Spring Boot整合Spring Security(七)基于内存的用户认证

最新推荐文章于 2024-05-03 11:47:20 发布
最新推荐文章于 2024-05-03 11:47:20 发布
阅读量626 收藏
点赞数
分类专栏: # Spring Security demo 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq3031195374/article/details/128949417
版权

阅前提示

此文章基于Spring Security 6.0

UserDetailsService

在之前的认证流程篇章中已经介绍到,DaoAuthenticationProvider使用了一个UserDetailsService去接收username,password以及一些其他的属性去做认证。然后Spring Security提供了in-memory内存 and JDBC 数据库 implementations of UserDetailsService。本篇章讲讲基于内存的UserDetails管理

InMemoryUserDetailsManager

public class InMemoryUserDetailsManager implements UserDetailsManager, UserDetailsPasswordService {

	protected final Log logger = LogFactory.getLog(getClass());

	private final Map<String, MutableUserDetails> users = new HashMap<>();

	private SecurityContextHolderStrategy securityContextHolderStrategy = SecurityContextHolder
			.getContextHolderStrategy();

	private AuthenticationManager authenticationManager;

	public InMemoryUserDetailsManager() {
	}

	public InMemoryUserDetailsManager(Collection<UserDetails> users) {
		for (UserDetails user : users) {
			createUser(user);
		}
	}

	public InMemoryUserDetailsManager(UserDetails... users) {
		for (UserDetails user : users) {
			createUser(user);
		}
	}

	public InMemoryUserDetailsManager(Properties users) {
		Enumeration<?> names = users.propertyNames();
		UserAttributeEditor editor = new UserAttributeEditor();
		while (names.hasMoreElements()) {
			String name = (String) names.nextElement();
			editor.setAsText(users.getProperty(name));
			UserAttribute attr = (UserAttribute) editor.getValue();
			Assert.notNull(attr,
					() -> "The entry with username '" + name + "' could not be converted to an UserDetails");
			createUser(createUserDetails(name, attr));
		}
	}

	private User createUserDetails(String name, UserAttribute attr) {
		return new User(name, attr.getPassword(), attr.isEnabled(), true, true, true, attr.getAuthorities());
	}

	@Override
	public void createUser(UserDetails user) {
		Assert.isTrue(!userExists(user.getUsername()), "user should not exist");
		this.users.put(user.getUsername().toLowerCase(), new MutableUser(user));
	}

	@Override
	public void deleteUser(String username) {
		this.users.remove(username.toLowerCase());
	}

	@Override
	public void updateUser(UserDetails user) {
		Assert.isTrue(userExists(user.getUsername()), "user should exist");
		this.users.put(user.getUsername().toLowerCase(), new MutableUser(user));
	}

	@Override
	public boolean userExists(String username) {
		return this.users.containsKey(username.toLowerCase());
	}

	@Override
	public void changePassword(String oldPassword, String newPassword) {
		Authentication currentUser = this.securityContextHolderStrategy.getContext().getAuthentication();
		if (currentUser == null) {
			// This would indicate bad coding somewhere
			throw new AccessDeniedException(
					"Can't change password as no Authentication object found in context " + "for current user.");
		}
		String username = currentUser.getName();
		this.logger.debug(LogMessage.format("Changing password for user '%s'", username));
		// If an authentication manager has been set, re-authenticate the user with the
		// supplied password.
		if (this.authenticationManager != null) {
			this.logger.debug(LogMessage.format("Reauthenticating user '%s' for password change request.", username));
			this.authenticationManager
					.authenticate(UsernamePasswordAuthenticationToken.unauthenticated(username, oldPassword));
		}
		else {
			this.logger.debug("No authentication manager set. Password won't be re-checked.");
		}
		MutableUserDetails user = this.users.get(username);
		Assert.state(user != null, "Current user doesn't exist in database.");
		user.setPassword(newPassword);
	}

	@Override
	public UserDetails updatePassword(UserDetails user, String newPassword) {
		String username = user.getUsername();
		MutableUserDetails mutableUser = this.users.get(username.toLowerCase());
		mutableUser.setPassword(newPassword);
		return mutableUser;
	}

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		UserDetails user = this.users.get(username.toLowerCase());
		if (user == null) {
			throw new UsernameNotFoundException(username);
		}
		return new User(user.getUsername(), user.getPassword(), user.isEnabled(), user.isAccountNonExpired(),
				user.isCredentialsNonExpired(), user.isAccountNonLocked(), user.getAuthorities());
	}

	/**
	 * Sets the {@link SecurityContextHolderStrategy} to use. The default action is to use
	 * the {@link SecurityContextHolderStrategy} stored in {@link SecurityContextHolder}.
	 *
	 * @since 5.8
	 */
	public void setSecurityContextHolderStrategy(SecurityContextHolderStrategy securityContextHolderStrategy) {
		Assert.notNull(securityContextHolderStrategy, "securityContextHolderStrategy cannot be null");
		this.securityContextHolderStrategy = securityContextHolderStrategy;
	}

	public void setAuthenticationManager(AuthenticationManager authenticationManager) {
		this.authenticationManager = authenticationManager;
	}

}

这个类很好理解
在初始化的时候,创建了一个HashMap,所有的用户信息以username作为“主键”都放在了HashMap中。其中

  • createUser(UserDetails user)
  • updateUser(UserDetails user)
  • deleteUser(String username)
  • changePassword(String oldPassword, String newPassword)
  • userExists(String username)

这些方法来自UserDetailsManager

  • loadUserByUsername(String username)

这个方法来自UserDetailsService,而UserDetailsManager继承了UserDetailsService类

配置

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
                .username("user")
                .password("password")
                .roles("USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }
}

废话说的差不多了,开始上配置。在这里,项目启动的时候提供了一个初始用户。也可以直接调用无参构造方法,但是逻辑上不太好弄。然后,Spring Security官方文档中不建议这么创建UserDetails,并且withDefaultPasswordEncoder也是个弃用方法,推荐的创建方法如下

UserDetails user = User.builder()
		.username("user")
		.password("{bcrypt}$2a$10$GRLdNijSQMUvl/au9ofL.eDwmoohzzS7.rmNSJZ.0FxO/BTk76klW")
		.roles("USER")
		.build();

上面的密码是password经过Bcrypt加密后的密文
密文可以这么生成

@SpringBootTest
public class ApplicationTest {

    @Test
    void contextLoads(){
        System.out.println(new BCryptPasswordEncoder().encode("password"));
    }
}

用的IDEA社区版创建的maven工程,手动引入SpringBoot的依赖,还得手动引入一下test依赖。我嫌从网页下载初始化项目麻烦,结果是遇到了更大的麻烦。还得是因为没钱,用不起付费版,流下了没钱的泪水

后续的用户可以调用createUser等方法来实现创建、删除、修改密码等操作。创建和调用bean的时候最好命名一下

时雨吹雪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot整合Spring Security的示例代码
08-27
主要介绍了Spring Boot整合Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security 内置的InMemoryUserDetailsManager配置过程
iteye_11819的博客
04-26 5632
InMemoryUserDetailsManagerSpring Security 内置的实现UserDetailsManager 接口的默认配置实现。它主要负责从配置文件中加载用户的账户信息。观察Spring Security源代码可清晰发现其配置过程。   UserServiceBeanDefinitionParser类解析配置文件&lt;user-service&gt;元素。代码...
Spring Security 系列】(六)入门案例中各组件的实现类
Markix的博客
08-15 279
了解功能组件的默认实现,以及它们是如何通过配置作用到整个流程的。 通过了解组件的配置,可以让我们知道如何自定义整个流程中的各个环节。
SpringSecurity】五、UserDetails接口和UserDetailsService接口(原理、流程)
llg___的博客
08-23 1500
接下来自己定义一个用户SecurityUser类,也去实现UserDetails接口,重写UserDetails接口方法时,直接写死一个用户信息,一会儿new这个自定义的SecurityUser类,也就和上面的User.builder一个意思。重写loadUserByUsernam方法,并当用户名等于自定义的SecurityUser对象中的用户名时,返回SecurityUser对象。查看User类的源码,其实现了UserDetails接口,因此上面才可以直接创建User对象。重启服务,登录下,一切正常。
Spring Security 接口认证鉴权入门实践指南
互联网从业者/大数据架构师/全栈开发者
01-11 2948
Web API 接口服务场景里,用户认证和鉴权是很常见的需求,Spring Security 据说是这个领域里事实上的标准,实践下来整体设计上确实有不少可圈可点之处,也在一定程度上印证了小伙们经常提到的 “太复杂了” 的说法也是很有道理的。 本文以一个简单的 SpringBoot Web 应用为例,重点介绍以下内容: 演示 Spring Security 接口认证和鉴权的配置方法; 以内存和数据库为例,介绍认证和鉴权数据的存储和读取机制; 若干模块的自定义实现,包括:认证过滤器、认证或鉴权失败处理器等
SpringBoot SpringSecurity 介绍(基于内存的验证)
woisking2的博客
08-25 240
SpringBoot已经为用户采用默认配置,只需要引入pom依赖就能快速启动Spring Security。目的:验证请求用户的身份,提供安全访问优势:基于Spring,配置方便,减少大量代码。
Spring Security Config : InMemoryUserDetailsManagerConfigurer
Details Inside Spring
06-02 3997
概述 介绍 InMemoryUserDetailsManagerConfigurer是Spring Security Config提供的一个安全配置器SecurityConfigurer,用来配置一个安全构建器ProviderManagerBuilder(通常可以认为就是AuthenticationManagerBuilder),它为目标安全构建器提供的是一个基于内存存储用户账号详情的用户账号详情...
Springboot+SpringSecurity内存账户管理
Rmx的技术小站
09-23 170
内存用户管理 第一种application配置方式 spring.security.user.name=账号 spring.security.user.password=密码 spring.security.user.roles=角色(USER,ADMIN) 此方法只用于修改初始化默认账号,无法进行多账号的添加管理 第二种常见配置管理 import org.springframework.beans.factory.annotation.Autowired; import org.springframe
1-初识SpringSecurity:user in-memory
Heartsuit的博客
12-06 453
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验SpringSecurity的各项Feature。 实验0:Hello SpringSecurity 第一步,新建一个SpringBoot项目,起名:springboot-security,核心依赖为Web,此处先不引入SpringSecurity依赖。 <dependencies> <dependency> <groupId>org.springframework.boot&
Spring Security : 概念模型接口 UserDetailsManager 用户详情管理器
Details Inside Spring
05-29 2524
概述 介绍 UserDetailsManagerSpring Security的一个概念模型接口,用于抽象建模对用户详情的管理这一概念。它继承自接口UserDetailsService,是对UserDetailsService接口的能力扩展。 UserDetailsService定义了根据用户名获取用户详情的能力,UserDetailsManager在此基础上增加定义了如下能力 : 创建用户账...
Spring Boot整合Spring Security并自定义验证代码实例
08-30
本篇文章主要介绍了Spring Boot整合Spring Security并自定义验证代码实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
Spring Boot整合JWT
10-16
一个学习Spring Boot整合JWT的demo,使用的IDE是idea。
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
主要给大家介绍了关于Spring Boot整合Spring Security简单实现登入登出从零搭建的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起看看吧
Spring AI 抢先体验,5 分钟玩转 Java AI 应用开发
阿里巴巴云原生的博客
04-29 958
Spring Cloud Alibaba AI 以 Spring AI 为基础,并在此基础上提供阿里云通义系列大模型全面适配,让用户在 5 分钟内开发基于通义大模型的 Java AI 应用。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
最新发布
XING的博客
05-03 469
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
基于Springboot的家具网站
趙兴晨的博客
05-03 393
本文介绍了一款基于现代Web技术构建的家具网站,旨在通过互联网技术优化家具产品的展示与销售,提高用户的购物体验,同时为家具制造商和零售商提供一个高效的在线销售平台。本研究的主要目的是设计并实现一个高效、易用的家具网站,通过系统化的产品展示流程和智能化的购物功能,提升家具产品的在线销售效率和管理水平。本研究通过设计和实现家具网站,有效地解决了传统家具销售中的展示局限性和购物效率低下的问题,提高了家具产品的在线销售效率和用户的购物体验,并为相关领域的研究和实践提供了有益的参考。
SpringBoot中实现发送邮件
m0_64289188的博客
04-30 499
当你添加了spring-boot-starter-mail依赖后,Spring Boot会自动配置JavaMailSender实例,并根据application.yml文件中的属性来配置这个实例。你可以直接在需要发送邮件的地方通过@Autowired注解将JavaMailSender实例注入到你的类中,然后使用它来发送邮件。:首先,需要在你的pom.xml文件中添加Spring Boot的邮件发送器依赖。,简化了在Spring Boot应用程序中发送电子邮件的设置过程。Spring Boot的。
springboot集成-mybatis-puls
csy08845的博客
04-29 254
Spring Boot中集成MyBatis Plus是一个相对简单的过程,MyBatis Plus是一个MyBatis的增强工具,它简化了CRUD操作,并且提供了一些额外的功能,比如性能优化、自动填充等。3.配置MyBatis Plus:通常,MyBatis Plus的配置与MyBatis类似,不需要额外的配置,因为它会自动配置。6.使用Mapper:在你的Service中注入Mapper,并使用它。7.配置扫描:确保Spring Boot扫描到你的Mapper接口。
spring boot整合spring security实现基于rbac的权限控制
07-27
对于基于 RBAC(Role-Based Access Control)的权限控制,可以使用 Spring BootSpring Security 来实现。下面是一个简单的步骤指南: 1. 添加依赖:在你的 Spring Boot 项目的 pom.xml 文件中,添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 创建用户和角色实体:创建用户(User)和角色(Role)的实体类,可以使用 JPA 或者其他持久化框架来进行数据库操作。 3. 实现 UserDetailsService:创建一个实现了 Spring SecurityUserDetailsService 接口的类,用于加载用户信息。这个类需要重写 loadUserByUsername 方法,根据用户名从数据库中查询用户信息并返回一个 UserDetails 对象。 4. 创建权限访问控制配置类:创建一个配置类,继承自 WebSecurityConfigurerAdapter,并重写 configure 方法。在这个方法中,你可以配置哪些 URL 需要哪些角色或权限才能访问。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and().formLogin().permitAll() .and().logout().permitAll(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override @Bean public UserDetailsService userDetailsService() { // 返回自定义的 UserDetailsService 实现类 // 在这个实现类中通过 JPA 或其他方式查询用户信息 return new CustomUserDetailsService(); } } ``` 5. 配置密码加密:在上面的配置类中,我们使用了 BCryptPasswordEncoder 作为密码加密方式。确保你的用户表中保存的密码是经过 BCrypt 加密的。 6. 创建登录页面:创建一个登录页面,可以是一个简单的 HTML 页面或者使用模板引擎进行渲染。 7. 配置登录页面:在 application.properties 或 application.yml 文件中,配置登录页面的路径和其他相关属性。 ```properties spring.security.login-page=/login spring.security.logout-success-url=/login?logout ``` 以上步骤完成后,你的 Spring Boot 应用程序就可以基于 RBAC 实现简单的权限控制了。根据实际需求,你可以进一步扩展和定制 Spring Security 的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值