【SpringBoot高级篇】SpringSecurity认证 (三)

已于 2023-01-07 21:38:16 修改
阅读量454 收藏
点赞数
分类专栏: # Spring全家桶 # SpringBoot 文章标签: spring boot spring security
于 2021-07-26 13:53:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45297578/article/details/119102062
版权

【SpringBoot高级篇】SpringSecurity认证(三)

工作原理

Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过FilterAOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。

当初始化Spring Security时,会创建一个名为SpringSecurityFilterChain的Servlet过滤器,类型为 org.springframework.security.web.FilterChainProxy,它实现了javax.servlet.Filter,因此外部的请求会经过此 类,下图是Spring Security过虑器链结构图:
在这里插入图片描述
FilterChainProxy是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时 这些Filter作为Bean被Spring管理,它们是Spring Security核心,各有各的职责,但他们并不直接处理用户的认 证,也不直接处理用户的授权,而是把它们交给了认证管理器(AuthenticationManager)和决策管理器 (AccessDecisionManager)进行处理

spring Security功能的实现主要是由一系列过滤器链相互配合完成。
在这里插入图片描述

  • SecurityContextPersistenceFilter 这个Filter是整个拦截过程的入口和出口(也就是第一个和最后一个拦截 器),会在请求开始时从配置好的 SecurityContextRepository 中获取 SecurityContext,然后把它设置给 SecurityContextHolder。在请求完成后将 SecurityContextHolder 持有的 SecurityContext 再保存到配置好 的 SecurityContextRepository,同时清除 securityContextHolder 所持有的 SecurityContext;
  • UsernamePasswordAuthenticationFilter 用于处理来自表单提交的认证。该表单必须提供对应的用户名和密 码,其内部还有登录成功或失败后进行处理的 AuthenticationSuccessHandler 和 AuthenticationFailureHandler,这些都可以根据需求做相关改变;
  • FilterSecurityInterceptor 是用于保护web资源的,使用AccessDecisionManager对当前用户进行授权访问;
  • ExceptionTranslationFilter 能够捕获来自 FilterChain 所有的异常,并进行处理。但是它只会处理两类异常: AuthenticationException 和 AccessDeniedException,其它的异常它会继续抛出。

认证方式

在这里插入图片描述

内存用户信息认证

基于内存UserDetailsService,不使用密码编码器,使用字符串进行比较

 @Bean
    public UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager detailsManager = new InMemoryUserDetailsManager();
        detailsManager.createUser(User.withUsername("zhangsan").password("123").authorities("save","update").build());
        detailsManager.createUser(User.withUsername("lisi").password("456").authorities("save").build());

        return detailsManager;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }

PasswordEncoder

DaoAuthenticationProvider认证处理器通过UserDetailsService获取到UserDetails后,它是如何与请求 Authentication中的密码做对比呢?

在这里Spring Security为了适应多种多样的加密类型,又做了抽象,DaoAuthenticationProvider通过 PasswordEncoder接口的matches方法进行密码的对比,而具体的密码对比细节取决于实现:


public interface PasswordEncoder {
	// 加密方法
    String encode(CharSequence var1);

    boolean matches(CharSequence var1, String var2);

    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}

而Spring Security提供很多内置的PasswordEncoder,能够开箱即用,使用某种PasswordEncoder只需要进行如 下声明即可,如下:

@Bean
public PasswordEncoder passwordEncoder() {
    return NoOpPasswordEncoder.getInstance();
}

NoOpPasswordEncoder采用字符串匹配方法,不对密码进行加密比较处理,密码比较流程如下

  1. 用户输入密码(明文 )
  2. DaoAuthenticationProvider获取UserDetails(其中存储了用户的正确密码)
  3. DaoAuthenticationProvider使用PasswordEncoder对输入的密码和正确的密码进行校验,密码一致则校验通 过,否则校验失败。

NoOpPasswordEncoder的校验规则拿 输入的密码和UserDetails中的正确密码进行字符串比较,字符串内容一致 则校验通过,否则 校验失败

实际项目中推荐使用BCryptPasswordEncoder, Pbkdf2PasswordEncoder, SCryptPasswordEncoder等。

连接数据库用户信息认证

Spring Boot整合SpringSecurity(二)的基础上进行的操作

创建数据库

创建user_db数据库

CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';

创建t_user表

CREATE TABLE `t_user` (
  `id` bigint NOT NULL COMMENT '用户id',
  `username` varchar(64) NOT NULL,
  `password` varchar(64) NOT NULL,
  `fullname` varchar(255) NOT NULL COMMENT '用户姓名',
  `mobile` varchar(11) DEFAULT NULL COMMENT '手机号',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC

pom

添加依赖

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

<dependency>
    <groupId>com.baomidou</groupId>
    <artifactId>mybatis-plus-boot-starter</artifactId>
    <version>3.4.2</version>
</dependency>

<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-test</artifactId>
</dependency>

application.yml

application.yml配置数据源

spring:
  application:
    name: security-springboot
  mvc:
    view:
      prefix: /WEB-INF/views/
      suffix: .jsp
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/user_db?serverTimezone=UTC
    username: root
    password: root

entity

在entity包下定义UserDto实体类

@Data
@TableName("t_user")
public class UserDto {
    @TableId(type = IdType.AUTO)
    private Long id;
    private String username;
    private String password;
    private String fullname;
    private String mobile;
}

mapper

在mapper包下定义UserMapper接口

public interface UserMapper extends BaseMapper<UserDto> {
}

service

在service包下定义UserService接口

public interface UserService extends IService<UserDto> {
}

在service/impl包下定义UserServiceImpl接口

实现UserDetailsService类,重写loadUserByUsername方法,更具username查询数据库,构建User用户信息认证,并返回

@Service
@Log4j2
public class UserServiceImpl extends ServiceImpl<UserMapper, UserDto> implements UserService, UserDetailsService {

    @Autowired(required = false)
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("登录的账号:{}",username);
        //根据账号去数据库查询
        QueryWrapper<UserDto> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username",username);
        UserDto userDto = userMapper.selectOne(queryWrapper);

        if (userDto == null){
            throw new UsernameNotFoundException("用户名或密码不存在");
        }

        //权限使用静态数据,后面去查数据库
        UserDetails userDetails = User.withUsername(userDto.getFullname())
                .password(userDto.getPassword())
                .authorities("save","update")
                .build();

        return userDetails;
    }
}

使用BCryptPasswordEncoder

1.在安全配置类中定义BCryptPasswordEncoder

@Bean
  public PasswordEncoder passwordEncoder() {
      return new BCryptPasswordEncoder();
 }

2.UserDetails中的密码存储BCrypt格式
在这里插入图片描述

3.数据库中的密码应该存储BCrypt格式
在这里插入图片描述
测试数据

@SpringBootTest
class WebSecurityConfigTest {
    @Autowired
    private UserMapper userMapper;
    @Test
    public void testBCryptPasswordEncoder() {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();

        UserDto userDto = new UserDto();

       //userDto.setUsername("张三");
        userDto.setUsername("lisi");
        // 使用BCryptPasswordEncoder对密码进行加密存储到数据库
        //userDto.setPassword(passwordEncoder.encode("123"));
        userDto.setPassword(passwordEncoder.encode("456"));
        //userDto.setFullname("张三");
        userDto.setFullname("李四");
        userDto.setMobile("15096000000");
        userMapper.insert(userDto);
    }
}

测试

启动测试,当输入用户名会去数据库中读取,不存在抛出异常,其他测试正常
在这里插入图片描述

李熠漾
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-security-digest:spring-security 与摘要认证示例
06-21
spring-security-digest 示例 该项目演示了使用 RESTful 服务中的 Java 配置使用 Spring-Security 进行摘要式身份验证的用法 请阅读我在帖子
128元尚硅谷Java视频教程_Spring Boot视频教程(下)整合
05-27
本视频《SpringBoot高级》属于下部,着重介绍SpringBoot的与各大场景的整合使用,内容包括:缓存(整合Redis),消息中间件(整合RabbitMQ),检索(整合ElasticSearch),任务(异步任务,定时任务,邮件任务),...
spring security 基于数据库认证
一个还在上学的程序缘
11-27 303
学习本文章之前一定 要具备spring security的基础,可以参考:security基础学习 上文章我们spring security登录的用户与密码是手动进行设置的,有两种方式:一种是application.properies文件中设置,还有一种是java配置类里进行设置。但是我们在实际的项目开发里一般都会利用数据库进行权限认证,这样也有利于用户权限的动态更改。 实战 (1)创建web项目,引入security、web 、mysql、mybatis与druid依赖即可(druid手动进行配置)
五、Spring Security使用数据库数据完成认证
付之一笑的专栏
08-25 666
一、认证流程分析 1.1、UsernamePasswordAuthenticationFilter // // Source code recreated from a .class file by IntelliJ IDEA // (powered by FernFlower decompiler) // package org.springframework.security.web.authentication; import javax.servlet.http.HttpServletReque
SpringSecurity认证详解,保姆级教学_springsecurity认证流程
最新发布
2401_84103386的博客
04-04 1028
目的:默认的UserDetails里面只有用户的用户名, 没有其它的信息如果需要用到类似id和nickname等信息的话需要自定义UserDetails@[email protected]=id;SpringSecurity框架默认开启了跨域攻击的防护,通过携带CSRF token对请求进行判断.因为现在都是前后端分离架构,客户端发出的请求都是异步请求,不存在form表单,所以不存在跨域攻击的问题,通过以下代码关闭跨域攻击,否则请求受限。
Spring Security使用数据库登录认证授权
Charge8的博客
01-03 4499
Spring Security使用数据库登录认证授权
SpringSecurity连接数据库实现登录认证
Thinking_Liang的博客
03-22 1400
SpringSecurity连接数据库实现登录认证 首先,使用SpringSecurity前需要知道的一点是:要想使用SpringSecurity必须继承WebSecurityConfigurerAdapter父类(重写两个configure方法),SpringSecurity中进行认证需要实现UserdetailService接口,把用户名和密码写死的内存中认证为以下写法: @EnableWebSecurity public class SecurityConfig extends WebSecurity
spring-security基础】基于数据库认证方式
東₂₀₂₃²⁰²³
01-26 2985
spring-security 通过查询数据库方式完成认证
SpringBoot Security使用
qq_31665193的博客
04-11 1243
文章目录Spring Boot Security 介绍一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 Spring Boot Security 介绍 Spring Security 是通过一层层 Filter 来处理 web 请求的 在 Filter 组成的链条中,逐步完成认证和授权,发现异常则抛给异常处理器处理 过滤器链中的核心概念 springSecurityFilterChain Spring Security 的核心过滤器叫 springSecurityFilterCha
Java --- springboot3整合springSecurity
qq_46093575的博客
06-21 1689
通过springboot配置文件配置。controller层。
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
热门推荐
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
springBoot整合springSecurity(认证)
qingqingyyds的博客
10-14 2059
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。
java spring实现仿牛客网讨论社区项目
02-29
使用Spring Security 做权限控制,替代拦截器的拦截控制,并使用自己的认证方案替代Security 认证流程,使权限认证和控制更加方便灵活。 使用Redis的set实现点赞,zset实现关注,并使用Redis存储登录ticket和验证码...
基于springboot+sureness的面向REST API资源无状态认证权限管理系统.zip
12-26
安全性:内置的安全特性,如OAuth2和Spring Security,确保您的应用程序安全无虞。 微服务支持:SpringBoot是微服务架构的理想选择,可以帮助您构建模块化、可扩展的应用程序。 社区支持:全球的开发者社区意味着您...
基于Spring-Boot+Spring Cloud+layui开发的前后端分离的企业级微服务框架,包含权限管理,配置中心
01-04
优化Spring Security内部实现,实现API调用的统一出口和权限认证授权中心 完善Spring安全扩展,解决OWASP高级安全弱点 提供完善的企业微服务流量监控,日志监控能力 通用的微服务架构应用非功能性(NFR)需求,更容易地...
spring boot集成demo大全.zip
10-11
job(`分布式定时任务`)、swagger(`API接口管理测试`)、security(`基于RBAC的动态权限认证`)、SpringSession(`Session共享`)、Zookeeper(`结合AOP实现分布式锁`)、RabbitMQ(`消息队列`)、Kafka(`消息队列`)、...
Spring BootSpring Security基于数据库认证
探索er的博客
05-08 1521
Spring Security基于数据库认证
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9644
springboot整合springsecurity实现用户登录认证和鉴权
新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法
杨若瑜的技术博客
12-11 1万+
本文讲述Spring Boot 3 快速集成Spring Security 6的方法,以往的旧文章大多无法无错完成集成,所以笔者经过研究,在这里发布快速集成方法,避免读者重蹈覆辙掉入各种坑里。
springboot+springsecurity完成认证授权
09-27
SpringBootSpringSecurity可以一起使用来完成认证和授权。在一个基于SpringBoot的项目中,可以通过引入SpringSecurity依赖来实现安全性的管理。SpringSecurity提供了一套完整的身份验证和授权解决方案,可以方便地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李熠漾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值