SpringSecurity6自定义登录接口

于 2024-06-30 23:52:18 发布
阅读量351 收藏 4
点赞数 8
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69105544/article/details/140088654
版权

关于springSecurity6的登录认证架构如图:

在该登录认证架构中主要是通过Authentication的对象进行存储账户密码后,通过AuthenticationManager进行认证用户,在认证通过后就登录成功,其中在AuthenticationManager认证用户名密码主要是通过DaoAuthenticationProvider完成,其中的认证过程为下图

故该文章通过采用DaoAuthenticationProvider来进行自定义登录架构

其中需要在SpringSecurity配置类中暴露DaoAuthenticationProvider的bean,在暴露DaoAuthenticationProvider的bean时候,需要设置他的UserDetailsService和PasswordEncoder,因为DaoAuthenticationProvider主要是通过设置的这两个对象进行认证,其中UserDetailsServices 来加载真实的用户信息,PasswordWEncoder则是获取密码的加密方式

package com.infinityai.config;

import com.infinityai.domain.UserServerManager;
import jakarta.annotation.Resource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Profile;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.DefaultSecurityFilterChain;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.context.NullSecurityContextRepository;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@EnableMethodSecurity
@EnableWebSecurity
@Configuration
public class SecurityConfig {
    @Resource
    private LoginSuccessHandle loginSuccessHandle;//登录成功处理
    @Resource
    private LoginFailHandle loginFailHandle;//登录错误处理
    @Resource
    private DaoAuthenticationEntryPoint authenticationEntryPoint;//认证错误处理
    @Resource
    private DaoDeniedHandler daoDeniedHandler;//权限错误处理
    @Resource
    private JwtDaoAuthentication jwtDaoAuthentication;//jwt认证处理



    @Autowired
    private UserServerManager userServerManager;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.csrf(c->c.disable())
                .cors(Customizer.withDefaults())
                .httpBasic(Customizer.withDefaults())
                .authorizeHttpRequests(r->
                        r.requestMatchers("/druid/**","/file/**","/admin/login").permitAll()
                                .anyRequest().authenticated())
                .formLogin(f->
                        f.failureHandler(loginFailHandle)
                                .successHandler(loginSuccessHandle)
                )
                .addFilterBefore(jwtDaoAuthentication, UsernamePasswordAuthenticationFilter.class)
                .requestCache(r->r.disable())//请求缓存关闭,认证成功后跳到的请求,前后端分离不需要这个
                .securityContext(s->s.securityContextRepository(new NullSecurityContextRepository()))//前后端无需会话管理
                .sessionManagement(s->s.sessionCreationPolicy(SessionCreationPolicy.STATELESS))//前后端无需会话管理
                ;
        http.exceptionHandling()
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(daoDeniedHandler);
        return http.build();
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.addAllowedOriginPattern("*");//修改为添加而不是设置,* 最好改为实际的需要,我这是非生产配置,所以粗暴了一点
        configuration.addAllowedMethod("*");//修改为添加而不是设置
        configuration.addAllowedHeader("*");//这里很重要,起码需要允许 Access-Control-Allow-Origin
        configuration.setAllowCredentials(true);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }

    @Bean
    public DaoAuthenticationProvider daoAuthenticationProvider(){
//        自定义用户登录的 认证架构  需要设置userDetailsService和passwordencoder
        DaoAuthenticationProvider provider=new LoginAuthenticationProvider();
        provider.setUserDetailsService(userServerManager);
        provider.setPasswordEncoder(new BCryptPasswordEncoder());
        return provider;
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

在配置完DaoAuthenticationProvider后就可以直接自定义登录接口了

package com.infinityai.controller;

import com.alibaba.fastjson2.JSON;
import com.infinityai.domain.UserServer;
import com.infinityai.domain.UserServerManager;
import com.infinityai.entity.User;
import com.infinityai.mapper.impl.UserServiceImpl;
import com.infinityai.tool.JwtUtils;
import com.infinityai.tool.RedisUtils;
import com.infinityai.tool.Result;
import jakarta.annotation.Resource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import java.util.Date;

@RestController
public class BasicController { 

    @Autowired
    DaoAuthenticationProvider authenticationProvider; //自动注入
    @Autowired
    private RedisUtils redisUtils;


   

    @PostMapping("/admin/login")
    public Result adminLogin(@RequestBody User user) {
        System.out.println(user);
        if (user.getUsername().isEmpty() || user.getPassword().isEmpty()) {
            return Result.error("账户密码为空");
        } else {
            System.out.println("认证前的信息获取");
            Authentication authentication = new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword());//需要认证的信息
            Authentication authenticate = authenticationProvider.authenticate(authentication); //进行认证
            if (authenticate.isAuthenticated()) {
//              用户登录成功

                UserServer userServer = (UserServer) authenticate.getPrincipal();
                redisUtils.set(authenticate.getName(), userServer);

                return Result.success(JwtUtils.createToken(authenticate.getName()));
            } else {
                return Result.error("账户密码错误");
            }

        }

    }
}

这样子就完成了简易的SpringSecurity

hs_黑山老妖
关注
  • 8
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 6.x 系列【42】授权服务器篇之自定义密码模式
记录知识、锤炼自我
05-16 1158
Spring Authorization Server基于Oauth 2.1,不再支持passeord密码授权模式,对于使用了Spring Security Oauth框架的项目来说,很多都使用了密码模式,接下来我们自定义开发密码模式,其他自定义模式参照该流程实现即可。
Spring Security 6.x 系列【7】认证篇之表单登录自定义配置
记录知识、锤炼自我
03-29 2273
提供了默认的认证规则,也支持各种自定义配置,本篇文档主要学习中表单登录的相关自定义配置。未认证的请求会重定向到默认登录页面,也支持自定义登录页面,首先创建一个简单的登录页login.html。
新版Spring Security6.2案例 - Authentication用户名密码
喝醉的鱼博客
12-12 4687
新版Spring Security6.2案例 - Authentication用户名密码表单登录
SpringSecurity6从入门到实战之自定义登录页面
最新发布
helloworld工程师的博客
06-17 646
由于自定义登录页面会使用到前端相关技术,这里需要引入thymeleaf依赖
一文教会你SpringSecurity 自定义认证登录
qq_36551991的博客
11-17 3229
现在登录方式越来越多,传统的账号密码登录已经不能满足我们的需求。可能我们还需要手机验证码登录,邮箱验证码登录,一键登录等。这时候就需要我们自定义我们系统的认证登录流程,下面,我就一步一步在SpringSecurity 自定义认证登录,以手机验证码登录为例
6.SpringSecurity自定义用户登录页面
卷土的博客
05-06 725
上面的/user/login也可以换成/login,主要是以/login结尾。页面中的username,password不能修改,只能是固定值。
SpringSecurity 6.X新版】自定义过滤器登录方式
qq_25746193的博客
04-16 1394
适用于5.7.5及6.X版本,以密码账号登录方式通过过滤器验证方式实现
SecuritySpring Boot配置自定义登录接口
qq_43887341的博客
06-21 1256
SecuritySpring Boot配置自定义登录接口
SpringSecurity6 | 自定义登录页面
分享思想,留下痕迹。
12-09 1692
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习通过SpringSecurity的一些自定义配置来完成我们自定义认证规则的一些需求。这篇文章我们主要来介绍一下如何自定义我的登录页面。好了,话不多说让我们开始吧😎😎😎。在我们的pom.xml文件中导入ThymeLeaf依赖。
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
SpringSecurity系列——简单自定义登录流程day1-3
qq_51553982的博客
06-19 1066
SpringSecurity的原理其实是个过滤器链,其内部包含了各式各样功能各异的过滤器,通过这些过滤器,对消息进行拦截、放行、处理操作 这里你可以看到filters中的共计16个过滤器了 2.编写yaml 3.编写entity,mapper User UserMapper 4.自定义登录表单对象实现UserDetails接口 5.自定义UserDetailsServiceImpl实现UserDetailsService 6.修改数据库密码 添加{noop}表示明文存储 访问 使用数据库中的用户
Spring Security)学习六:自定义用户(如:数据库用户)登录
希克的博客
08-30 664
实现UserDetailsService接口重写loadUserByUsername方法,这个方法是实现自定义用户登录的关键,这个方法中实现查询数据库用户信息,并判定用户存在性,同时还有实现PasswordEncoder接口,来匹配登录密码与数据库密码的关系。...
SpringBoot - 安全管理框架Spring Security使用(6)-自定义登录页、接口、结果
Andy's Blog
06-06 505
在之前的所有样例中,登录表单一直都是使用Spring Security提供的默认登录页,登录成功后也是默认的页面跳转。有时我们想要使用自定义登录页,或者在前后端分离的开发方式中,前后端的数据交互通过JSON进行,这时登录成功后就不是页面跳转了,而是一段JSON提示。下面通过样例演示如何进行登录表单的个性化配置。 六、自定义登录页面、登录接口登录成功或失败的处理逻辑 1,样例代码 (1)首先修改Spring Security配置,增加相关的自定义代码: 将登录页改成使用自定义...
SpringSecurity - 自定义登录
qq_36782325的博客
04-18 471
基于若依框架进行开发,根据业务需求实现相应的登录功能。
SpringSecurity详解,实现自定义登录接口
个人笔记git:https://gitee.com/tlangp/note.git
10-28 4648
目前市面上比较流行的权限框架主要实Shiro和,这两个框架各自侧重点不同,各有各的优劣。要在自己写的页面手动调用登录接口同时还要进行附加操作。层不可能从内存中查询用户,需要跟实际的权限数据库关联。编写登录接口,在其中调用方法。该接口需要再未登录的情况下可调用,所以要放开权限。编写个的实现类,重写方法,在改方法中根据传来的用户名去自己的权限数据库查询用户信息。封装到用户实体类中。
SpringSecurity 登录接口
zhangaob的博客
04-30 1065
调用loadUserByUsername方法查询用户,InMemoryUserDetailManager是在内存里查找,我们自己实现UserDetailsService的实现类UserDetailsServiceImpl,从数据库里查。再回到BlogLoginServicelmpl中如果认证通过生成jwt,把用户信息存入redis中。一个是登录时候的认证,一个是其他链接要校验携带的token是否正确。一个是登陆认证,一个是校验(判断token是否正确)认证授权失败处理(自定义异常处理)
SpringSecurity(6.1.x版本) 认证,授权,自定义登录,内部机制探讨
m0_73976305的博客
07-18 1874
SpringSecurity CSRF跨站请求伪造攻击 SFA会话固定攻击 XSS跨站脚本攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义验证 其他配置 自定义登录界面 记住我功能 授权 基于角色授权 基于权限授权 使用注解权限判断 内部机制探究 授权校验流程 安全上下文 安全上下文持久化过滤器
Spring Security(六):自定义登录成功与失败处理
zhujunjun6的专栏
03-20 1113
基本思路:实现AuthenticationSuccessHandler或AuthenticationFailureHandler接口,并进行相应的配置就可以了。当然框架有默认的实现类,也可以继承实现类再来自定义自己的业务。 操作流程 1、【zjj-security-demo 工程】修改application.yml 屏蔽属性loginPage,为后面一会测试使用,新增属性loginTyp...
springsecurity自定义登录接口
06-06
Spring Security可以通过自定义登录接口来实现自定义的用户认证和授权机制。具体步骤如下: 1. 实现UserDetailsService接口,该接口用于从数据库或其他数据源中获取用户信息。 2. 实现AuthenticationProvider接口,该接口用于对用户进行认证和授权。 3. 在Spring Security配置文件中配置自定义的UserDetailsService和AuthenticationProvider。 4. 在登录页面中提交用户名和密码,Spring Security会自动调用自定义的UserDetailsService和AuthenticationProvider进行认证和授权。 5. 如果认证和授权成功,Spring Security会将用户信息存储在SecurityContext中,以便后续的访问控制。 6. 如果认证和授权失败,Spring Security会返回错误信息给用户。 总之,通过自定义登录接口,可以实现更加灵活和安全的用户认证和授权机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值