SpringSecurity自定义用户认证逻辑

最新推荐文章于 2024-06-11 09:59:31 发布
最新推荐文章于 2024-06-11 09:59:31 发布
阅读量205 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26707371/article/details/101490515
版权

一、处理用户信息获取逻辑

用户信息的获取逻辑,在SpringSecurity中是被封装在一个接口后面的,这个接口叫UserDetailsService。这个接口中只有一个方法loadUserByUsername,接收一个String类型的参数,返回一个UserDetails对象。这个方法的作用就是根据用户在前台输入的用户名到数据集合(数据库)中去读取一个用户信息,用户信息最后被封装在一个UserDetails的接口的实现类中。然后SpringSecurity会拿着这个用户信息去做相应的处理和校验,如果校验都通过了就会把用户放在session中,那么用户认证就成功了。如果认证失败就会抛出UsernameNotFoundException异常,然后SpringSecurity捕获到这个异常会显示出相应的信息。

1.自定义认证逻辑

首先我需要新建一个MyUserDetailsService类去实现UserDetailsService接口,重写里面的loadUserByUsername方法,其实在实际的开发过程中应该是要去service层去读取数据库中根据String类型的用户名去查询相应的用户信息的。但是在这我就简写了。

@Component
public class MyUserDetailsService implements UserDetailsService {

    private Logger LOGGER = LoggerFactory.getLogger(this.getClass());


    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //根据用户名查找用户信息
        LOGGER.info("用户名:"+s);
        return new User(s,"123456",
                true,true,true,true,//账户是否被锁定
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

然后我们启动服务,在密码框中输入“123456”就会进入到系统rest服务中。

二、处理用户校验逻辑

在用户校验逻辑中,分为两部分,第一个是用户名的密码校验逻辑;第二是其他的一些校验(用户是否被冻结、是否过期等)。
我们先来看UserDetails这个接口的源代码:


15200008-3c4adc9c74703138.png
UserDetails源代码
  • getAuthorities是用来获取用户权限信息的
  • getPassword获取密码
  • getUsername获取用户名
    除了这三个方法之外,下面还有四个返回布尔值的方法,这四个方法就是用来让我们自己去执行校验逻辑的。我们需要将我们自己的校验的结果通过这些方法的实现去返回回去。
  • isAccountNonExpired表示账户没有过期,返回true表示认证成功,返回false代表过期了。如果在系统中没有关于这个的逻辑,可以永远返回true
  • isCredentialsNonExpired指密码是否过期,因为有些安全级别比较高的网站可能会要求用户三十天或固定时间去修改密码。这个方法可以告诉SpringSecurity密码是否过期了。
  • isAccountNonLocked账户是否被锁定,用来表示这个账户是否被冻结了,
  • isEnabled账户是否可用,表示用户是否被删除了(注销)

isAccountNonLocked和isEnabled的区别是isAccountNonLocked可以恢复使用的,但是isEnabled被注销的用户一般是不能被恢复的。

在MyUserDetailsService这个类中重写的那个方法里面我们可以自定义哪些属性是false,一旦有一个设置为false,那么我的校验逻辑是不能被通过的。比如我在账户是否锁定的字段设置为false,则会有相应的错误处理

@Component
public class MyUserDetailsService implements UserDetailsService {

    private Logger LOGGER = LoggerFactory.getLogger(this.getClass());



    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //根据用户名查找用户信息
        LOGGER.info("用户名:"+s);
        //根据查找到的用户信息查找用户是否被冻结
        return new User(s,"123456",
                true,true,true,false,//账户被锁定
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

然后在浏览器中输入资源地址,即使输入正确的用户名和密码,也会给出相应的提示


15200008-968ef1145008c0b4.png
用户账号已被锁定

三、处理密码加密逻辑

在我们的系统应用中,我们不会将用户的明文写入到数据库中,也就是说从数据库中取出来的密码应该是已经加密过的一串字符串,在SpringSecurity中处理加密解密的是一个PasswordEncoder(注意:是org.springframework.security.crypto.password包下的)。
在这个接口中有两个方法:

public interface PasswordEncoder {

    /**
     * Encode the raw password. Generally, a good encoding algorithm applies a SHA-1 or
     * greater hash combined with an 8-byte or greater randomly generated salt.
     */
    String encode(CharSequence rawPassword);

    /**
     * Verify the encoded password obtained from storage matches the submitted raw
     * password after it too is encoded. Returns true if the passwords match, false if
     * they do not. The stored password itself is never decoded.
     *
     * @param rawPassword the raw password to encode and match
     * @param encodedPassword the encoded password from storage to compare with
     * @return true if the raw password, after encoding, matches the encoded password from
     * storage
     */
    boolean matches(CharSequence rawPassword, String encodedPassword);

}

一个是encode加密方法,这个方法应该是插入数据库之前去调用的方法。
另一个是matches匹配方法,返回一个布尔值。这个方法是SpringSecurity去调用的,在拿到UserDetails对象之后,会根据UserDetails中的password跟用户在登录请求中输入的密码去进行匹配,如果匹配上了就会返回true。
然后我们去进行密码的加密操作

package com.tinner.security.browser;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

@Component
public class MyUserDetailsService implements UserDetailsService {

    private Logger LOGGER = LoggerFactory.getLogger(this.getClass());

    @Autowired
    private PasswordEncoder passwordEncoder;


    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //根据用户名查找用户信息
        LOGGER.info("用户名:"+s);
        //根据查找到的用户信息查找用户是否被冻结
        String encodingPass = passwordEncoder.encode("123456");
        LOGGER.info("数据库中的用户名密码是:"+encodingPass);
        return new User(s,encodingPass,
                true,true,true,true,//账户被锁定
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

最后在打印出来的日志中我们可以看到,虽然用户每次输入“123456”,但是在控制台中打印出来的加密后的字符串每次都是不一样的,其实就是根据这个字符串和用户在输入框中输入的密码去进行比对的。为什么每次都不一样,就是SpringSecurity在对密码进行加密的强大之处,它在每次加密之前都会随机生成一个“盐”并且在生成随机字符串的时候都会讲盐混入到字符串中,然后再反推回来解密后的密码去进行匹配。这样就大大提高了系统用户信息的安全性。

Tinner丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity定义认证逻辑
qq_34136709的博客
05-08 528
SpringSecurity定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
springSecurity定义认证逻辑
qiuxinfa123的博客
04-14 712
springSecurity入门demo 中,用户信息是放在内存中的,而在真实的项目中,肯定是不会是这样的,一般是都是放在数据库中存储的。示例代码在GitHub中:https://github.com/qiuxinfa/springSecurity-study 。实现如下功能: (1)自定义用户信息的获取 (2)自定义认证成功以及失败后的回调 (3)实现记住我的功能 ...
SpringSecurity如何自定义用户认证逻辑
最新发布
java永无止境!
06-11 387
是 Spring Security 用于从数据库、LDAP 或其他任何地方检索用户信息的策略接口。你可以通过实现此接口来定义如何检索用户信息。实现首先,创建一个实现接口的类。你需要重写方法来定义加载用户逻辑
Spring Security 自定义认证逻辑
开源世界
01-20 764
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义逻辑,主要包括以下内容: 一个自定义的 Authentication 实现类,与 UsernamePasswordAuthenticat
Spring Security自定义用户认证逻辑
taojin12的博客
05-06 276
在Spring Security中,用户的校验逻辑是不需要自己是实现的。但是我们需要通过页面用户输入的信息和数据库的用户信息进行比较。 Spring Security中提供了一个 接口UserDetailsService, 在他的loadUserByUsername方法中,对从数据库获取的用户信息进行封装。 自定义实现UserDetailsService @Component public class MyUserDetailService implements UserDetailsService {
springSecurity定义用户认证逻辑
足迹人生的博客
01-06 145
springSecruity自定义用户认证逻辑
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
Spring security 自定义密码加密方式的使用范例。
09-15
3. **处理认证成功与失败**:我们可以通过自定义`AuthenticationSuccessHandler`和`AuthenticationFailureHandler`来控制用户登录成功或失败后的行为。 ```java @Component public class ...
Spring Security自定义登录原理及实现详解
09-07
- `successHandler`和`failureHandler`: 自定义认证成功和失败的处理器。 - `permitAll`: 控制form登录是否允许所有请求。 5. **自定义登录实现** 通过`FormLoginConfigurer`,我们可以设置登录页面、处理URL、...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证和鉴权。这通常涉及到`@PreAuthorize`和`@Secured`等注解的使用,以控制对特定路由的访问权限。...
Spring security认证两类用户代码实例
08-19
首先,为了实现自定义认证,我们需要创建一个实现`UserDetailsService`接口的类。`UserDetailsService`是Spring Security的核心组件,负责查找并返回与给定凭证相关的用户信息。在这个类中,我们可以根据用户类型...
SpringSecurity系列】自定义认证逻辑
java_pfx的博客
05-06 298
今日分享开始啦,请大家多多指教~ 有小伙伴会说,自定义认证逻辑还不简单?是的,没错,无论是添加登录验证码还是修改登录数据库格式,都需要对认证逻辑作出调整。 之前我们自定义的一个核心思路就是自定义过滤器,在过滤器中做各种各样我们想做的事。 举一个简单的例子,在添加登录验证码中,我为了校验验证码就自定义了一个过滤器,并把这个自定义的过滤器放入 SpringSecurity 过滤器链中,每次请求都会通过该过滤器。但实际上,只需要登录请求经过该过滤器即可,其他请求是不需要经过该过滤器的,这个时候,大家是不是就发现弊
springsecurity(三) 自定义用户认证逻辑
s297485987的专栏
07-30 149
1>修改security config类 2>注入认证成功,认证失败处理类 3.自定义认证成功处理类 4.自定义认证失败处理类 5.定义用户配置枚举,根据用户配置项决定认证成功/失败是直接跳转还是返回json串 6.自定义登录页面处理接口,根据用户是浏览器访问还是直接调restful api决定返回json字符串还是跳转到登录页 7.自定义读取用户配置类 1>定义读...
Spring Security入门(十六)-自定义用户认证逻辑
上千主上-贝库塔
05-14 369
一.导学 自定义用户认证逻辑 处理用户信息获取逻辑 处理用户校验逻辑 处理密码加密解密 二.处理用户信息获取逻辑 用户信息获取逻辑在Spring security中是封装在接口 UserDetailsService里面的 这个接口中只有一个方法 根据用户前面输入的用户名到你的存储(不管是数据库还是什么去读取一个用户信息) 用户信息封装在UserDetails接口对象中的实现类中,登陆成功会把...
Spring Security渐入佳境(二) -- 自定义用户认证逻辑
分享技术,共同进步!
12-12 327
(一)用户信息获取 <1>UserDetailsService 这是SpringSecurity提供的一个接口,用于根据登录名获取用户信息(从内存,数据库中…)。 <2>实现接口UserDetailsService 详解UserDetails请参考附录。 @Component public class MyUserDetailsService implements User...
SpringBoot 集成 Spring Security 自定义认证逻辑备忘
热门推荐
nangongyanya的专栏
08-28 1万+
引入 Spring Security 之后(Spring Security 的引入请浏览《SpringBoot 引入 Spring Security 备忘》),Spring Security 将会通过其内置的拦截器对URL进行拦截,以此来管理登录验证和用户权限验证。 当用户登陆时,会被 AuthenticationProcessingFilter 拦截,调用 AuthenticationMana...
安全框架Spring Security(二)——自定义用户认证逻辑
Marvin Mai的博客
06-04 560
安全框架Spring Security(二)——自定义用户认证逻辑 简介 上一篇文章中,我们可以看到Spring Boot只需要配置spring-cloud-starter-oauth2依赖,就自动帮我们把资源保护起来。Spring Security 5以后默认使用formLogin的方式登陆。但是之前使用的默认配置中,用户名和密码都是Spring Security默认提供给我们的。那么我们如何自...
springboot security (四)返回自定义用户对象
qq_27081015的博客
12-26 2082
1. 数据库中的sysuer对象 package com.hanhuide.core.model; import com.baomidou.mybatisplus.annotations.TableField; import com.baomidou.mybatisplus.annotations.TableId; import com.baomidou.mybatisplus.annota...
Spring security 02-自定义用户登录页面和登录处理逻辑
08-13 666
Spring security 系列博客目录 Spring Security 01- 将 Spring security 引入到工程 Spring security 02-自定义用户登录页面和登录处理逻辑 Spring security 03-自定义登录成功后的处理逻辑 Spring sec...
springsecurity定义权限认证
05-25
然后,我们需要创建一个自定义的AuthenticationProvider,该类实现了Spring Security提供的AuthenticationProvider接口,用于自定义认证逻辑。在该类中,我们需要重写authenticate方法,该方法接收一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值