在内存中的,而在真实的项目中,肯定是不会是这样的,一般是都是放在数据库中存储的。示例代码在GitHub中:https://github.com/qiuxinfa/springSecurity-study 。实现如下功能: (1)自定义用户信息的获取 (2)自定义认证成功以及失败后的回调 (3)实现记住我的功能 ...
SpringSecurity定义用户认证逻辑
洛阳城下逢公子
01-08 205
一、处理用户信息获取逻辑 用户信息的获取逻辑,在SpringSecurity中是被封装在一个接口后面的,这个接口叫UserDetailsService。这个接口中只有一个方法loadUserByUsername,接收一个String类型的参数,返回一个UserDetails对象。这个方法的作用就是根据用户在前台输入的用户名到数据集合(数据库)中去读取一个用户信息,用户信息最后被封装...
Spring Security自定义用户认证逻辑
taojin12的博客
05-06 276
在Spring Security中,用户的校验逻辑是不需要自己是实现的。但是我们需要通过页面用户输入的信息和数据库的用户信息进行比较。 Spring Security中提供了一个 接口UserDetailsService, 在他的loadUserByUsername方法中,对从数据库获取的用户信息进行封装。 自定义实现UserDetailsService @Component public class MyUserDetailService implements UserDetailsService {
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
Spring security认证两类用户代码实例
08-19
首先,为了实现自定义认证,我们需要创建一个实现`UserDetailsService`接口的类。`UserDetailsService`是Spring Security的核心组件,负责查找并返回与给定凭证相关的用户信息。在这个类中,我们可以根据用户类型...
Spring Security自定义登录原理及实现详解
09-07
- `successHandler`和`failureHandler`: 自定义认证成功和失败的处理器。 - `permitAll`: 控制form登录是否允许所有请求。 5. **自定义登录实现** 通过`FormLoginConfigurer`,我们可以设置登录页面、处理URL、...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证和鉴权。这通常涉及到`@PreAuthorize`和`@Secured`等注解的使用,以控制对特定路由的访问权限。...
Spring security 自定义密码加密方式的使用范例。
09-15
3. **处理认证成功与失败**:我们可以通过自定义`AuthenticationSuccessHandler`和`AuthenticationFailureHandler`来控制用户登录成功或失败后的行为。 ```java @Component public class ...
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springSecurity定义用户认证逻辑
足迹人生的博客
01-06 145
springSecruity自定义用户认证逻辑
SpringSecurity系列】自定义认证逻辑
java_pfx的博客
05-06 298
今日分享开始啦,请大家多多指教~ 有小伙伴会说,自定义认证逻辑还不简单?是的,没错,无论是添加登录验证码还是修改登录数据库格式,都需要对认证逻辑作出调整。 之前我们自定义的一个核心思路就是自定义过滤器,在过滤器中做各种各样我们想做的事。 举一个简单的例子,在添加登录验证码中,我为了校验验证码就自定义了一个过滤器,并把这个自定义的过滤器放入 SpringSecurity 过滤器链中,每次请求都会通过该过滤器。但实际上,只需要登录请求经过该过滤器即可,其他请求是不需要经过该过滤器的,这个时候,大家是不是就发现弊
springsecurity(三) 自定义用户认证逻辑
s297485987的专栏
07-30 149
1>修改security config类 2>注入认证成功,认证失败处理类 3.自定义认证成功处理类 4.自定义认证失败处理类 5.定义用户配置枚举,根据用户配置项决定认证成功/失败是直接跳转还是返回json串 6.自定义登录页面处理接口,根据用户是浏览器访问还是直接调restful api决定返回json字符串还是跳转到登录页 7.自定义读取用户配置类 1>定义读...
Spring Security入门(十六)-自定义用户认证逻辑
上千主上-贝库塔
05-14 369
一.导学 自定义用户认证逻辑 处理用户信息获取逻辑 处理用户校验逻辑 处理密码加密解密 二.处理用户信息获取逻辑 用户信息获取逻辑在Spring security中是封装在接口 UserDetailsService里面的 这个接口中只有一个方法 根据用户前面输入的用户名到你的存储(不管是数据库还是什么去读取一个用户信息) 用户信息封装在UserDetails接口对象中的实现类中,登陆成功会把...
Spring Security渐入佳境(二) -- 自定义用户认证逻辑
分享技术,共同进步!
12-12 327
(一)用户信息获取 <1>UserDetailsService 这是SpringSecurity提供的一个接口,用于根据登录名获取用户信息(从内存,数据库中…)。 <2>实现接口UserDetailsService 详解UserDetails请参考附录。 @Component public class MyUserDetailsService implements User...
SpringBoot 集成 Spring Security 自定义认证逻辑备忘
热门推荐
nangongyanya的专栏
08-28 1万+
引入 Spring Security 之后(Spring Security 的引入请浏览《SpringBoot 引入 Spring Security 备忘》),Spring Security 将会通过其内置的拦截器对URL进行拦截,以此来管理登录验证和用户权限验证。 当用户登陆时,会被 AuthenticationProcessingFilter 拦截,调用 AuthenticationMana...
SpringSecurity定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(一)
半斤米粉闯天下的博客
08-27 9724
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
springsecurity定义权限认证
最新发布
05-25
Spring Security提供了很多默认的权限认证方式,但是我们也可以自定义权限认证方式。下面是一个简单的示例: 首先,我们需要实现一个自定义的UserDetailsService,该接口用于从数据库或其他数据源中获取用户信息。该接口中有一个方法loadUserByUsername,用于根据用户名获取用户信息。 ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if(user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList<>()); } } ``` 然后,我们需要创建一个自定义的AuthenticationProvider,该类实现了Spring Security提供的AuthenticationProvider接口,用于自定义认证逻辑。在该类中,我们需要重写authenticate方法,该方法接收一个Authentication对象,该对象包含了用户输入的用户名和密码。我们可以通过该对象获取用户输入的用户名和密码,然后根据我们的认证逻辑进行认证,最后返回一个Authentication对象,该对象包含了认证后的用户信息。 ```java @Component public class CustomAuthenticationProvider implements AuthenticationProvider { @Autowired private CustomUserDetailsService userDetailsService; @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String username = authentication.getName(); String password = authentication.getCredentials().toString(); UserDetails userDetails = userDetailsService.loadUserByUsername(username); if(password.equals(userDetails.getPassword())) { return new UsernamePasswordAuthenticationToken(username, password, userDetails.getAuthorities()); } else { throw new BadCredentialsException("Invalid username/password"); } } @Override public boolean supports(Class<?> authentication) { return authentication.equals(UsernamePasswordAuthenticationToken.class); } } ``` 最后,我们需要在Security配置类中使用我们的自定义认证方式。我们可以通过重写configure(AuthenticationManagerBuilder auth)方法来配置我们的认证方式。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthenticationProvider authProvider; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(authProvider); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic(); } } ``` 以上就是一个简单的Spring Security自定义权限认证的示例。通过自定义UserDetailsService和AuthenticationProvider,我们可以实现自己的认证逻辑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java奋斗者

听说打赏我的人再也不会有BUG

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值