SpringSecuriyt

最新推荐文章于 2024-01-22 22:52:13 发布
最新推荐文章于 2024-01-22 22:52:13 发布
阅读量613 收藏
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42778001/article/details/118697937
版权

SpringSecurity默认的登录逻辑如下:

1、认证 -- 也就是登录的大致流程:

传统的登录,也就是通过form表单登录,使用sequrity做安全框架,当一个用户点击登录,首先security会去找 userDetailsServese 类里边的 loadUserByUsername 方法 -> 参数传递用户名 -> 拿着用户名,去数据库中查找,如果用户名存在 -> 会返回 UserDetails,而UserDetails 是一个接口,对应实现类是User,User类中的参数有用户名、密码、权限,也就是说返回的有用户名、密码和权限,接着会对前端传过来的密码和数据库返回的密码进行比对。

登录逻辑

内部通过  loadUserByUsername 接口 进行登录逻辑,

参数:就是登陆时传递的username账号

异常:用户名未找到

 返回类型

返回的类型为  UserDetails 接口

  UserDetails 接口的三个实现类

默认有三个实现了UserDetails 接口

User类

 平时开发主要用到: User类,注意与自定义的User不能混淆。

密码处理 -  PasswordEncoder接口

encode 方法,对前端传过来的密码进行加密;参数为前端传过来的密码。

matches 数据库的密码和前端传过来的密码进行匹配,参数一:前端传过来的密码,参数二:查询出来的密码;

PasswordEncoder接口的实现类

默认有非常多的实现类。

常用的  BCryptPasswordEncoder 实现类,也是官方推荐的一个。

 有三个常量

private final int strength; //密码的加密强度 默认为10

private final BCryptVersion version;

private final SecureRandom random;

 对应encode方法

大致流程

首先判断前端传过来的密码是否为空,是的话直接抛异常。有密码,接着生成盐,判断是否有随机数,没有的话使用版本号、加密强度生成盐;有的话,使用 版本号、加密强度、随机数生成盐,最后,根据哈希算法,对密码+盐进行加密,通过 strength 加密强度进行加密,加密强度默认为10。

 

测试

搞懂上边的大致流程,我们来用一个密码简单测试下,看下生成的密码和密码比对

@Test
void contextLoads() {

    BCryptPasswordEncoder bp = new BCryptPasswordEncoder();
    String psw = bp.encode("123");
    System.out.println("加密后的密码:"+ psw);

}

 下边就是对前端过传来的密码进行加密之后的样子:

对密码"123"多次执行,生成出来的加密密码也是不一样的,因为内部生成的盐每一次都是随机生成!

  查询出来的密码如何与上边加密后的密码进行比对呢, 可以使用 matches() 方法:

=======================================================

言归正传,记录下在springboot中的使用。

1、简单实现自己的登陆逻辑

如果不自己实现,默认访问应用,会弹出一个security默认的一个登录页面,默认的账号和密码是security提供的,账号admin,密码是每次启动应用随机生成的,下边写一个自己的登录逻辑:

因为要模拟密码加密,所以加一个PasswordEncoder的 Bean,下边创建了一个Security的配置类:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig {
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

 实现自己的登陆逻辑主要是要实现UserDetailsService接口:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;
@Service
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println(username);
        // 账号admin,密码:123
        // 仿数据库
        if(!username.equals("admin")) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        // 比较密码,这里仿一个密码加密
        String password = passwordEncoder.encode("123");
        // 账号、密码、权限
        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal"));
    }
}

2、实现自己的登录页面,默认security自带的登录页,实现自己的如下:

继承

WebSecurityConfigurerAdapter ,重写 configure方法

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // ··· ···
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 表单的登录
        http.formLogin()
                .loginPage("/login.html"); // 自己的登录页面(在static中的html),注意前边加/
    }
}

3、上边我们自定义了:登录页面和登陆逻辑,此时,在浏览器访问任何api接口或应用都能访问,显然不是我们想要的,因为没有相应的权限了,没有登录,直接就能访问任何页面???

解决:

请求授权,任何请求都需要授权,接着重启服务,访问任何页面,此时浏览器崩了:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    // ··· ···
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 表单的登录
        http.formLogin()
                .loginPage("/login.html"); // 登录页面

        // 请求授权
        http.authorizeRequests()
                .anyRequest().authenticated(); // 任何请求都需要授权
    }
}

 原因:任何请求都需要授权,它会重定向到登录页面,但是登录页面也需要授权,所以死循环。

 解决:添加一组放行的路径,规定登录页面不需要授权。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 表单的登录
        http.formLogin()
                .loginPage("/login.html"); // 登录页面

        // 请求授权
        http.authorizeRequests()
                // 匹配一个可以放行的路径
                .mvcMatchers("/login.html").permitAll()
                .anyRequest().authenticated(); // 任何请求都需要授权
    }
}

4、到了我们自定义的登录页面之后,我们想要登录后直接访问之前写好的登陆成功页面:

下边是我们写好的自定义登录页面:,点击登录会请求/loigin接口,

 login接口会被下边loginProcessingUrl() 方法匹配到,然后会跳转至 /toSuccess api,这个api必须是post请求的,因为successForwardUlr() 方法只接收post请求,而且该方法的参数必须是一个控制器中定义的api接口,且控制器中返回的是一个视图名,原因在最后源码中有说明,内部只是一个简单个跳转!!!

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 表单的登录
        http.formLogin()
                .loginPage("/login.html") // 登录页面
                // 登录要处理的url
                .loginProcessingUrl("/login") // 这个路径需要跟表单提交的登录路径相同,才能走我们自定义的登陆逻辑
                // 登陆成功后跳转的页面(只接受post请求)
                .successForwardUrl("/toSuccess");

        // 关闭防火墙(关闭csrf 跨站请求伪造)
        http.csrf().disable();
        
        // 请求授权
        http.authorizeRequests()
                // 匹配一个可以放行的路径
                .mvcMatchers("/login.html").permitAll()
                .anyRequest().authenticated(); // 任何请求都需要授权
    }
}

 到控制器下的toSuccess接口,里边会重定向到success.html页面,完成一次从   登录自定义逻辑 -> 到我们自定义登录页面 -> 授权 -> 登陆成功 的请求。

 

5、登录失败失败的处理。

上边登录成功大致流程跑通了,但是如果登录失败呢,需要添加一个失败的页面:

配置ssecurity:

(1)failureForwardUrl() 失败的跳转的api。
(2)mvcMatchers("error.html") 需要添加要放行的页面,否则到不了失败页面!

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 表单的登录
        http.formLogin()
                .loginPage("/login.html") // 登录页面
                // 登录要处理的url
                .loginProcessingUrl("/login") // 这个路径需要跟表单提交的登录路径相同,才能走我们自定义的登陆逻辑
                // 登陆成功后跳转的页面(只接受post请求)
                .successForwardUrl("/toSuccess")
                // 登陆失败后跳转的页面(只接受post请求)
                .failureForwardUrl("/toError");

        // 关闭防火墙(关闭csrf 跨站请求伪造)
        http.csrf().disable();

        // 请求授权
        http.authorizeRequests()
                // 匹配一个可以放行的路径
                .mvcMatchers("/login.html", "/error.html").permitAll()
                .anyRequest().authenticated(); // 任何请求都需要授权
    }
}

 账号密码输错了:

 会转到失败页面:

 6、自定义的请求参数名

上边我们自定义的登录页面,请求参数名是:username和password,请求方法是:post,这是security默认的,必须这么写,。 

自定义参数名:

  配置:

 7、自定义页面跳转

自定义成功处理器:
successHandler(new PageSuccessHandler("http://www.baidu.com"))

 登录成功之后的页面跳转,上边是通过一个api接口,转到控制层,在由控制器里边重定向到一个html页面,但是,现在前后端分离项目,如果想直接跳转到百度页面,该如何做?

 successForwardUrl("http://www.baidu.com"),此时单纯这样写无法完成此需求!

 看下successForwardUrl源码:

 解决:

实现我们自定义的跳转,其实也很简单,实现 AuthenticationSuccessHandler 接口,重写:onAuthenticationSuccess方法即可。

import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class PageSuccessHandler implements AuthenticationSuccessHandler {
    private final String url;
    public PageSuccessHandler(String url) {
        this.url = url;
    }
    @Override
    public void onAuthenticationSuccess(
            HttpServletRequest httpServletRequest, 
            HttpServletResponse httpServletResponse, 
            Authentication authentication) throws IOException, ServletException {
        // 重定向到url地址
        httpServletResponse.sendRedirect(this.url);
    }
}

修改security配置:

 

 8、来看下Authentication

下边接口在实际开发中用的很多。

onAuthenticationSuccess 方法的第三个参数 :Authentication

public class PageSuccessHandler implements AuthenticationSuccessHandler {
    private final String url;
    public PageSuccessHandler(String url) {
        this.url = url;
    }
    @Override
    public void onAuthenticationSuccess(
            HttpServletRequest httpServletRequest,
            HttpServletResponse httpServletResponse,
            Authentication authentication) throws IOException, ServletException {
        // 获取当前登录的这个用户
        User user = (User) authentication.getPrincipal();
        System.out.println(user.getUsername()); // 获取登录之后的用户账号
        System.out.println(user.getPassword()); // 获取登陆之后的密码,为了安全security默认为null
        System.out.println(user.getAuthorities()); // 获取当前用户的权限
        httpServletResponse.sendRedirect(this.url);
    }
}

 最后的权限是之前我们设置的:

9、定义登录失败的处理器

先来看下之前登录失败的处理方式,通过 failureForwardUrl(url)这个url必须对应的是控制器中的返回的视图,如果直接写一个xxx.html是不可行的!!!源码跟登陆成功的处理方式一样,只不过最后 onAuthenticationFailure() 授权失败的处理方法参数不一样:

 实现自定义登录失败的处理(跟成功的类似):
实现 AuthenticationFailureHandler 接口,重写 onAuthenticationFailure() 方法

package com.lxc.sequrity.config;

import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class PageFailHandler implements AuthenticationFailureHandler {
    private final String url;

    public PageFailHandler(String url) {
        this.url = url;
    }

    @Override
    public void onAuthenticationFailure(
            HttpServletRequest httpServletRequest,
            HttpServletResponse httpServletResponse,
            AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.sendRedirect(this.url);
    }
}

最后修改配置:

 登陆失败,跳转error.html成功

 

 总结:

不管登录成功的处理逻辑或登录失败的处理逻辑,其实都是需要实现成功认证的处理接口和失败的认证处理接口,重写里边的方法,在方法中定义我们的登录逻辑。其次,在配置类中 调用 :

successHandler(new 自定义的处理类) 或 failureHandler(new 自定义的处理类) 处理方法

补充:

BCryptPasswordEncoder 和、passwordEncoder两个密码类,security内部使用的,对密码进行加密,对比等。

@Configuration
public class SecurityConfig {
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder () {
        return new BCryptPasswordEncoder();
    }
}

(2)我们自己实现登录逻辑,所以,必须要实现 userDetailsServese () 接口

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Resource
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("username:"+username);
        // 【第一步】
        // 参数:username:前端传过来的账号,拿username直接去数据库查询,如果username为null 直接抛出异常 :UsernameNotFoundException
        // 为了方便这里直接,写死
        String databaseUsername = "admin";
        if(databaseUsername.equals(username)) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        // 【第二步】
        // 密码比对
        // 我们在这拿到前端传过来的密码,springSequrity 已经帮我们加密了,此时,在这里我们只是把加密后的
        // 密码和数据库查询到的密码做比对即可。
        // 这里模拟加密,实际开发中,注册时就已经加密了,应该使用matchs()进行比对,成功返回 UserDetails
        // 下边应该写 matchers() 方法,进行密码比对,为了方便这里跳过密码比对,直接模
        // 拟一个加密后的密码
        String password = passwordEncoder.encode("123");
        return new User(username,
                password,
                // AuthorityUtils 权限的工具类
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal"));
    }
}
@红@旗下的小兵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurity 实现传参
11-04
springSecurity 实现登陆验证、传参,包括源代码和MYSQL的建库脚本。 传参的功能可以实现记录登陆之前打开的页面,登陆之后自动跳转到之前打开的页面。
springsecurity3.0.5
02-28
当用firefox访问时产生的临时cookie,在下次访问中还存在的话,获取的session还是原来的session(user验证信息不变),如果把那个临时cookie删除的话,则springsecuriyt生成新的session,user验证信息在本次登录中不...
SpringSecurity: 授权和修改User配置角色和权限,修改loadUserByUsername方法,修改SpringSecurity配置类,控制Controller层接口权限,异常处理
最新发布
qq_73126462的博客
01-22 1301
以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL表达式的方式,可灵活定义所需的权限,通常用于基于资源的授权。
Spring Security loadUserByUsername传递多个参数
愤怒的苹果ext的博客
08-16 4134
我们使用Spring Security做登录,一般来说都要实现接口,代码如下。}是的,方法仅有一个username参数,如果我们是做SaaS平台,多渠道登录,名称允许重复的话,这可怎么玩儿。下面提供2种方法。新建,其实是把代码抄下来,修改了和。把的details属性作为扩展参数传入新的方法。...
SpringSecurity中loadUserByUsername方法无法正常捕获异常的问题
weixin_51110958的博客
06-13 3828
最近在做动态权限,整合了SpringSecurity。在使用SpringSecurity 做用户认证功能的时候,重写了loadUserByUsername方法并且在方法内判断用户是否为空,如果为空就抛出自定义的UserException异常。前端捕获到就反馈相应信息。代码如下: 本以为如上代码会正常抛出UserException,但是在测试之后并没有按照预想的走...
SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析
weixin_45630446的博客
09-16 4325
SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析 文章目录SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析1、分析原因2、解决方式2.1、方式一2.2、方式二 SpringSecurity 相信大家对它都不陌生,这是一个令我又爱又恨的框架,配置不简单,但是功能却异常强大。下面我们就一起来分析一下loadUserByUsername 里抛出自定义异常无法捕获的原因吧 嗯,话不多说,自定义异常,全局异常处理拦截器、Securit
Spring Security怎么从数据库加载我们的用户?
BASK2311的博客
12-31 307
记住怎么自定义, 注意自定义的User需要实现哪些接口, 还有脱敏问题。
SpringSecurity】SpringSecurity+vue前后端面分离项目中使用 自定义登录逻辑出现的问题:loadUserByUsername接收的数据是空的 - Java
qq_43751336的博客
12-09 1721
@TOC 1. 问题描述 使用SpringSecurity的自定义逻辑方法loadUserByUsername时后端接收的数据username是空的, 2. 前端发送的数据如下 3. 结果及分析 4. 分析及解决 分析:因为前端这样发送的请求数据格式是json格式的数据,而SpringSecurity的配置则是需要提交的数据形式是表单格式的 解决:需要在前端发送的axios请求中设置成表单提交的格式,并且提交的数据要进行转换成字符串的形式。 修改原代码: axios表单形式提交需要在heard中添加C
springboot结合spring security,loadUserByUsername参数name为空解
ML_MovingBricks的博客
01-13 1938
loadUserByUsername参数username为空
前后端分离spring security中loadUserByUsername参数name为空
God__is__a__girl的博客
10-06 2285
检查前端传回的参数名称是否是username和password,spring security默认的参数名称是username和password,如果不是,可能更改前端的形参,也可以在WebSecurityConfigurerAdapter的configure实现接口里面添加你的参数名称 在后端设置前端传回的参数名称 http. ...//省略 .formLogin() .usernameParameter("username") .passwordParameter("passwor.
Spring Security
风生的博客
03-29 585
permitAll():表示所匹配的URL任何人都允许访问authenticated():表示所匹配的URL都需要被认证才能访问 :表单提交认证+rememberMe()anonymous():表示可以匿名访问匹配的URL 必须不用认证 如果已经认证 无法访问 :登录页面需要指定当前权限denyAll():表示所匹配的URL都不允许被访问。rememberMe():被“remember me”的用户允许访问。
Spring Security自定义用户认证
Yestar123456的博客
12-27 545
Spring Boot中开启Spring Security一节中我们简单搭建了个Spring Boot + Spring Security的项目,认证的用户名和密码都是由Spring Security生成。Spring Security支持我们自定义认证的过程,如处理用户信息获取逻辑,使用我们自定义的登录页面替换Spring Security默认的登录页及自定义登录成功或失败后的处理逻辑等。这里...
Spring Security 后端接受多个参数
u011267841的博客
03-10 5317
有时候,我们用到Spring Security验证框架的时候需要用到多个参数,因为默认提供了2个参数username和password,加入我们需要curLoginType这个参数怎么设置 1.重写UsernamePasswordAuthenticationToken这个类,由于这个类已经有spring封装,我们把源代码改一下,重新命名为MyAuthenticationToken,代码如下: ...
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2517
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
使用Spring Security
小菜鸟博客
10-03 483
使用Spring Secutiry
Spring Security入门
liang63487458的博客
09-11 342
b站黑马Spring Security学习笔记 1、概念 1.1、什么是认证 用户认证就是判断一个用户的身份是否合法的过程。 用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。 常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。 1.2、什么是授权 授权是用户认证通过后,根据用户的权限来控制用户访问资源的过程。 拥有资源的访问权限则正常访问,没有权限则拒绝访问。 1.3、授权的模型 授权就是系统对主体访问资源进行许可的操作.
Spring Security自定义用户认证逻辑
taojin12的博客
05-06 269
Spring Security中,用户的校验逻辑是不需要自己是实现的。但是我们需要通过页面用户输入的信息和数据库的用户信息进行比较。 Spring Security中提供了一个 接口UserDetailsService, 在他的loadUserByUsername方法中,对从数据库获取的用户信息进行封装。 自定义实现UserDetailsService @Component public class MyUserDetailService implements UserDetailsService {
Spring-security快速入门
l23456789o的博客
08-07 222
介绍 如何使用springboot中Spring-security 引入依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <depe
SpringSecurity基础入门(详情可以联系博主)
yuan_boss的博客
06-12 483
写下本篇文章是因为我在做小项目时使用到了spring security并且对此有了更深的理解,故写下这篇文章总结了spring security并且再次加深理解,本篇文章适合于有点基础的小伙伴,当然没有基础的小伙伴也可以在评论区提问,或者加扣扣联系,小编看到一定回复哦,扣扣:1928627476...
Spring security学习
pscool的博客
03-14 233
springboot web项目都能正常跳转(引入security启动依赖前) 引入spring-boot-starter-security, 全都访问不了了,包括home.html静态资源也访问不了,全部都重定向到http://localhost:8080/login security自己默认的登录页; 输入登录名和密码: user(默认) 密码(会输出在控制台),登录成功 UserDetailsService 接口 唯一方法: 根据用户名, 返回UserDetails用户信息对象 ..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值