Spring Security认证之基本认证

最新推荐文章于 2024-05-11 10:03:47 发布
最新推荐文章于 2024-05-11 10:03:47 发布
阅读量785 收藏 2
点赞数
分类专栏: Spring Security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27062249/article/details/127874452
版权

本文内容来自王松老师的《深入浅出Spring Security》,自己在学习的时候为了加深理解顺手抄录的,有时候还会写一些自己的想法。

快速入门

        在Spring Boot项目中使用Spring Security非常方便,创建一个新的Spring Boot项目我们只要引入Web和Spring Security依赖即可,具体的pom依赖如下:

         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        然后我们在项目中提供一个简单的测试/hello接口,代码如下:

/**
 * @author tlh
 * @date 2022/11/15 21:25
 */
@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello() {
        return "hello spring security";
    }
}

        接下来我们启动项目,/hello接口就会被Spring Seciryt保护起来。当用户访问/hello接口是就会跳转到登录页面(如下图),用户登录成功之后才能正常访问/hello接口。

        默认的登录用户名是user,登录密码则是一个随机生成的UUID字符串,在项目的启动日志中可以看到(也就意味着没项目启动密码都会发生变化,这里只是我们体验Spring Security使用的,后面我们会把用户名和密码存到数据库)

        输入默认的用户名和密码就能正常的访问/hello接口了。这里简单的体验下了Spring Security的强大之处,只需要映入一个简单的依赖所有的接口就会被自动保护起来。

流程分析

        通过几个简单的流程图来看一下上面案例中的请求流程:

  1.  客户端(浏览器)发起请求去访问/hello接口,这个接口默认是需要认证之后才能访问的。
  2. 这个请求户走一遍Spring Security中的过滤器链,在最后的FilterSecurityInterceptor过滤器中拦截下来。因为系统中发现用户没有被认证,请求拦截下来之后会抛出AccessDeniedException异常。
  3. 抛出的AccessDeniedException异常在ExceptionTranslationFilter过滤器中被捕获,ExceptionTranslationFilter过滤器通过调用LoginUrlAuthenticationEntryPoint的commence方法给客户端返回302,要求客户端重定向到/login页面。
  4. 客户端发送/login请求
  5. /login请求被DefaultLoginPageGeneratinFilter过滤器拦截下来,并在改过滤器中返回登录页面。所以用户访问/hello接口会先看到登录页面。

        整个过程中,相当于客户端发送了两次请求,第一个请求是/hello,服务端收到之后返回302,请求客户端重定向到/longin,于是客户端又发送了/login请求。

        此时去理解这个流程可能还有点困哪,等看完接下的文章之后再回头来看这个流程图应该就会比较清晰了。

原理分析

        虽然开发者只是引入了一个Spring Security相关的依赖,代码并不多,但是Spring Security背后为我们默默的做了很多事情:

  • 开启Spring Security自动化配置。开启后,Spring Security会自动创建一个名为springSecurityFilterChain的过滤器并注入到Spring容器中,这个过滤器将负责所有的安全管理,包括用户的认证、授权、重定向到登录页面等(springSecurityFilterChain实际上代理了Spring Security中的过滤器链)
  • 创建一个UserDetailsService实例,UserDetailsService负责提供用户数据,默认用户数据是基于内存的用户,用户名为user,密码则是随机生成的UUID字符串
  • 给用户生成一个默认的登录页面

默认用户生成

        Spring Security中定义了UserDetails接口来规范开发者自定义用户对象,这样方便一些旧系统、用户表已经固定的系统集成Spring Security认证体系中。

        UserDetails接口定义如下:

public interface UserDetails extends Serializable {
    
    //返回当前用户所具备的权限
    Collection<? extends GrantedAuthority> getAuthorities();

    //返回当前用户的密码
    String getPassword();

    //返回当前用户名
    String getUsername();

    //返回当前用户是否已经过期
    boolean isAccountNonExpired();
    //返回当前用户是否被锁定
    boolean isAccountNonLocked();

    //返回当前用户的凭证是否未过期
    boolean isCredentialsNonExpired();

    //返回当前账户是否可用
    boolean isEnabled();
}

        负责提供用户数据的接口是UserDetailsService。UserDetailsService接口中只有一个查询用户的方法,代码如下:

public interface UserDetailsService {
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

        loadUserByUsername只有一个username参数,这是用户在认证时传入的用户名,最常见的就是表单中输入的用户名。开发者在这里拿到用户名之后,再去数据库中查询用户,最终返回一个UserDetails实例。在实际开发中,一般开发者需要自定义UserDetailsService的实现。如果开发者没有自定义UserDetailsService的实现,Spring Securit也为UserDetailsService提供了默认实现:

  • UserDetailsManager:这个是一个扩展接口,新增了添加用户、跟新用户、删除用户、修改密码、判断用户是否存在等等方法。
  • JdbcDaoImpl:实现了通过spring-jdbc冲数据库中查询用户的方法
  • JdbcUserDetailsManager:继承自JdbcDaoImpl同时又实现了UserDetailsManager接口。这里有一定的局限性,因为操作数据的sql都是写好的不够灵活。因此,在实际开发中JdbcUserDetailsManager使用的并不多。
  • InMemoryUserDetailsManager:实现了UserDetailsManager中关于用户的增、删、改、查方法,不过都是基于内存操作,数据并没有持久化。

        当我们使用Spring Security时,如果仅仅引入一个Spring Security的依赖,则默认使用的InMemoryUserDetailsManager。伙伴们都知道,Spring Boot之所以能做到零配置使用Spring Security,就是因为它提供了众多的自动化配置类。其中UserDetailsService的自动化配置类就是UserDetailsAotuConfiguration。如下:

@AutoConfiguration
@ConditionalOnClass({AuthenticationManager.class})
@ConditionalOnBean({ObjectPostProcessor.class})
@ConditionalOnMissingBean(
    value = {AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class, AuthenticationManagerResolver.class},
    type = {"org.springframework.security.oauth2.jwt.JwtDecoder", "org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector", "org.springframework.security.oauth2.client.registration.ClientRegistrationRepository", "org.springframework.security.saml2.provider.service.registration.RelyingPartyRegistrationRepository"}
)
public class UserDetailsServiceAutoConfiguration {
    private static final String NOOP_PASSWORD_PREFIX = "{noop}";
    private static final Pattern PASSWORD_ALGORITHM_PATTERN = Pattern.compile("^\\{.+}.*$");
    private static final Log logger = LogFactory.getLog(UserDetailsServiceAutoConfiguration.class);

    public UserDetailsServiceAutoConfiguration() {
    }

    @Bean
    @Lazy
    public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {
        User user = properties.getUser();
        List<String> roles = user.getRoles();
        return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()});
    }

    private String getOrDeducePassword(User user, PasswordEncoder encoder) {
        String password = user.getPassword();
        if (user.isPasswordGenerated()) {
            logger.warn(String.format("%n%nUsing generated security password: %s%n%nThis generated password is for development use only. Your security configuration must be updated before running your application in production.%n", user.getPassword()));
        }

        return encoder == null && !PASSWORD_ALGORITHM_PATTERN.matcher(password).matches() ? "{noop}" + password : password;
    }
}

        从上面的代码可以看到,有两个比较重要的条件使系统自动提供一个InMemoryUserDetailsManager的实例:

  • 当前的classpath下没有AuthenticationManager类
  • 当前项目中,系统没有提供AuthenticationManager, AuthenticationProvider, UserDetailsService, ClientRegistrationRepository实例

        默认情况下,上面的条件都满足。此时Spring Security会提供一个InMemoryUserDetailsManager实例。从InMemoryUserDetailsManager方法中看到,用户信息来自于SecurityProperties的getUser方法。我们就能看到默认用户的名字为:user,密码则是UUID的随机字符串。

@ConfigurationProperties(
    prefix = "spring.security"
)
public class SecurityProperties {
    public static final int BASIC_AUTH_ORDER = 2147483642;
    public static final int IGNORED_ORDER = -2147483648;
    public static final int DEFAULT_FILTER_ORDER = -100;
    private final SecurityProperties.Filter filter = new SecurityProperties.Filter();
    private final SecurityProperties.User user = new SecurityProperties.User();

    public SecurityProperties() {
    }

    public SecurityProperties.User getUser() {
        return this.user;
    }

    public SecurityProperties.Filter getFilter() {
        return this.filter;
    }

    public static class User {
        private String name = "user";
        private String password = UUID.randomUUID().toString();
        private List<String> roles = new ArrayList();
       //省略get/set方法
    }

}

        我们看到SecurityProperties 类在加载的时候还可从配置文件中读取信息(@ConfigurationProperties注解起的作用),前缀为spring.security。这就意味着我们可以在配置文件中(application.properties)配置默认用户名和密码:

spring.security.user.name=tlh
spring.security.user.password=123456
spring.security.user.roles=admin,users

        配置完成之后,重启项目此时登录名就是tlh,登录密码就是123456,登录成功之后用户具备admin和users两个角色。

大后生大大大
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity basic 认证
weixin_38927257的博客
07-06 1457
文章目录概念实例代码: 概念 Basic Access Authentication scheme是在HTTP1.0提出的认证方法,它是一种基于challenge/response的认证模式,针对特定的realm需要提供用户名和密码认证后才可访问,其中密码使用明文传输。 Basic 认证是HTTP 中非常简单的认证方式,因为简单,所以不是很安全,不过仍然非常常用。 Basic模式认证过程如下: ①浏览器发送http报文请求一个受保护的资源。 ②服务端的web容器将http响应报文的响应码设为401,响应头部
Spring Security 实现身份认证
热门推荐
小尘
03-30 2万+
Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。     1. Spring Security中的身份认证是什么?     现在让我们考虑一下每个人都熟悉的标准身份认证场景:    
JWTDecoder:JWT解码器
04-01
JWTDecoder是用于iOS.ift的JSON Web令牌解码器框架。 :mobile_phone_with_arrow: 安装 JWTDecoder在上: pod 'JWTDecoder' :memo: 如何 代码实施 import JWTDecoder JWT令牌示例 let jwtToken = " eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c " 标头 { " alg " : " HS256 " , " typ " : " JWT " } 有效载荷 { " sub " : " 1234567890 " , " name " : " John Doe
初识JWT及部分源码解析
开心博客
05-11 1205
今天开发项目时遇到一个问题,两个系统对接,对方才有JWT对数据进行加密传输,我这边必须进行解密之后才能获取到数据,这里进行记录一下 1.JWT加密 加密秘钥 这个随便整就好,主要是用于保证加密端和解密端解析前后数据一致 private static final String JWT_SECRET = "ADSADSFGRHART1192765DMSNPOST99238S"; 加密 public static String createToken() { try {
推荐使用:jwt-decode - 简单易用的JWT解码库
最新发布
gitblog_00038的博客
05-11 805
推荐使用:jwt-decode - 简单易用的JWT解码库 项目地址:https://gitcode.com/auth0/jwt-decode 在现代Web开发中,JSON Web Tokens(JWTs)被广泛用于身份验证和授权,以确保数据的安全传输。为此,我们强烈推荐一个轻量级、易于使用的JavaScript库——jwt-decode。这个库能帮助你在浏览器环境中轻松解码Base64Url编码...
JWT的编码以及解码
qq_59066017的博客
10-27 1623
原文链接:https://blog.csdn.net/m0_60489526/article/details/120118912。//获取签名秘钥,并采取HS256的加密算法进行签名。// 使用基本型的编码器和解码器 对数据进行编码和解码。//根据name和type取出相应的value。//解析token中的数据载体部分。* 秘钥用于signature(签名)部分的加密和解密。// 5.对编码后的字符串进行解码。// 6.打印输出解码后的字符串。// 3.输出编码后的字符串。// 2.对字符串进行编码。
JWT Decoder, Verifier, Generator, Decryptor
月来better
07-13 262
JWT Decoder, Verifier, Generator, Decryptor:https://dinochiesa.github.io/jwt/
jwt.decode()报错
m0_46509344的博客
03-18 2733
记录使用jwt.decode()报错jwt.exceptions.DecodeError: It is required that you pass in a value for the “algorithms” argument when calling decode(). 标明加密时的算法algorithms=‘xxxxx’,加密时默认算法为"HS256" jwt.decode(token, settings.SECRET_KEY, algorithms='HS256') 就酱紫!布响丸辣! ..
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springboot+ spring security实现登录认证
05-04
首先,我们需要理解Spring Security基本工作流程:当一个请求到达时,Spring Security会检查该请求是否经过了认证。如果没有,它会引导用户进行登录。一旦用户成功登录,Security会根据授权规则判断用户是否有权限...
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
SpringSecurity学习笔记(五)自定义数据源
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-05 515
我们也可以自己创建一个类型的bean这样就可以使得自动配置类失效。部分源码如下注入的//直接创建一个bean破坏 @Bean public UserDetailsService userDetailsService() {
SpringCloudGateway-Consider .... security.oauth2.jwt.ReactiveJwtDecoder‘ in your configuration.
Eistert
08-17 3483
报错信息: 2021-08-17 15:39:39.004 WARN 29619 --- [ main] onfigReactiveWebServerApplicationContext : Exception encountered during context initialization - cancelling refresh attempt: org.springframework.beans.factory.UnsatisfiedDependencyException: E
Spring Security基本认证
目目沐沐
06-05 348
Spring Security基本认证
spingCloud gateway 启动报错: xxx.ReactiveJwtDecoder that could not be found
执笔成念的博客
02-26 4298
spingCloud gateway 启动报错: xxx.ReactiveJwtDecoder that could not be found 报错信息如下: Parameter 0 of method setSecurityWebFilterChains in org.springframework.security.config.annotation.web.reactive.WebFluxSecurityConfiguration required a bean of type 'org.spr
gateway微服务启动报错:org.springframework.http.codec.ServerCodecConfigurer‘ that could not be found.
u010227042的博客
08-11 3102
因为spring cloud gateway是基于webflux的,如果非要web支持的话需要导入spring-boot-starter-webflux而不是spring-boot-start-web。在类路径上找到的Spring MVC,此时它与Spring Cloud网关不兼容。请删除spring-boot-start-web依赖项。将pom.xml中关于spring-boot-start-web模块的jar依赖去掉。...
Spring web应用中使用Spring Security
听海边涛声
02-16 1380
Spring web应用中使用Spring Security
spring security 认证
07-28
Spring Security认证是通过认证管理器(Authentication Manager)来实现的。认证管理器是Spring Security中的核心组件之一,它负责验证用户身份。在认证过程中,认证管理器会调用相应的UserDetailsService实现来获取用户详细信息,并进行身份验证。如果身份验证成功,认证管理器将生成一个认证令牌(Authentication Token)并返回给Spring Security认证令牌包含有关用户身份的信息,并与用户的会话关联。Spring Security将保存认证令牌,以便后续的授权操作。因此,Spring Security认证机制是通过认证管理器和认证令牌来实现的。\[1\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [spring security认证授权流程](https://blog.csdn.net/weixin_47618391/article/details/130898504)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值