spring security安装以及查看或修改默认登录的账号密码

最新推荐文章于 2024-06-15 16:48:03 发布
最新推荐文章于 2024-06-15 16:48:03 发布
阅读量5.8k 收藏 3
点赞数 2
分类专栏: springboot idea spring 文章标签: 登录 表单
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40913192/article/details/102835832
版权
springboot 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
idea
2 篇文章 0 订阅
订阅专栏
spring
2 篇文章 0 订阅
订阅专栏

spring security

一、安装spring security

spring boot 提供了 spring-boot-starter-security启动器,包含了所有于此相关的依赖项目。

最好和优先使用的方法是去用 Spring Initializr,来整合到springboot

  • 可以使用IDE[集成开发环境](Eclipse, IntelliJ, NetBeans)。
  • 可以去官方网站
  • 或者,也可以手动添加
<dependencies>
    <!-- ... other dependency elements ... -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

由于spring boot使用了maven bom去管理依赖项目,因此可以通过一下方式更改版本号:

<properties>
    <!-- ... -->
    <spring-security.version>5.2.1.BUILD-SNAPSHOT</spring-security.version>
</properties>

二、简单配置spring security(修改默认表单的值)

spring security配置有3种方式:

  • spring Boot Auto Configuration
  • Java Configuration
  • XML Configuration

1)、spring Boot Auto Configuration

采用spring security的自动配置的话,只会启动spring security的基本的配置。

  • spring security的自动配置也就是默认配置,只需要安装完spring security就可以了,启动后访问项目都会被spring security从定向到spring security自动设定的login界面。
  • 启动spring security的默认后,spring boot将会将一个叫做springSecurityFilterChain的Filter作为bean放入spring容器,来过滤请求,实施所有的安全处理。
  • 安全管理包括网站的所有url,验证提交的用户名和密码,重定向到表单,防范CSRF等
  • 网站默认会被重定向一个默认登陆表单,并提供一个账号为user,密码随机的用户

默认下生成用户及相关类的流程:它默认会创建一个名字叫InMemoryUserDetailsManager的实例,它实现了UserDetailsService接口中的loadUserByUsername()方法,并在InitializeUserDetailsBeanManagerConfigurer类中configure()方法中调用新建DaoAuthenticationProvider类并调用setUserDetailsService() 将InMemoryUserDetailsManager的实例放进去
在这里插入图片描述

  • 查看随机的登录密码
    加粗样式

spring security特点(理解自官网):

  • 只有经过身份验证的用户才可以和应用程序进行交互(才会处理请求)
  • 为你创建一个默认的表单
  • 基于表单的认证(通过表单提交验证用户),默认表单用户名为’user’,密码随机
  • 用BCrypt(Bcrypt是一个跨平台的文件加密工具。 为了保护用户的明文密码不被泄露,一般会对密码进行单向不可逆加密——哈希 )加密码后存储
  • 用户登出
  • 阻止CSRF攻击
  • 保护会话固定攻击
  • http安全相应头

2)、Spring Security Configuration(编程方式)

用写java代码的方式简单配置Spring Security。
1)、将UserDetailsService接口的实现类和PasswordEncoder接口的实现类都存入(注册)到spring容器中
2)、或者将UserDetailsService实现类中loadUserByUsername返回的UserDetails中密码加密,但是必须改成spring security中特有的加密后的格式

第一种:

@Component
@Configuration
public class CoUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        String your_username = "user";
        if (!username.equals(your_username))
        {
            throw new UsernameNotFoundException("没有该用户");
        }
        UserDetails userDetails = new User(your_username , "123456", new ArrayList<GrantedAuthority>());

        return userDetails;
    }

    public static class myPasswordEncoder implements PasswordEncoder
    {

        @Override
        public String encode(CharSequence rawPassword) {
            return rawPassword.toString();
        }

        @Override
        public boolean matches(CharSequence rawPassword, String encodedPassword) {

           return rawPassword.toString().equals(encodedPassword);

        }
    }

    @Bean
    public PasswordEncoder getPe()
    {
        return new myPasswordEncoder();
    }
}

第二种:
加密后格式为{bcrypt}YUyuiHhuh178GYJbjkH…
spring boot可以根据bcrypt得到采用的是何种加密算法,从而将传过来的明文加密然后和系统存储的对比。
以下是spring boot源码:
在这里插入图片描述
在这里插入图片描述
所有的PasswordEncoder的id:
在这里插入图片描述
例子:

@Component
@Configuration
public class CoUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {


        // 随便拿spring boot的PasswordEncoder其中之一
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
 		String your_username = "user";
        if (!username.equals(your_username))
        {
            throw new UsernameNotFoundException("没有该用户");
        }
        String password = "{bcrypt}" + passwordEncoder.encode("123456");
        UserDetails userDetails = new User("user", password, new ArrayList<GrantedAuthority>());
        return userDetails;
    }
}


@Configuration
public class WebSecurityConfig {

    // @formatter:off
    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.withDefaultPasswordEncoder()
            .username("user")
            .password("password")
            .roles("USER")
            .build();
        return  new InMemoryUserDetailsManager(user); 
        //InMemoryUserDetailsManager其实是实现了UserDetailsManager接口,UserDetailsManager接口继承UserDetailsService接口的
    }
    // @formatter:on
}

简单原理:

  • spring security会根据类型从spring容器中获取UserDetailsService接口的实现类,和PasswordEncoder接口的实现类,然后都放到DaoAuthenticationProvider中登录时由通过它来调用。

  • 如果是第一种配置方法(手动注册(注入)了PasswordEncoder到spring容器)
    在这里插入图片描述

DaoAuthenticationProvider调用UserDetailsService接口下loadUserByUsername方法,验证密码并返回用户信息
在这里插入图片描述
DaoAuthenticationProvider调用PasswordEncoder接口下matches方法验证密码
在这里插入图片描述

  • 如果是二种配置方法(加密密码)

如果没有显式(手动)注册PasswordEncoder的话,将会使用默认的PasswordEncoder,设置默认的PasswordEncoder在构造函数中
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
返回的是DelegatingPasswordEncoder,与普通的PasswordEncoder不同的是,其encode()函数,也就是加密函数中,用普通PaswordEncoser加密后,在前面加上了所用加密类的ID
在这里插入图片描述
在这里插入图片描述
这也解释了前面例子中User.withDefaultPasswordEncoder()为什么可以这样用,
其内部源码
在这里插入图片描述
这个函数作用就是:加密后加上所用的哪个PasswordEncoder的id在这里插入图片描述
在这里插入图片描述
所以加密后应该是{bcrypt} hJHjkhjk89HuiHGU…这样子的

在这里插入图片描述

3)、Spring Security Configuration(xml方式)

<security:authentication-manager> 
	<security:authentication-provider user-service ref="myUserDetailsService">     
	</security:authentication-provider>
</security:authentication-manager>
<bean id="myUserDetailsService" class="com/example/demo/configuration/MyUserDetailsService" />

spring boot会默认的直接将UserDetailsService注入到DaoAuthenticationProvider 中,所以,其实和上面的一样

参考
spring security官方文档

lastembryoXX
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity初体验之手动配置用户名密码
01-07
此文章是记录博主在学习springsecurity时的笔记 第一步 创建一个SpringBoot工程,勾选上需要的依赖。 第二步 创建一个名为securityconfig的配置类,该类基础了父类WebSecurityConfigurerAdapter(提供用于创建WebSecurityConfigurer实例的便捷基类。 该实现允许通过覆盖方法进行自定义。),并在该类中重写了参数为AuthenticationManagerBuilder(作用:用于创建AuthenticationManager的SecurityBuilder。 允许轻松构建内存身份验证,LDAP身份验证,基于JDBC的身份验证
详解Spring Security的formLogin登录认证模式
08-25
Spring Security的formLogin登录认证模式详解】 在构建复杂且高度定制化的企业级应用时,登录验证页面往往需要满足各种个性化需求,例如美观的界面和多样化的登录方式。Spring Security 提供了formLogin模式,...
springsecurity默认用户名密码_看完这一篇,你就对 Spring Security 略窥门径了 | 原力计划...
weixin_39593469的博客
11-26 751
作者 | BoCong-Deng来源 | CSDN 博客,责编 | 夕颜头图 | CSDN 下载自东方 IC出品 | CSDN(ID:CSDNnews)写在前面开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。我...
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 1599
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
springsecurity默认用户名密码_学习学习SpringSecurity
weixin_39689347的博客
11-26 979
Spring Security 思维导图添加描述简介SpringSecuritySpring下的一个安全框架,与shiro 类似,一般用于用户认证(Authentication)和用户授权(Authorization)两个部分,常与与SpringBoot相整合。初阶 Spring Security添加maven依赖<dependency> <groupI...
spring security默认用户名和密码以及在配置文件配置一个账号和密码
weixin_42471170的博客
06-08 1万+
1. spring security默认用户名和密码 spring security默认用户名:user spring security默认密码: 在控制台打印出来,如下: Using generated security password: 1dfdgki3-q234-76hj-6h7l-1re87f546r646 2.spring security在yml文件配置用户名和密码 spring: security: user: name: nba password:
Spring Security密码存储
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
10-11 963
Spring Security的接口用于执行密码的单向转换,以便可以安全的存储密码。通常用于在认证时将用户提供的密码与存储的密码的比较。
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频
11-13
配置数据源-登录账号密码从数据库中检索.avi"涵盖了数据源的配置,这是从数据库获取用户登录信息的前提。正确配置数据源能让CAS服务器连接到正确的数据库,以便在认证过程中查找用户信息。 "13.CAS工作流程介绍.avi...
详解springSecurity之java配置篇
08-18
在配置类中,我们可以定义一个名为 UserDetailsService 的 Bean,该 Bean 负责设置账号密码,拦截 URL,校验成功后重定向至 URL。如果要使用多用户,可以使用 manager.createUser 方法来创建多个用户。 例如,以下...
Spring Security 3多用户登录实现一
04-13
- **登录表单**:创建一个登录表单,提交用户名和密码Spring Security默认登录URL(如/j_spring_security_check)。 - **自定义认证处理器**:如果需要自定义登录逻辑,可以实现`AuthenticationProvider`接口...
SpringSecurity设置登录账号密码的三种方式
cy364328541的博客
08-16 5258
SpringSecurity设置登录账号密码的三种方式
springboot 整合springsecurity 通过数据库获取账号密码
Freelife的博客
07-20 2064
创建数据库 创建实体类 导入security 依赖 创建SecurityConfig 继承 WebSecurityConfigurerAdapter 实现UserDetailsService接口 之前学security的时候发现很多篇博文都是通过自定义的UserDetails来进行登录,并且加了Role 这一表来查看用户有没有以下角色后完成登录,但初学者或许会感觉比较乱,所以想给初学者一点更简单的方法实现,在里面我是用自己定制的登录页,你们可以不用,直接用它本身的测试就好了 创建数据库 /* Navic.
SpringBoot swagger 配置账号密码
热门推荐
赵先森
09-18 4万+
生产环境下springboot中 swagger 配置账号密码 &amp;amp;lt;!-- 鉴权 --&amp;amp;gt; &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.springframework.boot&amp;amp;lt;/groupId&amp;amp;gt;
SpringSecurity配置了账号,密码,命令行依旧显示默认密码
质量不太好的博客
03-11 737
SpringSecurity配置了账号,密码,命令行依旧显示默认密码
Spring Security - 06 修改默认的用户名和密码
qq_29761395的博客
02-05 2918
文章目录环境项目结构测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) 项目结构 参考:Spring Security - 05 原生的退出登录 从 Web > 4. Spring Security 文中可知,默认的用户名是 user
spring-security基础】基于配置的用户名密码设置及适用场景说明
東₂₀₂₃²⁰²³
01-26 2528
spring-security 快速入门,最基础的认证方式; 适用于快速构建认证
spring-security入门demo(二),用户名、密码、角色查询数据库获得
qq_16171201的博客
02-22 1257
上一篇中,我们通过编程的方式,在代码中写死了用户名、密码等信息, 这种方式在实际使用中是很不方便的,那么如何关联上mysql查询用户名、密码呢? 这章我们就来说说这个问题 1.准备工作 1.1.创建数据库、表 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ---------------------------- -- Table structure for t_account -- ---------------------------...
Spring Security 默认账号密码是什么
07-29
Spring Security中,默认情况下,生成的随机密码会在应用启动时输出到控制台。控制台输出的日志中,会包含类似下面的内容: ``` Using generated security password: 12345678-9012-3456-7890-123456789012 ``` 其中`12345678-9012-3456-7890-123456789012`就是生成的随机密码。每次应用启动时,都会生成一个新的随机密码。 你可以使用这个密码进行登录,用户名可以是任意非空字符串。登录时,需要使用HTTP基本认证方式,在请求头中添加`Authorization`字段,值为`Basic base64(username:password)`。其中,`username`可以是任意非空字符串,`password`就是生成的随机密码。 请注意,这只是一个默认行为,你可以在代码中进行自定义配置,并设置自己的用户名和密码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值