spring security——工作笔记 实现自定义 AuthenticationProvider身份认证-使用不同的用户表订证登录

最新推荐文章于 2024-07-25 19:54:12 发布
最新推荐文章于 2024-07-25 19:54:12 发布
阅读量1.4k 收藏 4
点赞数
文章标签: spring 笔记 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ourenyou/article/details/131105269
版权

security表单身份认证思路解析,即用户名密码登录认证
先理一下现有的思路:

首先需要向 security 的过滤链中添加一个过滤器,能够捕捉我们的登录请求,然后通过请求中的手机号码等信息封装一个用户信息 ,并交给用户信息处理者进行处理匹配,这个用户匹配到对应的处理者之后,通过处理者的业务调用,拿到对应的数据源,然后进行密码匹配,匹配成功就返回已认证的用户信息,逐级返回到过滤器中,过滤器中将用户信息存到安全上下文Holder中,方便后续请求使用,并跳过后面过滤链。

  1. 首先先创建用户信息配置类 PhonePasswordAuthenticationToken ,并继承 UsernamePasswordAuthenticationToken
    2.自定义的 UserDetailsService
  2. 然后创建 PhoneAuthenticationProvider 实现 AuthenticationProvider 其中的二个方法
    4.在SecurityConfig添加身份认证
    5.SysLoginService业务层调用不同的接口

创建用户信息配置类 PhonePasswordAuthenticationToken

//继承 UsernamePasswordAuthenticationToken ,不继承 AbstractAuthenticationToken 的原因是后续会进行类型匹配,现在不需要那么高深的配置,所以先继承 UsernamePasswordAuthenticationToken

public class PhonePasswordAuthenticationToken extends UsernamePasswordAuthenticationToken {
    private static final long serialVersionUID = 6339981734663827267L;
 
    //注意,Authentication 对象中,会需要密码信息(Credentials)、身份信息(Principal)、权限信息(Authorities)、细节信息(Details),但不一定都需要
 
 
    public PhonePasswordAuthenticationToken(Object principal, Object credentials) {
        //调用父类的构造函数,创建一个未认证的 Token
        super(principal, credentials);
    }
 
    public PhonePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        //调用父类的构造函数,创建一个已认证的 Token
        super(principal, credentials, authorities);
    }
}

实现 UsernamePasswordAuthenticationToken 之后,就只需要创建两个默认的构造器,也就是调用 UsernamePasswordAuthenticationToken 的构造方法创建 Token 对象。

修改自定义的 UserDetailsService实现类

创建不同的数据查询入口

第一种用户验证

@Service
@Primary
public class UserDetailsServiceImpl implements UserDetailsService
{
    private static final Logger log = LoggerFactory.getLogger(UserDetailsServiceImpl.class);

    @Autowired
    private ISysUserService userService;
    
    @Autowired
    private SysPasswordService passwordService;

    @Autowired
    private SysPermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
    {
        SysUser user = userService.selectUserByUserName(username);
	......
    }

    public UserDetails createLoginUser(SysUser user)
    {
        ......
    }
}

第二种用户验证
先用一个接口继承

public interface MyUserDetailsService extends UserDetailsService {
}

再用一个类来实现

```java
public class MyUserDetailsServiceImpl implements MyUserDetailsService {
 
...

    //通过 phone 获取用户信息,前提手机号码能定位唯一用户
    public UserDetails loadUserByPhone(String phone) throws UsernameNotFoundException {
        //从持久层获取数据
        User user = userMapper.getUserInfoByPhone(phone);
 
        if(user == null){
            //这是 security 自带的异常,会在过滤连中捕捉到
            throw new UsernameNotFoundException("用户不存在!");
        }
 
        //现在 user 对象里面的 roles 是 string 类型,并且用逗号隔开的,我们需要将 roles 设置到 authorities 类型中。
        //我们需要把他修改为 security 可识别的权限类型 ,GrantedAuthority 接口是 security 保存权限的类型,SimpleGrantedAuthority 是它的实现类,也是security 最常使用的。
        //AuthorityUtils.commaSeparatedStringToAuthorityList( String )是 security 提供的用于将逗号隔开的权限字符串切割成权限列表。
        user.setAuthorities(AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles()));
 
        return user;
    }
}

然后创建 PhoneAuthenticationProvider

@Slf4j
@Component
public class PhoneAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private MyUserDetailsService userDetailsService;
    /** 密码加密规则 */
    @Autowired
    private PasswordEncoder bCryptPasswordEncoder;
    /**
     * 进行验证码认证
     *
     * @param authentication
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        long time = System.currentTimeMillis();
        log.info("用户名/密码 开始登录验证 time:{}", time);
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        // 1、去调用自己实现的UserDetailsService,返回UserDetails
        UserDetails userDetails = userDetailsService.loadUserByUsername(username);
        // 2、密码进行检查,这里调用了PasswordEncoder,检查 UserDetails 是否可用。
        if (Objects.isNull(userDetails) || !bCryptPasswordEncoder.matches(password, userDetails.getPassword())) {
            throw new BadCredentialsException("账号或密码错误");
        }
        // 3、返回经过认证的Authentication
        PhonePasswordAuthenticationToken result = new PhonePasswordAuthenticationToken(userDetails, null, Collections.emptyList());
        result.setDetails(authentication.getDetails());
        log.info("用户名/密码 登录验证完成 time:{}, existTime:{}", time, (System.currentTimeMillis() - time));
        return result;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        boolean res = PhonePasswordAuthenticationToken.class.isAssignableFrom(authentication);
        log.info("用户名/密码 是否进行登录验证 res:{}", res);
        return res;
    }
}

在SecurityConfig 加下

@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{

    /** 用户 认证器 */
    @Autowired
    private PhoneAuthenticationProvider phoneAuthenticationProvider;
......

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
        auth.authenticationProvider(phoneAuthenticationProvider);
    }
}

在服层区调用不同的登录SysLoginService

if(type==1)
authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
else
authentication = authenticationManager.authenticate(new PhonePasswordAuthenticationToken(username, password));
ourenyou
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity学习笔记(三)——自定义登录界面读取数据库用户以及权限
东天里的冬天
07-01 1059
SpringSecurity学习笔记(一)——入门篇中,在文末我们介绍了SpringSecurity如何使用自定义登录界面,因为用户和权限都是写死的,所以相对本篇而言,简单很多,本文将介绍如何通过自定义界面来读取数据库中的用户以及相应的权限。 一.login.jsp 注意:这边url和SpringSecurity学习笔记(一)——入门篇中所述的差别很大,这里的url不仅可以为j_s
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
spring security——学习笔记(day05)-实现自定义 AuthenticationProvider身份认证-手机号码认证登录
键上艺术家
12-31 7665
实现SpringSecurity自定义认证Provider 的代码,编写一个根据手机号码认证登录的实例
SpringSecurity——如何编写UserDetailsService负责从数据源中加载用户信息
程序员阿皓的博客
05-03 487
编写一个自定义的是在Spring Security实现用户认证的重要步骤。UserDetailsService接口负责从中加载用户信息,例如用户名、密码和权限信息。详细步骤如下 : 2. 在User实体类中定义用户信息和角色信息 3. 在Role实体类中定义角色信息 4. SecurityConfig配置类 在SecurityConfig配置类中使用自定义的UserDetailsService: 通过以上步骤,可以编写一个自定义的UserDetailsService类来,并在Spring Securi
spring security——学习笔记(day06)-实现授权认证-FilterSecurityInterceptor、SecurityMetadataSource、AccessDecisionM
键上艺术家
01-11 4539
复制 demo02 ,拷贝一个 demo03,IDEA复制项目可以看 day04 。 6.1 授权认证 之前学了身份认证,就是认证当前登录用户是否是存在并真实的,身份认证成功后就可以访问认证后的接口(资源)了,但即便是已认证的用户也有能访问不能访问的接口(资源),那么就需要通过授权认证来判断。 今天学习授权认证,也就是认证当前登录用户都有哪些权限,并确定当前用户的权限是否能访问当前请求的接口。 之前在spring security——学习笔记(day03)-UserDetailsSe...
spring security——学习笔记(day04)身份认证源码解析SecurityContextPersistenceFilter+UsernamePasswordAuthenticationF
键上艺术家
12-26 1261
5.认证与授权
SpringSecurity(二)——自定义数据源
老程的小白博客空间
02-08 1583
本篇笔记中记录SpringSecurity的认证数据源的自定义,即不在配置文件中修改用户认证的用户名和密码(这种认证是将数据源放入到内存中,运行过程中使用使用内存中的数据源来执行认证),我们将会使用自定义数据源(数据库中的数据)来对用户访问系统资源进行认证。
项目mall学习——SpringSecurity+JWT实现登录认证
TonegawaKaiji的博客
06-05 595
项目mall中使用SpringSecurity和JWT实现登录认证
SpringSecurity学习笔记——SpringSecurity底层原理
一名蒟蒻的博客
07-23 1464
五、SpringSecurity底层原理 1、SpringSecurity过滤介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。 现在对这条过滤器链的 15 个过滤器进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上
Spring Security学习笔记(二)—— 实现图像验证码登录
曲怪曲怪
05-28 242
文章目录1 使用过滤器实现图像验证码1.1 配置图形验证码API1.2 自定义图像验证码过滤器1.3 Spring Security配置1.4 实验2 自定义认证实现图像验证码2.1 认识AuthenticationProvider2.2 自定义AuthenticationProvider2.3 自定义WebAuthenticationDetails2.4 自定义AuthenticationDetailsSource2.5 完善自定义AuthenticationProvider2.6 SpringSecur
深入浅出SpringSecurity读书笔记-第二章-SpringSecurity认证-01
qq_31693055的博客
07-21 314
快速入门: 1.引入Spring Security依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dep...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
在本项目中,我们主要关注的是如何将Spring Boot与Spring Security进行集成,以实现一个具有异常处理和自定义表单登录验证的安全系统。Spring Security是一个强大的安全框架,它提供了多种安全控制,包括用户认证、...
解析SpringSecurity自定义登录验证成功与失败的结果处理问题
08-25
Spring Security 自定义登录验证结果处理 Spring Security 是一个功能强大且灵活的安全框架,它提供了许多自定义的功能,以满足不同的应用场景需求。在本文中,我们将主要介绍如何在 Spring Security自定义登录...
浅析Spring Security登录验证流程
08-25
浅析Spring Security登录验证流程 Spring Security登录验证流程是Spring Security框架...理解Spring Security登录验证流程对于开发者来说非常重要,可以帮助我们更好地使用Spring Security框架来实现登录验证功能。
SpringBoot+SpringSecurity整合(实现登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
java springboot 集成 阿里通义千问
最新发布
qq_25987725的博客
07-25 392
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
探索 Spring WebFlux:构建响应式 Web 应用
修复bug生成bug
07-25 389
Spring WebFlux 是 Spring 5 中引入的一个响应式 Web 框架,它是对 Spring MVC 的补充。与传统的 Spring MVC 不同Spring WebFlux 基于 Reactor 项目,使用非阻塞的 I/O 和响应式流来处理请求和响应。
【过滤器 vs 拦截器】SpringBoot中过滤器与拦截器:明智选择的艺术(如何在项目中做出明智选择)
weixin_68020300的博客
07-25 1085
本文深入剖析了SpringBoot框架下过滤器与拦截器的核心差异及应用场景,指导开发者在面对请求-响应周期中的不同需求时,如何做出最佳技术选择。无论是实现安全性、日志记录,还是权限控制与数据预处理,本文都将帮助你理解何时何地使用过滤器或拦截器,以构建更加高效、可维护的Web应用程序。通过对比二者的特性与优劣,本文旨在赋能开发者,使其在实际项目中灵活运用这两种强大工具,达成项目目标。
SpringSecurity自定义AuthenticationProviderAuthenticationFilter
08-25
SpringSecurity提供了自定义AuthenticationProviderAuthenticationFilter的功能。在Spring Security中,AuthenticationProvider是一个接口,用于对用户进行身份验证。默认的实现是DaoAuthenticationProvider。你可以通过实现该接口来创建自定义的身份验证提供者,以适应特定的需求。自定义AuthenticationProvider可以通过在配置文件中指定来替换默认的Provider。例如,在配置文件中添加以下代码可以引用自定义Provider: ```xml <authentication-manager> <authentication-provider ref="customProvider" /> </authentication-manager> ``` 此处的`customProvider`是指自定义AuthenticationProvider的bean的ID,你可以根据实际情况进行修改。 另外,AuthenticationFilter是用于处理身份验证请求的过滤器。它负责从请求中提取用户凭证并使用AuthenticationProvider进行身份验证。Spring Security提供了多个不同类型的AuthenticationFilter,如UsernamePasswordAuthenticationFilter、BasicAuthenticationFilter等。你可以根据需要选择合适的AuthenticationFilter,并将其配置到Spring Security的过滤器链中。 关于Spring Security的源码,你可以在GitHub上找到它的源码存储库。在这个存储库中,你可以查看和学习Spring Security实现细节。 总结起来,你可以通过自定义AuthenticationProvider实现特定需求的身份验证,同时可以选择合适的AuthenticationFilter来处理身份验证请求。你可以参考Spring Security的源码来了解更多细节和实现方式。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [SpringSecurity自定义AuthenticationProviderAuthenticationFilter](https://blog.csdn.net/weixin_34248849/article/details/93984642)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Spring Security笔记自定义Login/Logout Filter、AuthenticationProviderAuthenticationToken](https://blog.csdn.net/weixin_33907511/article/details/85647330)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值