SpringSecurity(三)认证

于 2023-09-24 10:02:56 发布
阅读量434 收藏
点赞数
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40369277/article/details/133233050
版权

基于内存验证

首先我们来看看最简单的基于内存的配置,也就是说我们直接以代码的形式配置我们网站的用户和密码,配置方式非常简单,只需要在Security配置类中注册一个Bean即可:

```Plain Text @Configuration @EnableWebSecurity public class SecurityConfiguration {

@Bean   //UserDetailsService就是获取用户信息的服务
public UserDetailsService userDetailsService() {
      //每一个UserDetails就代表一个用户信息,其中包含用户的用户名和密码以及角色
    UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")  //角色目前我们不需要关心,随便写就行,后面会专门讲解
            .build();
    UserDetails admin = User.withDefaultPasswordEncoder()
            .username("admin")
            .password("password")
            .roles("ADMIN", "USER")
            .build();
    return new InMemoryUserDetailsManager(user, admin); 
      //创建一个基于内存的用户信息管理器作为UserDetailsService
}

}

在配置用户信息的时候,可以使用官方提供的BCrypt加密工具:

Java @Configuration @EnableWebSecurity public class SecurityConfiguration {

  //这里将BCryptPasswordEncoder直接注册为Bean,Security会自动进行选择
@Bean
public PasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
}

@Bean
public UserDetailsService userDetailsService(PasswordEncoder encoder) {
    UserDetails user = User
            .withUsername("user")
            .password(encoder.encode("password"))   //这里将密码进行加密后存储
            .roles("USER")
            .build();
      System.out.println(encoder.encode("password"));  //一会观察一下加密出来之后的密码长啥样
    UserDetails admin = User
            .withUsername("admin")
            .password(encoder.encode("password"))   //这里将密码进行加密后存储
            .roles("ADMIN", "USER")
            .build();
    return new InMemoryUserDetailsManager(user, admin);
}

}

此时会报错403,因为SpringSecurity自带了csrf防护,需求我们在POST请求中携带页面中的csrfToken才可以,否则一律进行拦截操作,这里我们可以将其嵌入到页面中,随便找一个地方添加以下内容:

Plain Text

接着在axios发起请求时,携带这个input的value值:

Plain Text function pay() { const account = document.getElementById("account").value const csrf = document.getElementById("_csrf").value axios.post('/mvc/pay', { account: account, _csrf: csrf //携带此信息即可,否则会被拦截 }, { …

---

## 基于数据库验证

官方默认提供了可以直接使用的用户和权限表设计,根本不需要我们来建表,直接在Navicat中执行以下查询:

Plain Text create table users(username varchar(50) not null primary key,password varchar(500) not null,enabled boolean not null); create table authorities (username varchar(50) not null,authority varchar(50) not null,constraint fkauthoritiesusers foreign key(username) references users(username)); create unique index ixauthusername on authorities (username,authority);

配置类中设置数据源和加密:

Java @Configuration @EnableWebSecurity public class SecurityConfiguration {

@Bean PasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
}

@Bean
public DataSource dataSource(){
      //数据源配置
    return new PooledDataSource("com.mysql.cj.jdbc.Driver",
            "jdbc:mysql://localhost:3306/test", "root", "123456");
}

@Bean
public UserDetailsService userDetailsService(DataSource dataSource,
                                             PasswordEncoder encoder) {
    JdbcUserDetailsManager manager = new JdbcUserDetailsManager(dataSource);
      //仅首次启动时创建一个新的用户用于测试,后续无需创建
           manager.createUser(User.withUsername("user")
                  .password(encoder.encode("password")).roles("USER").build());
    return manager;
}

}

---

## 自定义验证

既然需要自定义,那么我们就需要自行实现UserDetailsService或是功能更完善的UserDetailsManager接口,这里为了简单,我们直接选择前者进行实现:

Java @Service public class AuthorizeService implements UserDetailsService {

@Resource
UserMapper mapper;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    Account account = mapper.findUserByName(username);
    if(account == null)
        throw new UsernameNotFoundException("用户名或密码错误");
    return User
            .withUsername(username)
            .password(account.getPassword())
            .build();
}

} ```

其他配置

自定义登陆界面

在编写项目过程中发现有302的情况,一定要先检查是否因为没有放行导致被SpringSecurity给拦截了。

记住我功能

也就是说我们可以在登陆之后的一段时间内,无需再次输入账号和密码进行登陆,相当于服务端已经记住当前用户,再次访问时就可以免登陆进入,这是一个非常常用的功能。

湿物男
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring security自定义用户认证流程详解
08-24
主要介绍了Spring security自定义用户认证流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
spring security 认证授权实现
10-14
项目包含认证实现和jwt结合内容 项目使用redis cluster 和mybatis-plus 技术 项目包含建库脚本,一键使用,现成的认证授权框架 本项目不包含oauth2.0开放授权的内容
详解Spring Security认证流程
08-25
主要介绍了Spring Security认证流程,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity认证流程详解
08-27
主要介绍了SpringSecurity认证流程详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security认证和授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
Spring Security基于数据库实现认证过程解析
08-18
主要介绍了Spring Security基于数据库实现认证过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring security认证两类用户代码实例
08-19
主要介绍了Spring security认证两类用户代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解最简单易懂的Spring Security 身份认证流程讲解
08-26
主要介绍了详解最简单易懂的Spring Security 身份认证流程讲解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解Spring Security的formLogin登录认证模式
08-25
对于一个完整的应用系统,与登录验证相关的页面都是高度定制化的,非常美观...这就需要Spring Security支持我们自己定制登录页面,也就是本文给大家介绍的formLogin模式登录认证模式,感兴趣的朋友跟随小编一起看看吧
Spring Security模块
09-03
Spring Security完整用户权限认证模块,放上去修修改改就可简单使用,Spring Security实际上就是filte过滤器
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security OAuth2认证授权示例详解
08-25
主要介绍了Spring Security OAuth2认证授权示例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security+OAuth2 精讲,打造企业级认证与授权2022升级
10-25
Spring Security+OAuth2 精讲,打造企业级认证与授权(2022升级版) 1、企业级认证授权专项解决方案 系统解锁后端开发者必备的"安全"技能 2、主流安全框架核心一网打尽,只学实用的
Spring security基于数据库中账户密码认证
08-24
主要介绍了Spring security基于数据库中账户密码认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity认证
最新发布
11-01
Java Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全服务和认证机制,可以帮助我们实现应用程序的安全控制。第认证是指使用第方身份验证服务来验证用户身份,而不是使用自己的身份验证系统。Spring Security提供了对第方身份验证的支持,可以通过OAuth2、OpenID Connect等协议来实现第方身份验证。 在Spring Security中,我们可以使用Spring Security OAuth2来实现第方身份验证。OAuth2是一种授权协议,它允许用户授权第方应用程序访问他们的资源,而不需要将用户名和密码提供给第方应用程序。OAuth2协议定义了四种角色:资源所有者、客户端、授权服务器和资源服务器。资源所有者是指用户,客户端是指第方应用程序,授权服务器是指负责验证用户身份并颁发访问令牌的服务器,资源服务器是指存储资源的服务器。 Spring Security OAuth2提供了一些类和接口,可以帮助我们实现OAuth2协议。其中,OAuth2RestTemplate是一个用于与OAuth2保护的资源进行交互的RestTemplate。它可以自动处理OAuth2令牌,并将其添加到请求头中。另外,OAuth2ClientContext是一个用于管理OAuth2令牌的接口,它可以帮助我们获取和存储OAuth2令牌。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

湿物男

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值