SpringSecurity自定义登录认证

最新推荐文章于 2024-05-28 15:44:47 发布
最新推荐文章于 2024-05-28 15:44:47 发布
阅读量1k 收藏 4
点赞数
分类专栏: springsecurity 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36655073/article/details/106266041
版权

前言

为啥要写这篇呢?昨天写了个security+jwt做token令牌及鉴权,其中登录认证是用自己的方法做的,只使用了授权校验,并没有用spring-security的登录认证。今天刚好有个水友碰到了登录认证的相关问题,帮忙解决后也在这里记一笔,方便以后回忆!!!

解决思路

  • 自定义一个登录认证处理器
  • 注入到security的登录认证管理器中(可以支持多个)
  • 登录接口中,使用认证管理器进行登录认证(认证时会使用策略模式进行适配)
  • 认证成功后,做一些业务处理(结合原有的token逻辑)

搞起来

1 自定义登录认证处理器

package com.zyu.boot.demo.security.handler;

import com.zyu.boot.demo.entity.User;
import com.zyu.boot.demo.mapper.UserMapper;
import com.zyu.boot.demo.security.entity.JwtUser;
import com.zyu.boot.demo.security.entity.Role;
import com.zyu.boot.demo.utils.pwd.PasswordHash;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;

import java.security.NoSuchAlgorithmException;
import java.security.spec.InvalidKeySpecException;
import java.util.ArrayList;

/**
 * 自定义登录认证
 */
@Component
public class MyAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private UserMapper userMapper;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String presentedPassword = (String)authentication.getCredentials();
        JwtUser userDeatils = null;
        // 根据用户名获取用户信息
        User user = userMapper.selectByAccount(username);
        String passwordEncrypt = userMapper.selectPasswordByAccount(username);
        if (StringUtils.isEmpty(user)) {
            throw new BadCredentialsException("用户名不存在");
        } else {
            ArrayList<Role> roles = new ArrayList<>();
            roles.add(Role.valueOf(user.getRole()));
            userDeatils = new JwtUser().setRole(roles).setUid(user.getUserid());
            if (authentication.getCredentials() == null) {
                throw new BadCredentialsException("登录名或密码错误");
            }
            try {
                if (!PasswordHash.validatePassword(presentedPassword,passwordEncrypt)) {
                    throw new BadCredentialsException("登录名或密码错误");
                }
            } catch (NoSuchAlgorithmException | InvalidKeySpecException e) {
                e.printStackTrace();
            }
            UsernamePasswordAuthenticationToken result = new UsernamePasswordAuthenticationToken(userDeatils, authentication.getCredentials(), userDeatils.getAuthorities());
            result.setDetails(authentication.getDetails());
            return result;
        }
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return true;
    }
}

2 security配置类的修改

ps:节约空间,只摘出了本地功能的配置

package com.zyu.boot.demo.security.config;

import com.zyu.boot.demo.security.filter.JwtAuthenticationTokenFilter;
import com.zyu.boot.demo.security.handler.JWTAuthenticationEntryPoint;
import com.zyu.boot.demo.security.handler.MyAccessDeniedHandler;
import com.zyu.boot.demo.security.handler.MyAuthenticationProvider;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * SpringSecurity核心配置类
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
	//自定义认证处理器
	@Autowired
	private MyAuthenticationProvider myAuthenticationProvider;

	/**
	 * 配置自定义认证处理
	 * @param auth
	 * @throws Exception
	 */
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.authenticationProvider(this.myAuthenticationProvider);
	}

	/**
	 * 认证管理器
	 * @return
	 * @throws Exception
	 */
	@Bean
	@Override
	public AuthenticationManager authenticationManagerBean() throws Exception {
		return super.authenticationManagerBean();
	}
}

3 登录接口中使用认证管理器认证

package com.zyu.boot.demo.controller;

import com.zyu.boot.demo.entity.User;
import com.zyu.boot.demo.security.entity.JwtUser;
import com.zyu.boot.demo.security.entity.Role;
import com.zyu.boot.demo.service.LoginService;
import com.zyu.boot.demo.utils.item.RespEntity;
import com.zyu.boot.demo.utils.token.JwtTokenUtils;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiImplicitParam;
import io.swagger.annotations.ApiImplicitParams;
import io.swagger.annotations.ApiOperation;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.DisabledException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;

@RestController
@RequestMapping("/login")
@Api(tags="登录接口")
public class LoginController {
    @Autowired
    private LoginService loginService;
    /**
     * 注入security认证管理器
     */
    @Autowired
    private AuthenticationManager authenticationManager;

    @ApiOperation(value = "security登录", notes = "登录验证托管给security")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "account", value = "用户名", required = true, paramType = "query"),
            @ApiImplicitParam(name = "password", value = "密码", required = true, paramType = "query"),
    })
    @PostMapping("/securityLogin")
    public RespEntity securityLogin(@RequestParam("account") String account, @RequestParam("password")String password, HttpServletRequest req){
        /**
         * 使用security的认证管理器进行认证
         */
        Authentication authenticate = null;
        try {
            authenticate = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(account, password));
        } catch (DisabledException | BadCredentialsException e) {
            return new RespEntity(-1,"账户名或密码错误",null);
        }

        if(authenticate == null){
            return new RespEntity(-1,"账户名或密码错误",null);
        }
        //存储认证信息
        SecurityContextHolder.getContext().setAuthentication(authenticate);
        //生成token
        final JwtUser user = (JwtUser) authenticate.getPrincipal();
        if(user != null){
            // token信息保存在request域,随后保存在响应头
            String token = JwtTokenUtils.createToken(user, false);
            req.setAttribute("currentUser", user);
            req.setAttribute(JwtTokenUtils.TOKEN_HEADER, token);
            return new RespEntity(user);
        }
        return new RespEntity(-1,"账户名或密码错误",null);
    }
}

验证一下

security自定义登录认证测试

  • 可以看到和我们原来的登录处理模式是一样的,做到了兼容

扩展性

这个登录认证还是很具有扩展性的,比如可以对接企业微信认证、QQ认证等第三方认证系统,我们要做的就仅仅是重新写个自定义认证处理器,在接口中引用这个就ok了。采用同一套认证模式,可以具备很好的扩展性。

结束语

别忘了用git保存一下,好习惯

zyufocus
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
使用SpringSecurity定义登录认证
懒虫翻身的博客
09-29 1167
太久没有发过博客,总结一波SpringSecurity登录认证,记录每次的学习体验。。。。。。。。。。 实现WebSecurityConfigurerAdapter 配置安全框架 //@EnableWebSecurity 的 JavaConfig 配置类到 IoC 容器 @EnableWebSecurity // 启用方法级别的权限认证@EnableGlobalMethodSecurity(prePostEnabled = true) public class SpringSecu...
SpringSecurity定义认证逻辑
qq_34136709的博客
05-08 528
SpringSecurity定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
spring security 实现自定义认证登录(3):使用JWT生成token返回给用户
qq_45691577的博客
03-05 1244
前面我们已经实现了登录,为了验证用户日后的请求是否有效,我们生成一个token给用户,用户将token保存起来,用户每次发送请求时我们验证其token是否有效,下面使用JWT生成token并返回给用户。
前后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 4012
前后端分离架构 -- SpringSecurity用法+自定义token校验
SpringSecurity定义登录接口
最新发布
奔跑的大猪蹄子
05-28 328
【代码】SpringSecurity定义登录接口。
使用Spring Security OAuth2使用JWT生成token及自定义token携带的信息(十)
FAIRYTAIL的博客
08-31 6050
定义token携带信息很简单,主要步骤就是自定义TokenEnhancer,然后将自定义的TokenEnhancer加入到TokenEnhancerChain中,最后设置到端点中endpoints.tokenEnhancer(tokenEnhancerChain)。
SpringSecurity5.7+最新案例 -- 用户名密码+验证码+记住我······
热门推荐
mose-x
08-03 3万+
根据最近一段时间的设计以及摸索,对SpringSecurity进行总结,目前security采用的是5.7+版本,和以前的版本最大的差别就是,以前创建SecurityConfig需要继承WebSecurityConfigurerAdapter,而到了5.7以后,并不推荐这种做法,查了网上一些教程,其实并不好,绝大多数用的都是老版本,所以出此文案。一些原理什么的,就不过多说明了,一般搜索资料的,其实根本不想你说什么原理 T·T。
Spring Security 使用JWT自定义Token
lizhengyu891231的博客
11-02 2231
转载自:https://zhouze-java.github.io/2019/09/10/Spring-Security-29-%E4%BD%BF%E7%94%A8JWT%E6%9B%BF%E6%8D%A2%E9%BB%98%E8%AE%A4%E7%9A%84Token/ 叙述 默认的token生成规则其实就是一个UUID,就是一个随机的字符串,然后存到redis中去,使用JWT的话,toke...
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
Spring security自定义用户认证流程详解
08-24
Spring Security 自定义用户认证流程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多高级特性来保护基于 Spring 的应用程序。在本文中,我们将详细介绍 Spring Security 自定义...
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的...
Spring Security自定义登录原理及实现详解
09-07
- `successHandler`和`failureHandler`: 自定义认证成功和失败的处理器。 - `permitAll`: 控制form登录是否允许所有请求。 5. **自定义登录实现** 通过`FormLoginConfigurer`,我们可以设置登录页面、处理URL、...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity+JWT单点登录,跳过密码校验】
m0_44976351的博客
05-15 1714
https://blog.csdn.net/z69183787/article/details/113717614
JWT+SpringSecurity实现基于Token的单点登录认证和授权
波板糖的博客
05-14 907
https://www.pianshen.com/article/9287270944/
SpringSecurity详解,实现自定义登录接口
个人笔记git:https://gitee.com/tlangp/note.git
10-28 4084
目前市面上比较流行的权限框架主要实Shiro和,这两个框架各自侧重点不同,各有各的优劣。要在自己写的页面手动调用登录接口同时还要进行附加操作。层不可能从内存中查询用户,需要跟实际的权限数据库关联。编写登录接口,在其中调用方法。该接口需要再未登录的情况下可调用,所以要放开权限。编写个的实现类,重写方法,在改方法中根据传来的用户名去自己的权限数据库查询用户信息。封装到用户实体类中。
Spring Security 核心解读(二)自定义认证授权体系
冰糖的博客
06-03 1002
Spring Security 自定义认证授权
Spring Security Oauth2 自定义授权方式获取token
Murpny的博客
12-19 3547
通过密码模式授权流程分析可以知道以下两部分内容: 第一部分:关于授权类型 grant_type 的解析 每种 grant_type 都会有一个对应的 TokenGranter 实现类。 所有 TokenGranter 实现类都通过 CompositeTokenGranter 中的 tokenGranters 集合存起来。 然后通过判断 grantType 参数来定位具体使用那个 TokenGranter 实现类来处理授权。 第二部分:关于授权登录逻辑 每种 授权方式 都会有一个对应的 Authent.
SpringSecurity实现登录功能(认证授权,统一异常处理)
m0_51701732的博客
06-02 827
实际我们在开发过程中可能需要做很多的判断校验,如果出现了非法情况我们是期望响应对应的提示的。但是如果我们每次都自己手动去处理就会非常麻烦。我们可以选择直接抛出异常的方式,然后对异常进行统一处理。把异常中的信息封装成ResponseResult响应给前端。​ 目前我们的项目在认证出错或者权限不足的时候响应回来的Json是Security的异常处理结果。但是这个响应的格式肯定是不符合我们项目的接口规范的。所以需要自定义异常处理。​ AuthenticationEntryPoint 认证失败处理器。
springsecurity定义权限认证
05-25
Spring Security提供了很多默认的权限认证方式,但是我们也可以...以上就是一个简单的Spring Security自定义权限认证的示例。通过自定义UserDetailsService和AuthenticationProvider,我们可以实现自己的认证逻辑。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值