spring security 自定义认证

已于 2024-03-02 19:19:21 修改
阅读量868 收藏 21
点赞数 18
分类专栏: Spring Security 文章标签: spring java web安全
于 2024-03-02 18:19:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/migo_/article/details/136419587
版权
本文详细介绍了SpringSecurity框架中的SecurityContextHolder、SecurityContext、Authentication、UserDetailsService、AuthenticationManager等核心组件,以及如何实现自定义身份验证,包括使用AuthenticationProvider和UserDetailsService接口的过程。
摘要由CSDN通过智能技术生成

一个请求是如何被处理的

首先我们知道security框架本身就是通过一堆的filter 过滤器来实现的,所以我们只要到特定的过滤器上看,就能找到相关核心组件,并进行二次开发。

几个核心组件

SecurityContextHolder

Spring Security 身份验证模型的核心是 SecurityContextHolder,它包含 SecurityContext。

SecurityContext

SecurityContext 是从 SecurityContextHolder 获得的,它包含一个 Authentication 对象。

Authentication

Authentication是一个认证对象。在Authentication接口中声明了如下的相关方法。

public interface Authentication extends Principal, Serializable {

    // 获取认证用户拥有的对应的权限
    Collection<? extends GrantedAuthority> getAuthorities();

    // 获取哦凭证
    Object getCredentials();

    // 存储有关身份验证请求的其他详细信息。这些可能是 IP地址、证书编号等
    Object getDetails();

     // 获取用户信息 通常是 UserDetails 对象
    Object getPrincipal();

    // 是否认证
    boolean isAuthenticated();

    // 设置认证状态
    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

基于上面讲的三个组件,我们可以在项目中获取当前用户的登录信息了

    public String hello(){
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        Object principal = authentication.getPrincipal();
        if(principal instanceof UserDetails){
            UserDetails userDetails = (UserDetails) principal;
            System.out.println(userDetails.getUsername());
            return "当前登录的账号是:" + userDetails.getUsername();
        }
        return "当前登录的账号-->" + principal.toString();
    }

UserDetailsService

在上面的关系中我们看到在Authentication中存储当前登录用户的是Principal对象,而通常情况下Principal对象可以转换为UserDetails对象。UserDetails是Spring Security中的一个核心接口。它表示一个principal,但是是可扩展的、特定于应用的。

AuthenticationManager

AuthenticationManager 是定义 Spring 安全过滤器如何执行身份验证的 API。

ProviderManager

ProviderManager 是 AuthenticationManager 最常用的实现。

AuthenticationProvider

可以将多个 AuthenticationProvider 注入 ProviderManager。每个 AuthenticationProvider 执行特定类型的身份验证。例如,DauAuthenticationProvider 支持基于用户名/密码的身份验证,而 JwtAuthenticationProvider 支持对 JWT 令牌进行身份验证。

AbstractAuthenticationProcessingFilter

number 1 当用户提交凭据时

number 2 接下来,身份验证被传递到 AuthenticationManager 以进行身份验证

number 3 如果身份验证失败,则为“失败”

number 4 如果身份验证成功,则为“成功”。

自定义认证

如下我们只需要实现 UserDetailsService 接口,spring就会自动注入我们的认证方法(可以引入其他存储中间件做替换)

@Service
public class CustomUserDetailsServiceImpl implements UserDetailsService{

@Autowired
private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 模拟jdbc获取用户信息
        User user = userMapper.getByUserName(username);
        String userNameJdbc = user.getUserName();
        String userPasswordJdbc = user.getPassWord();

        if(userNameJdbc.equals(username)){
            List<SimpleGrantedAuthority> authorities = new ArrayList<>();
            // 设置登录角色
            authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            UserDetails userDetails = new User(userNameJdbc,userPasswordJdbc,authorities);
            return userDetails;
        }
        throw new UsernameNotFoundException("用户不存在");
    }
}

Jimmy_架构师
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
学习笔记七-AuthenticationProvider
云智禅师的专栏
12-13 3万+
AuthenticationProvider 认证是由 AuthenticationManager 来管理的,但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider。AuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentication-provid
spring security默认表单认证
qq_28248897的博客
11-20 260
1. 添加配置类 import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.sprin...
Spring Security (一):自定义认证
weixin_55136824的博客
07-28 682
Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架,spring security 在程序启动时,向spring中注入一个默认的filterChian,按照顺序,依次执行filter,对用户信息进行认证,授权。官网链接: Spring Security :: Spring SecurityCorsFilterCsrfFilterOpenIDSiteMinder其中,默认的认证过滤器为 UsernamePasswordAuthenticationFilter。
4、security之自定义数据源
程序三两行
07-20 455
spring security 内存认证和自定义数据源认证
一文教会你SpringSecurity定义认证登录
qq_36551991的博客
11-17 2620
现在登录方式越来越多,传统的账号密码登录已经不能满足我们的需求。可能我们还需要手机验证码登录,邮箱验证码登录,一键登录等。这时候就需要我们自定义我们系统的认证登录流程,下面,我就一步一步在SpringSecurity定义认证登录,以手机验证码登录为例
Spring Security定义用户认证
艾华生的博客
08-19 4191
Spring Security定义用户认证Spring Boot中开启Spring Security一节中我们简单地搭建了一个Spring Boot + Spring Security的项目,其中登录页、用户名和密码都是由Spring Security自动生成的。Spring Security支持我们自定义认证的过程,如使用自定义的登录页替换默认的登录页,用户信息的获取逻辑、登录成功或失败后的处理逻辑等。这里将在上一节的源码基础上进行改造。 配置自定义登录页 为了方便起见,我们直接在src/main/
spring security-认证授权
qq_36500178的博客
01-24 793
1 WebSecurityConfigurerAdapter 在说spring security 认证和授权流程之前,一定要先了解WebSecurityConfigurerAdapter配置类如何工作的。而且也必须了解清楚filter的顺序,才能更好了解其调用工作流程。 Spring security config具有三个模块,一共有3个builder,认证相关的AuthenticationManagerBuilder和web相关的WebSecurity、HttpSecurity 。 Authenti
Spring security定义用户认证流程详解
08-24
Spring Security定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security定义...
spring security定义认证登录的全过程记录
08-28
Spring Security定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的...
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
Spring Security定义登录原理及实现详解
09-07
- `successHandler`和`failureHandler`: 自定义认证成功和失败的处理器。 - `permitAll`: 控制form登录是否允许所有请求。 5. **自定义登录实现** 通过`FormLoginConfigurer`,我们可以设置登录页面、处理URL、...
Spring security定义密码加密方式的使用范例。
09-15
本示例将介绍如何在Spring Security中自定义密码加密方式,以及如何处理认证成功和失败的情况。 首先,我们需要了解Spring Security的基本架构。它主要包括以下组件: 1. **Filter Security Chain**:这是Spring ...
SpringSecurity定义认证
张氏小毛驴的博客
08-11 4825
​ 学习了SpringSecurity的使用,以及跟着源码分析了一遍认证流程,掌握了这个登录认证流程,才能更方便我们做自定义操作。​ 下面我们来学习下怎么实现多种登录方式,比如新增加一种邮箱验证码登录的形式,但SpringSecurity默认的Usernamepassword方式不影响。自定义一个邮箱验证码的认证,将邮箱号码作为key,验证码作为value存放到Redis中缓存。首先回顾下之前源码分析的认证流程,如下图:首先前端是填写邮箱,点击获取验证码输入获取到的验证码,点击登录按钮,发送登录接口(/em
Spring Security 核心解读(二)自定义认证授权体系
冰糖的博客
06-03 1001
Spring Security定义认证授权
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 4010
springboot整合SpringSecurity实现登录和自定义权限认证
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7657
实现SpringSecurity定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
Spring Security 04 自定义认证
weixin_46058921的博客
04-22 1490
发起认证请求,请求中携带⽤户名、密码,该请求会被 UsernamePasswordAuthenticationFilter 拦截在 UsernamePasswordAuthenticationFilter 的 attemptAuthentication ⽅法中将请求中⽤户名和密码,封装为Authentication 对象,并交给 AuthenticationManager 进⾏认证
SpringSecurity - 简单前后端分离 - 自定义认证
铠の魂博客
07-21 1641
终于到了我们关心的第一个问题,认证篇。此篇我们将结合前面的认证架构来详细讲解如何实现自定义认证处理,会简单的讲解一些原理,不会太过深入。要想玩转SpringSecurity认证,就必须先看懂其认证架构。我们要自定义认证类,只需要继承其抽象认证基类即可,完全可以根据其它的默认实现进行复制粘贴。我们知道在前后端交互中,都是JSON交互,所以我们自定义一个JSON的认证类。项目包路径可以自定义,我的关于Security的都在security包下,自定义token放在token包下。自定义认证类。......
Spring纯注解开发
最新发布
Admans的专栏
07-18 853
Spring3.0引入了纯注解开发的模式,框架的诞生是为了简化开发,那注解开发就是简化再简化。Spring的特性在整合MyBatis方面体现的淋漓尽致哦注解开发前,配置Bean时是在xml里将class分别写在Bean标签里,然后起id,就像这样注解开发后,配置Bean时首先将xml里的标签删掉,然后在类上添加@Component注解即可在xml文件中来写一个扫描包的注解标签,对象就装进IOC容器里了component-scan:component意为组件,scan意为扫描。
springsecurity定义认证
07-28
Spring Security提供了自定义认证的功能,可以通过以下步骤实现: 1. 创建一个自定义的用户密码校验过滤器,例如AdminAuthenticationProcessingFilter,并在Spring Security核心配置类中进行配置\[1\]。 2. 在自定义的用户密码校验过滤器中配置认证管理器,例如CusAuthenticationManager,以及认证成功处理和认证失败处理等\[1\]。 3. 创建一个自定义认证处理类,例如AdminAuthenticationProvider,实现自己的相应业务逻辑,并在认证管理器中进行配置\[1\]。 4. 可以根据需要,创建一个自定义认证对象,例如EmailCodeAuthenticationToken,继承AbstractAuthenticationToken,并定义相应的构造器\[2\]\[3\]。 通过以上步骤,可以实现Spring Security的自定义认证功能。 #### 引用[.reference_title] - *1* [Spring Security(2) 自定义登录认证](https://blog.csdn.net/qq_38225558/article/details/102542072)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [SpringSecurity定义认证](https://blog.csdn.net/chisuisi5702/article/details/126282074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值