Spring Security 实现自定义登录和认证(1):使用自定义的用户进行认证

已于 2023-03-05 19:39:26 修改
阅读量2.4k 收藏 8
点赞数 1
分类专栏: spring 文章标签: spring java spring boot
于 2023-03-04 18:24:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691577/article/details/129311537
版权

1 SpringSecurity

1.1 导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

1.2 编写配置类

在spring最新版中禁用了WebSecurityConfigurerAdapter类,官方推荐采用配置类的方法进行配置。

  • 新建一个配置类,注意添加注释@EnableWebSecurity
    在这里插入图片描述

1.3 示例

  • 在类中添加一个Bean,生成过滤方法

      @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception{
      http
              .authorizeHttpRequests((authz) -> authz
                      .anyRequest().authenticated()
              )
              .httpBasic(withDefaults());
      return http.build();
  }

    在这里插入图片描述

  • 忽略某个路径下的请求

      @Bean
  public WebSecurityCustomizer webSecurityCustomizer() {
      return (web) -> web.ignoring().requestMatchers("/level2", "/level3");
  }

    效果就是当我请求http://localhost:8080/level2的时候,就会重复跳出登录页面

1.4 自定义User实现登录

1.4.1 编写User类

在这里插入图片描述

1.4.2 定义UserRepository接口,用来实现从数据库或其它地方查询User

在这里插入图片描述

1.4.3 自定义一个类实现UserDetails接口

该类实现了UserDetails接口,这个UserDetails接口就是来查找用户名什么的。下面创建一个类,它继承了自定义的MyUser类且实现了UserDetails接口。(为什么要继承MyUser类?因为官方示例这么做的。。。)

在这里插入图片描述

package com.wjj.security.domain;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.Collections;
import java.util.List;

public class MyUserDetails extends MyUser implements UserDetails {
    
    //定义构造函数
    public MyUserDetails(MyUser myUser){
        super(myUser.getId(), myUser.getUsername(), myUser.getPassword());
    }


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getUsername() {
        return super.getUsername();//把这里改成父类返回的username
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;//改成true
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
1.4.4 定义一个类实现UserDetailsService接口

这个类是用来检索用户名和密码的,该类被DaoAuthenticationProvider调用,至于DaoAuthenticationProvider是什么可以查看官方文档。

在这里插入图片描述

package com.wjj.security.service;

import com.wjj.security.domain.MyUser;
import com.wjj.security.domain.UserRepository;
import jakarta.annotation.Resource;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailService implements UserDetailsService {

    //注入编写的UserRepository
    @Resource
    private UserRepository userRepository;


    //根据username查询user
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        MyUser user = userRepository.findUserByUsername(username);
        if(user == null){
            throw  new UsernameNotFoundException(username + " Not found");
        }
        //要返回一个UserDetails
        //这个东西就是前面实现的那个类
        //用来验证该user是否有效
        return new MyUserDetails(user);
    }
}

可以看到本节的功能就是根据username寻找User,然后返回一个UserDetails。我甚至可以在上面的函数中直接从数据库或内存中查询User,而这行代码的功能正是如此:

在这里插入图片描述



1.4.5 实现UserRepository接口进行查找用户

在前面的代码中,loadUserByUsername 中的这行代码还没有实现其中的查询逻辑,接下来进行实现。

在这里插入图片描述
编写一个类实现findUserByUsername接口

在这里插入图片描述

在数据库进行User的查找就可以在这一步中实现了

package com.wjj.security.domain;

import java.util.Map;

public class MyUserRepository implements UserRepository{
    private Map<String, MyUser> usernameToUser;

    public MyUserRepository(Map<String, MyUser> usernameToUser){
        this.usernameToUser = usernameToUser;
    }

    
    @Override
    public MyUser findUserByUsername(String username) {
        return usernameToUser.get(username);
    }
}

然后将这个MyUser变成Spring的一个Resource,因为我们前面在CustomUserDetailService中引用UserRepository时用到了@Resource注释:

在这里插入图片描述

1.4.6 创建内存用户

在Application中new一个MyUserRepository实例,作为一个内存中存在的用户,并把它交给Spring托管:

package com.wjj.security;

import com.wjj.security.domain.MyUser;
import com.wjj.security.domain.MyUserRepository;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.Bean;

import java.util.HashMap;
import java.util.Map;

@SpringBootApplication
public class SecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class, args);
    }

    @Bean
    MyUserRepository myUserRepository(){
        MyUser user = new MyUser(1L, "username", "{bcrypt}$2a$10$h/AJueu7Xt9yh3qYuAXtk.WZJ544Uc2kdOKlHu2qQzCh/A3rq46qm");
        Map<String, MyUser> myUserMap = new HashMap<>();
        myUserMap.put("username", user);
        return new MyUserRepository(myUserMap);
    }

}

代码中的那堆字母时经过加密的密码,在前端用户输入密码之后传到后端时进行了加密。


1.4.7 启动项目进行登录

在这里插入图片描述
登陆成功:

在这里插入图片描述

qq_45691577
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SecuritySpring Boot配置自定义登录接口
qq_43887341的博客
06-21 1166
SecuritySpring Boot配置自定义登录接口
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
Spring Security自定义用户认证
艾华生的博客
08-19 4103
Spring Security自定义用户认证Spring Boot中开启Spring Security一节中我们简单地搭建了一个Spring Boot + Spring Security的项目,其中登录页、用户名和密码都是由Spring Security自动生成的。Spring Security支持我们自定义认证的过程,如使用自定义登录页替换默认的登录页,用户信息的获取逻辑、登录成功或失败后的处理逻辑等。这里将在上一节的源码基础上进行改造。 配置自定义登录页 为了方便起见,我们直接在src/main/
Spring-Security实现登录接口
niulinbiao的博客
02-04 9053
SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。具体介绍和入门看springSecurity入门。
Spring Boot | Spring Security ( SpringBoot安全管理 )、Spring Security中 的 “自定义用户认证
最新发布
m0_70720417的博客
04-29 1259
目录 : Spring Boot 安全管理 : 一、Spring Security 介绍 二、Spring Security 快速入门 2.1 基础环境搭建 : ① 创建Spring Boot 项目 ② 创建 html资源文件 ③ 编写Web控制层 2.2 开启安全管理效果测试 : ④ 添加 spring-boot-starter-security 启动器 ⑤ 项目启动测试 三、"MVC Security" 安全配置介绍 四、自定义 "用户认证" ......
SpringSecurity详解,实现自定义登录接口
朱大虾
10-28 3605
目前市面上比较流行的权限框架主要实Shiro和,这两个框架各自侧重点不同,各有各的优劣。要在自己写的页面手动调用登录接口同时还要进行附加操作。层不可能从内存中查询用户,需要跟实际的权限数据库关联。编写登录接口,在其中调用方法。该接口需要再未登录的情况下可调用,所以要放开权限。编写个的实现类,重写方法,在改方法中根据传来的用户名去自己的权限数据库查询用户信息。封装到用户实体类中。
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2516
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
自定义SpringSecurity的登陆接口
weixin_35749440的博客
01-06 764
Spring Security 中,可以使用自定义登录接口来实现自定义登录逻辑。 首先,你需要继承 UsernamePasswordAuthenticationFilter 类并重写 attemptAuthentication 方法,在这个方法中编写你的登录逻辑。然后,使用 AuthenticationManager 去验证用户名和密码。 接下来,你需要在你的 Spring Secur...
spring security自定义认证登录的全过程记录
08-28
以手机号短信登录为例,介绍如何使用 Spring Security 实现手机号短信登录。 3.1 开发环境 开发环境包括 SpringBootSpring Security、Redis 等。 3.2 核心代码分析 核心代码分析包括自定义登录认证流程、核心...
Spring security自定义用户认证流程详解
08-24
在本文中,我们将详细介绍 Spring Security 自定义用户认证流程,并提供了一个完整的示例代码,帮助读者更好地理解和掌握 Spring Security使用自定义登录页面 在 Spring Security 中,默认的登录页面可以...
spring Security自定义用户认证过程详解
08-25
主要介绍了spring Security自定义用户认证过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
Spring Security6.x的登录验证
xiamua_123的博客
09-01 476
版本为:SpringBoot3.1.2, Spring Security 6.1.2。
SpringSecurity实现登录自定义权限认证
qq_49721447的博客
12-07 3972
springboot整合SpringSecurity实现登录自定义权限认证
SpringSecurity(六)【自定义认证案例】
Vinjcent
11-02 1026
创建一个spring-security-03模块导入依赖 配置文件 编写实体类User、Role User Role 编写mapper、service、xml文件(这里只写接口,看接口实现方法) UserMapper RoleMapper 自定义 UserDetailsService 实现 UserDetailsService,作为数据源进行身份认证 UserDetailsService 配置类 WebMvcConfigurer、WebSecurityCon
SpringSecurity自定义登录认证
不见长安见晨雾
02-19 3937
需求 Spring Security默认的登录表单只有username和password,但实际业务中我们可能需要使用其他的字段校验,因此需要重写认证部分。 web.xml &amp;amp;lt;!-- 配置SpringSecurity过滤器 --&amp;amp;gt; &amp;amp;lt;filter&amp;amp;gt; &amp;amp;lt;filter-name&amp;amp;gt;springSecurityFi
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2206
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
springBoot使用springSecurity入门详细配置,自定义登录,RBAC权限模型,数据库(Jpa+mysql)验证登录验证码,json格式交互等(上篇)
to_study的博客
12-17 3811
只写如何应用,并不深入流程原理,如果想深入学习原理机制的只能失望了; springSecurity5.0开始默认必须对密码加密,之前的是可选; 0.准备工作,创建初始化的springBoot项目,版本是2.2.1 IDEA创建springBoot项目,勾选web,以来如下 <dependency> <groupId>org.springf...
SpringSecurity-用户认证-自定义登录界面
qq_43297569的博客
03-07 169
SpringSecurity用户认证自定义登录界面
使用spring security实现自定义接口认证
05-25
使用 Spring Security 实现自定义接口认证一般需要以下步骤: 1. 创建一个实现了 `UserDetailsService` 接口的类,用于从数据库中获取用户信息。 2. 实现一个 `PasswordEncoder` 接口的类,用于对用户密码进行加密和解密。 3. 配置 `WebSecurityConfigurerAdapter` 类,用于配置 Spring Security 的相关设置,如登录页面、登录成功后的跳转页面等。 4. 在 `WebSecurityConfigurerAdapter` 中使用 `AuthenticationManagerBuilder` 配置认证管理器,将自定义的 `UserDetailsService` 和 `PasswordEncoder` 注入其中,以实现用户信息的认证和密码加密解密。 5. 在控制器中使用 `@PreAuthorize` 注解对需要认证的接口进行权限控制。 下面是一个简单的示例代码: ```java @Service public class UserService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found"); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), AuthorityUtils.createAuthorityList(user.getRoles())); } } @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Autowired private PasswordEncoder passwordEncoder; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/api/**").authenticated().and().formLogin(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService).passwordEncoder(passwordEncoder); } } @RestController @RequestMapping("/api") public class ApiController { @GetMapping("/hello") @PreAuthorize("hasRole('USER')") public String hello() { return "Hello, world!"; } } ``` 在上面的示例代码中,`UserService` 实现了 `UserDetailsService` 接口,并通过注入 `UserRepository` 实现了从数据库中获取用户信息的功能。`WebSecurityConfig` 继承了 `WebSecurityConfigurerAdapter`,并使用 `AuthenticationManagerBuilder` 配置了认证管理器,将自定义的 `UserDetailsService` 和 `PasswordEncoder` 注入其中。 在 `ApiController` 中,使用了 `@PreAuthorize` 注解对需要认证的 `/api/hello` 接口进行了权限控制,只有拥有 `USER` 角色的用户才能访问该接口。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值