自定义用户认证逻辑security

最新推荐文章于 2024-07-07 20:23:20 发布
最新推荐文章于 2024-07-07 20:23:20 发布
阅读量658 收藏
点赞数
分类专栏: JAVA知识 文章标签: 自定义用户认证逻辑security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36421955/article/details/83617534
版权
这篇博客探讨了自定义用户认证逻辑的过程,通过示例展示了错误密码尝试后的反馈及正确密码认证成功的情况。文章指出,即使密码被破解,由于每次登录密码加密方式不同,系统仍能保持安全性。
摘要由CSDN通过智能技术生成 
package com.imooc.security.browser;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

@Component
public class MyUserDetailsService implements UserDetailsService {

	private Logger logger = LoggerFactory.getLogger(MyUserDetailsService.class);
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		logger.info("登录用户名:"+username);
		//根据用户名查找用户信息
		//这里认证代替security默认的认证
		//参数是从数据库中获取的  username和password是认证  authoriteis是授权  AuthorityUtils将字符串转换成对象
		return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
	}

}

说明:这些代码都是在之前写的博客的基础上的,请往回翻。

然后访问页面,随便输入一个用户名,然后输入一个错误的密码会显示:

然后输入正确的密码试试:

ok认证成功,数据返回,到这里再让我们看一下前台输出:

标记的1是第一次密码错误登录日志,2是第二次认证成功日志。跟着我看下边代码和测试很有意思啊:

package com.imooc.security.browser;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

@Component
public class MyUserDetailsService implements UserDetailsService {

	private Logger logger = LoggerFactory.getLogger(MyUserDetailsService.class);
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		logger.info("登录用户名:"+username);
		//根据用户名查找用户信息
		//根据查找到的用户信息判断用户是否被冻结
		
		return new User(username, "123456", 
				true,true,true,false,//依次代表 可用,没过期,密码没过期,没有被锁定为false
				AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
	}

}

启动后输入正确密码测试:

因为没有被锁定设置的为false则为锁定。

好到这里了,那就再跟着我走:

package com.imooc.security.browser;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{
   
	@Bean
	public PasswordEncoder passwordEncoder() {
		//这里如果是自己编写的加密 则调用自己的类 方法有编码和解码验证方法
		return new BCryptPasswordEncoder();
	}
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		
		http.formLogin()//认证
//		http.httpBasic()
		.and()
		.authorizeRequests()//授权
		.anyRequest()
		.authenticated();
	}
    
}

package com.imooc.security.browser;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

@Component
public class MyUserDetailsService implements UserDetailsService {

	private Logger logger = LoggerFactory.getLogger(MyUserDetailsService.class);
	
	@Autowired
	private PasswordEncoder passwordEncoder;
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		logger.info("登录用户名:"+username);
		//根据用户名查找用户信息
		//根据查找到的用户信息判断用户是否被冻结
		String password = passwordEncoder.encode("123456");
		logger.info("数据库密码是"+password);
		return new User(username, password,//encode方法是加密的时候用的
				true,true,true,true,//依次代表 可用,没过期,密码没过期,没有被锁定为false
				AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
	}

}

启动测试结果:

后台输出:

重点是每次登陆,加密后红色线的密码都是不一样的,这样的话哪怕别破解了密码,但是其它还是安全的。

GastonPeng
关注
专栏目录
用户自定义认证逻辑
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-12 694
上一篇进行了最简单的Spring Security的初始搭建,像用户名和密码都是固定的,这篇就来讲讲自定义用户认证逻辑的实现,包括用户信息的获取,用户密码的校验以及用户密码的加密解码
Spring Security入门(十六)-自定义用户认证逻辑
上千主上-贝库塔
05-14 380
一.导学 自定义用户认证逻辑 处理用户信息获取逻辑 处理用户校验逻辑 处理密码加密解密 二.处理用户信息获取逻辑 用户信息获取逻辑在Spring security中是封装在接口 UserDetailsService里面的 这个接口中只有一个方法 根据用户前面输入的用户名到你的存储(不管是数据库还是什么去读取一个用户信息) 用户信息封装在UserDetails接口对象中的实现类中,登陆成功会把...
SpringSecurity简单自定义配置
最新发布
2301_76288478的博客
07-07 1114
如果没有指定密码加密算法 默认执行的是BCrypt算法 下图指定使用SHA-1加密。工厂的静态构造方法把常用的几种密码方案都注入到了缓存Map中,默认注入的 encodingId 对应的是 BCryptPasswordEncoder加密方案,这样系统就可以达到在新存储密码可以使用 BCryptPasswordEncoder 加密方案进行加密,但是对于数据库里面以前用其他方式加密的密码也支持比对。我们可以复写该方法,然后修改这个“encodingId”的值,就可以在几种加密算法中进行切换了。
SpringSecurity(二)自定义用户认证逻辑
加州暖阳的博客
02-25 422
SpringSecurity自定义用户认证逻辑 1.处理用户信息获取逻辑 用户信息获取逻辑是被封装到UserDetailsService接口中,loadUserByUsername方法作用是用户输入的username从存储去读取用户信息,然后封装到UserDetails这个实例中去,SpringSecurity会拿着这个用户信息进行处理,校验,如果校验通过了,就会把这个用户放到session中去,说明用户登录成功了,如果找不到,则会抛出UsernameNotFoundException用户名不存在这个异常,
SpringSecurity学习之路7-自定义用户认证逻辑
kevin
05-14 541
在上文中,每次登陆的密码都是由系统随机生成的,这不符合实际应用,用户输入账号密码后应从数据库或其他存储中查找是否匹配。 在SpringSecurity中,通过实现UserDetailsService接口的loadUserByUsername()方法来完成用户登录的自定义验证。 下面首先是自定义用户身份校验逻辑: loadUserByUsername()方法的返回值类型是UserDetai...
spring security 身份认证代码入门
swadian2008的博客
08-27 565
默认情况下,UserDetailsServiceAutoConfiguration.class 自动化配置类会创建一个内存级别的InMemoryUserDetailsManager对象,提供认证用户信息。 添加 spring.security.user 配置项,UserDetailsServiceAutoConfiguration 会基于配置的信息在内存中创建一个用户User。 未添加 spring.security.user 配置项,UserDetailsServiceAutoC
Spring Security 自定义认证逻辑
wdjnb的博客
01-21 605
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义逻辑,主要包括以下内容: 一个自定义的Authentication实现类,与UsernamePasswordAuthen...
SpringSecurity 自定义认证逻辑
qq_34136709的博客
05-08 562
SpringSecurity 自定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
Spring Security OAuth2.0 认证协议【8】自定义用户认证逻辑(连数据库、校验逻辑、密码加密)
LawssssCat的博客
04-03 968
上一篇:HTTPbasic和表单的认证、基本原理、源码分析 代码下载:https://github.com/LawssssCat/v-security/tree/v2.0.1 自定义用户认证逻辑: 处理用户信息获取逻辑 处理用户校验逻辑 处理密码加密解密 处理用户信息获取逻辑 指定从哪里获取用户信息(数据库?缓存?第三方REST API?) Spring Security 提供了一个接...
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
【SpringSecurity系列】自定义认证逻辑
java_pfx的博客
05-06 333
今日分享开始啦,请大家多多指教~ 有小伙伴会说,自定义认证逻辑还不简单?是的,没错,无论是添加登录验证码还是修改登录数据库格式,都需要对认证逻辑作出调整。 之前我们自定义的一个核心思路就是自定义过滤器,在过滤器中做各种各样我们想做的事。 举一个简单的例子,在添加登录验证码中,我为了校验验证码就自定义了一个过滤器,并把这个自定义的过滤器放入 SpringSecurity 过滤器链中,每次请求都会通过该过滤器。但实际上,只需要登录请求经过该过滤器即可,其他请求是不需要经过该过滤器的,这个时候,大家是不是就发现弊
Spring Security 解析(一) —— 授权过程
hopelgl的博客
04-20 757
Spring Security 解析(一) —— 授权过程 在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring Security 、Spring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象和理解所撰写的,如有侵权请告知。 项目环境: JDK1.8 Spr...
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 6155
Spring Security是Spring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
SpringSecurity设置角色和权限的注意点
weixin_34404393的博客
02-18 2964
概念 在UserDetailsService的loadUserByUsername方法里去构建当前登陆的用户时,你可以选择两种授权方法,即角色授权和权限授权,对应使用的代码是hasRole和hasAuthority,而这两种方式在设置时也有不同,下面介绍一下: 角色授权:授权代码需要加ROLE_前缀,controller上使用时不要加前缀 权限授权:设置和使用时,名称保持一至即可 使用,moc...
(Spring Security)学习六:自定义用户(如:数据库用户)登录
希克的博客
08-30 676
实现UserDetailsService接口重写loadUserByUsername方法,这个方法是实现自定义用户登录的关键,这个方法中实现查询数据库用户信息,并判定用户存在性,同时还有实现PasswordEncoder接口,来匹配登录密码与数据库密码的关系。...
SpringSecurity学习笔记
qq_42682745的博客
01-03 1255
文章目录SpringSecurity的基本使用初始化项目新建springboot项目,选择springsecurity、web、mysql、mybatis依赖配置数据库(数据库不存在需手动创建)启动项目编写一个接口,并访问学习配置security1.自定义登录2.登录成功、登录失败处理3.密码加密4.自定义查询用户1.内存中2.数据库5.角色和权限权限**角色**IP控制自定义403权限不足提示6.注解@Secured@PreAuthorize()和@PostAuthorize()7.记住我8.退出登录jw
SpringSecurity-入门(1)执行流程
weixin_45723088的博客
05-02 488
了解Security安全框架,首先要了解它的执行流程(过滤链) 在不引入Security依赖的情况下 下面这个接口就是一个没有任何限制的接口,可以任意的访问。 @RestController @RequestMapping(value = "/admi") public class AdminDemoController { @RequestMapping(value = "/demo") public String run() { return "successfu
Spring Security 6.x 系列【16】授权篇之访问控制
记录知识、锤炼自我
04-10 2581
在之前介绍了认证相关的功能,接下来几篇主要介绍另外一个重要功能,也就是授权。授权:也就是访问控制,验证用户是否有权限执行某个操作。对于系统某个功能来说,比如用户列表,有的用户只能进行查询,而有的用户可以查询,也可以进行修改。
SpringSecurity基本原理以及自定义用户认证逻辑
不清不慎的博客
04-14 9145
对于网站,安全问题是不容忽视的,在用户登录时我们需要对用户密码进行校验,我们可以自己来编写逻辑,不过Spring Security框架给我提供了一套很强大安全框架,本文是一篇SpringSecurity入门级的文章,主要介绍其基本原理与认证流程以及使用。 Spring Security 1.搭建Spring Security框架 这里在搭建Spring Security框架之前你需要搭建...
SpringSecurity自定义过滤器实现认证逻辑
在`CustomerAuthFilter`中,我们可以根据业务需求实现认证逻辑。例如,在这个例子中,我们将检查用户注册时间(`jointime`)是否在当前日期之后,只有满足条件的用户才能登录。这部分逻辑将写在`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值