Spring Security核心组件之用户

最新推荐文章于 2022-09-30 14:21:36 发布
最新推荐文章于 2022-09-30 14:21:36 发布
阅读量183 收藏
点赞数
分类专栏: Spring Security 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071876/article/details/120510537
版权
一、用户
public interface UserDetails extends Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();  // 权限标识集合

	String getPassword(); // 密码

	String getUsername(); // 用户名
	
	boolean isAccountNonExpired(); // 是否未过期

	boolean isAccountNonLocked(); // 是否未锁定

	boolean isCredentialsNonExpired();  // 密码是否未过期 
    
	boolean isEnabled(); // 是否可用
}

在这里插入图片描述

1.1 用户类的自定义

当我们要实现自己的用户类时,我们可以继承UserDetails子类User

public class MyUserDetails extends User {

    private static final long serialVersionUID = 3899399998765880053L;
   
    private String id;

    public MyUserDetails(String username, String password, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
    }

    public MyUserDetails(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);
    }

    //忽略id的get和set方法
}
二、操作用户

在这里插入图片描述

public interface UserDetailsService {
	// 通过 username 查询 UerDetails
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
2.1 默认的UserDetailsService

默认UserDetailsService是InMemoryUserDetailsManager,其注册在UserDetailsServiceAutoConfiguration中

@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(AuthenticationManager.class)
@ConditionalOnBean(ObjectPostProcessor.class)
@ConditionalOnMissingBean(
		value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class },
		type = { "org.springframework.security.oauth2.jwt.JwtDecoder",
				"org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector" })
public class UserDetailsServiceAutoConfiguration {

	private static final String NOOP_PASSWORD_PREFIX = "{noop}";

	private static final Pattern PASSWORD_ALGORITHM_PATTERN = Pattern.compile("^\\{.+}.*$");

	private static final Log logger = LogFactory.getLog(UserDetailsServiceAutoConfiguration.class);

	@Bean
	@ConditionalOnMissingBean(
			type = "org.springframework.security.oauth2.client.registration.ClientRegistrationRepository")
	@Lazy
	public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties,
			ObjectProvider<PasswordEncoder> passwordEncoder) {
		SecurityProperties.User user = properties.getUser();
		List<String> roles = user.getRoles();
		return new InMemoryUserDetailsManager(
				User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
						.roles(StringUtils.toStringArray(roles)).build());
	}

	private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
		String password = user.getPassword();
		if (user.isPasswordGenerated()) {
			logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
		}
		if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
			return password;
		}
		return NOOP_PASSWORD_PREFIX + password;
	}

}
2.2 UserDetailsService是自定义
public class MyUserDetailsService implements UserDetailsService {
     @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<SimpleGrantedAuthority> simpleGrantedAuthorityList = new ArrayList<>();

        //这里面模拟从数据库获取用户信息
        SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority("ROLE_admin");
        simpleGrantedAuthorityList.add(simpleGrantedAuthority);
        return new MyUserDetails("user",passwordEncoder.encode("123"), simpleGrantedAuthorityList);
    }
}

把自定义的MyUserDetailsService注册到Spring Security中

@Configuration
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }

    @Bean
    public MyUserDetailsService myUserDetailsService(){
        return new MyUserDetailsService();
    }

}

只要我们把他注册到容器中,Spring Security机会获取它。具体原因如下

@Configuration(proxyBeanMethods = false)
@Import(ObjectPostProcessorConfiguration.class)
public class AuthenticationConfiguration {
    @Bean
	public static InitializeUserDetailsBeanManagerConfigurer initializeUserDetailsBeanManagerConfigurer(ApplicationContext context) {
		return new InitializeUserDetailsBeanManagerConfigurer(context);
	}
}


@Order(InitializeUserDetailsBeanManagerConfigurer.DEFAULT_ORDER)
class InitializeUserDetailsBeanManagerConfigurer extends GlobalAuthenticationConfigurerAdapter {
    // 忽略代码........
	@Override
	public void init(AuthenticationManagerBuilder auth) throws Exception {
	    //创建其内部类InitializeUserDetailsManagerConfigurer
		auth.apply(new InitializeUserDetailsManagerConfigurer());
	}
	class InitializeUserDetailsManagerConfigurer extends GlobalAuthenticationConfigurerAdapter {
		@Override
		public void configure(AuthenticationManagerBuilder auth) throws Exception {
			if (auth.isConfigured()) {
				return;
			}
			//从容器中获取UserDetailsService,如果没有直接返回
			UserDetailsService userDetailsService = getBeanOrNull( UserDetailsService.class);
			if (userDetailsService == null) {return;}
			//从容器中获取PasswordEncoder
			PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class);
		    //从容器中获取UserDetailsPasswordService
			UserDetailsPasswordService passwordManager = getBeanOrNull(UserDetailsPasswordService.class);
            //创建DaoAuthenticationProvider,将3个类配置进去
			DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
			provider.setUserDetailsService(userDetailsService);
			if (passwordEncoder != null) {
				provider.setPasswordEncoder(passwordEncoder);
			}
			if (passwordManager != null) {
				provider.setUserDetailsPasswordService(passwordManager);
			}
			provider.afterPropertiesSet();
			auth.authenticationProvider(provider);
		}
	}
}
这是一条海鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-Security笔记4 用户权限
杨毅的专栏
03-01 855
建立好了spring-security中提供的数据库表,就可以基于这些表进行用户权限的管理。目前主要用到了5张表SYS_USERS  用户管理表SYS_ROLES  角色管理表SYS_AUTHORITIES权限管理表SYS_USERS_ROLES用户角色表SYS_ROLES_AUTHORITIES角色权限表要实现使用数据库管理用户,需要自定义用户登录功能Spring已经为我们提供了接口UserD...
Spring Security基础使用
jkj2460228393的博客
05-14 390
前言 学习Spring Security 的认证和授权。 一、Spring Security 的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二、新建控制器类 package com.example.de
spring security解决用户权限的方案
11-12
使用spring security解决用户权限的方案
Spring Security(二)
ningmeng666_c的博客
09-12 182
认证和授权 authentication:认证,认证访问者是谁。一个用户或者一个其他系统是不是当前要访问的系统中有效用户。 authorization:授权,访问者能做什么 RBAC是什么? RBAC 是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。 RBAC 又
Spring Security OAuth 2.0
03-03
Spring Security OAuth 2.0 Spring Security OAuth 2.0 是一种基于 OAuth 2.0 协议的身份验证和授权框架,它提供了一个灵活和可扩展的解决方案来保护基于 Web 的应用程序。OAuth 2.0 是一种行业标准的授权协议,...
Spring-Security:安全攻击对策
05-13
核心组件组成,以实现身份验证和授权功能 Spring安全网 包含实现Web应用程序安全功能的组件 弹簧安全配置 由组件组成,以支持每个模块提供的组件配置(支持基于Java的配置方法的类或解释XML名称空间的类,等等。)...
spring security 参考手册中文版
02-01
9.2核心组件 74 9.2.1 SecurityContextHolder,SecurityContext和认证对象 74 获取有关当前用户的信息 75 9.2.2 UserDetailsService 75 9.2.3授予权力 77 9.2.4总结 77 9.3认证 78 9.3.1什么是Spring Security中的...
Spring Security
05-05
前言 入门 简介 Spring Security是什么? 历史 发布版本号 Getting Spring Security ...核心组件 验证 在Web应用程序中的身份验证 Spring Security的访问控制(授权) Localization ........................
SpringSecurity的Web应用和指纹登录实践
02-24
Java开发人员在解决Web应用安全相关的问题时,通常会采用两个非常流行的安全框架,Shiro和SpringSecurity。Shiro配置简单,上手快,满足一般应用的安全需求,但是...本文将介绍SpringSecurity的架构设计、核心组件,在
SpringSecurity+JWT认证流程解析 | CSDN新人第一弹
和耳朵
07-07 1830
纸上得来终觉浅,觉知此事要躬行。 楔子 本文适合: 对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学,对SpringSecurity有兴趣的也可以当作你们的入门教程,示例代码中也有很多注释。本文代码: 码云地址 GitHub地址 大家在做系统的时候,一般做的第一个模块就是认证与授权模块,因为这是一个系统的入口,也是一个系统最重要最基础的一环,在认证与授权服务设计搭建好了之后,剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring.
Spring Security(五)--管理用户
学习不止境的博客
09-30 1344
UserDetailsManager接口扩展UserDetailsService接口是体现接口分离原则的一个很好的例子,分离接口可以提供更好的灵活性,因为框架不会强迫我们在应用程序不需要的时候实现行为,如果应用程序只需要验证用户,那么实现UserDetailsService契约就足以覆盖所需功能。而如果需要真正管理用户,我们就可以在其基础上自己扩展管理用户的功能亦或者直接实现UserDetailsManager的接口。
UserDetailServiceAutoConfigutation
Leon_Jinhai_Sun的博客
05-04 553
这个源码非常多,这里梳理了关键部分: @Configuration(proxyBeanMethods = false) @ConditionalOnClass(AuthenticationManager.class) @ConditionalOnBean(ObjectPostProcessor.class) @ConditionalOnMissingBean( value = { AuthenticationManager.class, AuthenticationProvider.class, U
2.Spring Security 用户,角色和权限 详解
热门推荐
妖怪的博客
08-26 1万+
本文主要介绍Spring Security使用数据库存储角色和权限,并在此情况下进行登录操作,同时介绍了记住我操作
万字长文,SpringSecurity
mySoul
06-30 883
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
Spring Security用户权限进行管理
theVicTory的博客
11-03 2372
基于角色的访问控制 隐式访问控制:根据用户的角色判断是否具有某项操作 显示访问控制:为用户分配某种权限,根据权限判断是否可以进行某种操作。与具体角色无关,权限控制更加灵活 认证( authentication ):是建立主体( principal) 的过程。"主体"不仅指用户,还可以是其他执行操作的系统或设备。 授权(authorization ):或称为"访问控制(access-control), 是指决定是否允许主体在应用程序中执行操作 Spring SecuritySpring中常用的安全服务框架,
Spring Security 内置的InMemoryUserDetailsManager配置过程
iteye_11819的博客
04-26 5671
InMemoryUserDetailsManager是Spring Security 内置的实现UserDetailsManager 接口的默认配置实现。它主要负责从配置文件中加载用户的账户信息。观察Spring Security源代码可清晰发现其配置过程。   UserServiceBeanDefinitionParser类解析配置文件&lt;user-service&gt;元素。代码...
spring核心组件
最新发布
03-02
Spring框架的核心组件包括: 1. Inversion of Control(IoC)/ Dependency Injection(DI):这是Spring框架最基本的组件,它通过将对象的创建、组装和管理交由Spring容器来实现对象间的解耦和灵活性。 2. Aspect ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值