【Spring Security OAuth2笔记系列】- spring security - 自定义用户认证逻辑

最新推荐文章于 2024-06-21 08:30:00 发布
最新推荐文章于 2024-06-21 08:30:00 发布
阅读量3k 收藏 2
点赞数
分类专栏: # spring security+oauth2 文章标签: UserDetailsService User spring security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mr_zhuqiang/article/details/81865742
版权

自定义用户认证逻辑

  • 处理用户信息获取逻辑
  • 处理用户校验逻辑
  • 处理密码加密解密

注意!注意!

视频中启动的是demo。而这次要写的代码在security-browser中。
遇到一个问题也就是在 项目结构 一文中最后的 关于依赖项目没有被扫描到的问题;
如果按照笔记走出现了这个问题。就去项目结构中关于”关于依赖项目没有被扫描到的问题”解决

处理用户信息获取逻辑

org.springframework.security.core.userdetails.UserDetailsService

UserDetailsService接口用于加载用户特定的数据,它在整个框架中作为用户DAO使用,是验证提供者使用的策略。
该接口只需要一个只读方法,这简化了对新的数据访问策略的支持。

实现一个自定义的UserDetailsService

package cn.mrcode.imooc.springsecurity.securitybrowser;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

/**
 * ${desc}
 * @author zhuqiang
 * @version 1.0.1 2018/8/3 9:16
 * @date 2018/8/3 9:16
 * @since 1.0
 */
// 自定义数据源来获取数据
// 这里只要是存在一个自定义的 UserDetailsService ,那么security将会使用该实例进行配置
@Component
public class MyUserDetailsService implements UserDetailsService {
    Logger logger = LoggerFactory.getLogger(getClass());

    // 可以从任何地方获取数据
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名查找用户信息
        logger.info("登录用户名", username);
        // 写死一个密码,赋予一个admin权限
        return new User(username, "123456",
                        AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

这样就能让自定义的UserdetailsService生效了。但是在浏览器中登录的时候,后台报错了

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

这个异常是spring security5+后密码策略变更了。必须使用 PasswordEncoder 方式也就是你存储密码的时候
需要使用{noop}123456这样的方式。这个在官网文档中有讲到

花括号里面的是encoder id ,这个支持的全部列表在以下的方法中定义

org.springframework.security.crypto.factory.PasswordEncoderFactories#createDelegatingPasswordEncoder

noop 对应的处理类是org.springframework.security.crypto.password.NoOpPasswordEncoder,只用于测试;因为没有做任何加密功能

修改完成之后再次访问。发现可以了

小插曲

之前由于跳过了视频中的项目结构解说,自己根据经验使用gradle。由于视频中用的maven。我用的gradle。问题还真不少;

视频中演示 demo项目依赖于我们刚刚配置好的security-browser项目中的自定义UserDetailsService功能;
启动demo项目后发现browser中的配置无法被扫描到;然后重新观看了项目结构这一章节。并把该章节笔记重新记录下了;
有可能会导致一小部分依赖配置和这之前的笔记中有一点点的不一样。不过不要紧。已经解决了

处理用户校验逻辑

自定义的其他逻辑是在 org.springframework.security.core.userdetails.User 中提供的,
只要在登录的时候把user中提供的信息返回即可达到支持的业务逻辑,下面列出支持的业务场景:

  • isEnabled 账户是否启用
  • isAccountNonExpired 账户没有过期
  • isCredentialsNonExpired 身份认证是否是有效的
  • isAccountNonLocked 账户没有被锁定
    对于 isAccountNonLocked 和 isEnabled 没有做业务处理,只是抛出了对于的异常信息;
// 这里的几个布尔值的含义对应上面列出来的顺序
User admin = new User(username, "{noop}123456",
                      true, true, true, false,
                      AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));

处理密码加密解密

密码加密解密是使用了下面这个类

org.springframework.security.crypto.password.PasswordEncoder

在自己摸索中也经常提示 这个类或则什么id为null;

配置只需要提供一个实例即可,会自动使用该实例

@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

在UserDetailsService中需要模拟存入数据库中的密码就是加密后的字符串

@Component
public class MyUserDetailsService implements UserDetailsService {
    Logger logger = LoggerFactory.getLogger(getClass());

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        logger.info("登录用户名:{}", username);
        String password = passwordEncoder.encode("123456");
        logger.info("数据库密码{}", password);
        User admin = new User(username,
//                              "{noop}123456",
                              password,
                              true, true, true, true,
                              AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

其实框架会把提交的密码使用我们定义的passwordEncode加密后调用 org.springframework.security.crypto.password.PasswordEncoder#matches方法,
与 返回的User中的密码进行比对。配对正常就验证通过;

唯一感觉奇怪的是{noop}123456方式的密码居然可以不用写了;
尝试过{bcrypt}123456还是不行

尝试两次登录,发下每次加密的都不一样,但是还能对上结果。感觉很强大;
介绍说:对于同一个串加密多次产生的不一样,就不会存在暴利破解一个串,其他串都失效的情况.

但是本人还是没有想明白。总感觉哪里没有想明白一样,不同的串都能反推出来,有啥安全的?

2018-08-03 13:45:58.614  INFO 18300 --- [nio-8080-exec-3] c.m.i.s.s.MyUserDetailsService           : 登录用户名:admin
2018-08-03 13:45:58.708  INFO 18300 --- [nio-8080-exec-3] c.m.i.s.s.MyUserDetailsService           : 数据库密码$2a$10$TaQerjh.VaTRfSLxUozH/eaxgZAcM1H7b0NHEj3peL8Ar8cGfY/R.
2018-08-03 13:47:08.035  INFO 18300 --- [nio-8080-exec-7] c.m.i.s.s.MyUserDetailsService           : 登录用户名:admin
2018-08-03 13:47:08.128  INFO 18300 --- [nio-8080-exec-7] c.m.i.s.s.MyUserDetailsService           : 数据库密码$2a$10$jR3gKmOp7LifbXPPHie.JuOW1FmqklzsdZm1spK/r19MkXjpPOa4a

总结

  • 处理用户信息获取逻辑 使用 UserDetailsService
  • 处理用户校验逻辑 使用 UserDetails
  • 处理密码加密解密 使用 PasswordEncoder
代码有毒 mrcode
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
SpringSecurity入门(二)
m0_69526738的博客
04-23 657
String getUsername(); boolean isAccountNonExpired(); boolean isAccountNonLocked(); boolean isCredentialsNonExpired(); boolean isEnabled(); } UserDetails的主要实现类是:org.springframework.security.core.userdetails.User [](()案例整合 ===================================
Spring cloud Oauth2的密码模式数据库方式实现登录授权验证
灰太狼
12-21 2841
1.oauth2的密码模式基础使用可以查看​​Spring cloud Oauth2的密码模式内存方式实现登录授权验证​​ 2.在项目中oauth2的密码模式实现授权都是直接读取数据库的用户信息进行验证的。 oauth2-server: 认证中心,提供token的生成,刷新,认证功能。 oauth2-client: 客户端服务,调用接口会去认证中心验证token一致性。 3.代码实现: 在​​Spring cloud Oauth2的密码模式内存方式实现登录授权验证​​的基础代码上进行更改。 3.
Spring OAuth2+Mybatis+Redis,打造基于密码模式token授权认证服务器!适用于前后端分离项目。(精选长文)
m0_59562547的博客
10-08 1752
1
记一次OAuth2.0用户鉴权
最新发布
Karka_的博客
06-21 987
这就是我的一次OAuth2鉴权登录的完整记录啦,(找了蛮多资料发现叙述完整流程的很少,踩了蛮多坑,所以自己动手写了个完整的 ~)接下来我将给各位同学划分一张学习计划表!
Spring Security LockedException: User account is locked问题解决
旭东怪的博客
03-30 3627
问题描述: org.springframework.security.authentication.LockedException: User account is locked 问题分析: 1、实现了UserDetails类的isAccountNonLocked方法,但是返回了false,代表用户已经锁住了。 @Override public boolean isAccountNonLocked() { return false; } 解决办法:isAc
Spring Security
m0_45209551的博客
05-19 1467
目录 04、Spring Security从数据库中读取信息 pom依赖 application.properties User 1.每个实体类的属性名都不一样,怎么知道你哪个字段表示用户名,那个字段表示密码,Spring Security提供了统一的方法实现UserDetails 接口 2.先重写方法,再实现get和set方法 3.重写了自动的,记得删掉get方法 UserService用户登录的时候,会自动调用到这个方法 UserMapper UserMapper.xml ..
资源服务器Token校验逻辑(源码解释)
m0_54554770的博客
12-12 784
SpringSecurityOauth2 资源服务器 Token校验逻辑 源码解释
Oauth2.0 的流程和逻辑整理
weixin_43443954的博客
12-18 3043
Oath2.0 的方案介绍
Spring Security02--认证
fengxianaa的博客
05-10 809
spring security
Spring Security httpbasic的三种密码认证方式
jiangguochen2的博客
05-25 797
Spring Security 中,可以通过多种方式指定密码。
Spring Security灵活的PasswordEncoder加密方式
恒宇少年De成长之路
10-22 4629
知识改变命运,撸码使我快乐,2020继续游走在开源界 点赞再看,养成习惯 给我来个Star吧,点击了解下基于SpringBoot的组件化接口服务落地解决方案 本章基于Spring Security 5.4.1版本编写,从5.x版本开始引入了很多新的特性。 为了适配老系统的安全框架升级,Spring Security也是费劲了心思,支持不同的密码加密方式,而且根据不同的用户可以使用...
spring security 5.0 密码未加密报错
08-14 361
使用springsecurity5.0后,配置文件中直接写普通的密码如:123456,会报错: java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null" 这是因为spring security5.0以后默认需要选择密码加密方式,如果还像之前版本直接配置未加密密码,...
Spring Security+Oauth2+JWT实现用户登录逻辑,以及使用login接口登录成功返回token获取
z132411的博客
05-07 4601
目录 pom引入 配置Spring Security 1.实现UserDetailsService接口 2.登录成功处理 3.登录失败处理 4.登出处理 5.没有权限处理设置 6.匿名用户访问处理 7.指定加密方式 8.WebSecurityConfig配置 oauth2处理 配置授权服务器 配置资源服务器 jwt配置 jwt转换器 jwt扩展存储 本文整合了前两篇文章,再结合Oauth2实现了单点登录的基本处理。 之前的文章: SpringBoot整合Spring
Spring Security Oauth2自定义登录简单实现
huihuiwuhui的专栏
10-19 5286
参考文章Spring Security Oauth2关于自定义登录的几种解决方案(一)_小丑竟是我自己-CSDN博客 初衷 由于oauth2默认提供的password模式需要client_id,秘钥,grant_type,用户名,密码这几个参数才可以进行登录验证。 有没有一种方式,只输入用户名,密码就能登录的呢? 代码实现 目录 初衷 代码实现 新建用户名密码权限认证类 新建oauth核心配置类 新建登录方法 配置客户端 测试 总结 导入oauth包 <?xm.
Spring Security Oauth2】构建授权服务器(五):自定义用户登录)认证策略
apple_csdn的博客
03-10 8281
一、背景介绍 1、通过之前的文章搭建授权服务器时,使用的登录账号和密码是在代码中写入的。而业务都是取数据库中的用户信息进行认证。 二、环境准备 【Spring Security Oauth2】构建授权服务器(一):内存模式 三、自定义(登录)认证策略 1、创建AccountDetailsServiceImpl类继承UserDetailsService类,用于查询数据库中用户信息。文章就简单化了,具体数据库操作需自己接入。 package com.cyun.security.oauth2.config.se
Spring Security认证用户定义
大后生大大大的博客
11-18 941
UserDetailsService、InMemoryUserDetailsManager
Spring Security Oauth2 授权码模式下 自定义登录、授权页面
HSJ0170的博客
06-18 1万+
一开始网上教程一堆,都是各抄各的,有的直接代码缺少,有的直接不可以用(MLGB的),于是乎去spring官网找找看,还真找到,最终自己配置搭建成功跑了一遍demo,美滋滋。一些HTML文件还是网上的,见谅~ 由于是springcloud项目(注册和配置中心是nacos),认证中心在auth模块,自己demo搭建测试直接在auth模块,没有走网关gateway sys_oauth_client_details表: CREATE TABLE `sys_oauth_client_details` ( `cli
Spring Oauth2.0 自定义认证模式
weixin_42782429的博客
03-27 1743
首先呢在这之前我们要搞清楚什么是Oauth , OAuth 是一个开放标准,该标准允许用户让第三方应用访问该用户在某一网站上存储的私密资源(如头像、照片、视频等),而在这个过程中无需将用户名和密码提供给第三方应用。实现这一功能是通过提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。采用令牌(token)的方式可以让用户灵活的对第三方应用授权或者收回权限。OAuth2 是 OAuth 协议的下一版本,但不向下兼容 OAuth 1.0。
OAuth2.0实战(二)四种认证方式的基本使用
热门推荐
弹指天下
10-06 1万+
认证方式: authorizedGrantTypes指的是认证类型,在OAuth2.0里面有以下这几种认证方式。 authorization_code 授权码认证 client_credentials 客户端认证 password 密码认证 implicit 隐式授权类型 refresh_token 刷新密钥 ...
Spring Security OAuth2 Boot 2.6.8官方维护与迁移指南
Spring Security OAuth2 Boot提供了一系列自动配置选项,方便开发者快速集成OAuth2.0协议,尤其是在迁移至Spring Boot 2.x时,作为旧版OAuth支持与新版Spring Security 5之间的一个过渡工具。 1.1 自动配置与授权...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值