spring security 密码校验失败,无论密码输入什么,都拿得到token

已于 2023-08-23 08:11:23 修改
阅读量249 收藏
点赞数
文章标签: spring java 数据库
于 2023-08-21 20:21:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52332492/article/details/132415211
版权 
这个是发送的请求:
### 密码模式
POST {{auth_host}}/auth/oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username=stu1&password=

可以看到password是空白没填写任何内容,但是结果依旧拿的到token

下面是UserDetailsaService的实现类:

@Component
public class UserDetailImpl implements UserDetailsService {

    @Resource
    private XcUserMapper xcUserMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        // 根据username查询数据库
        String username = s;
        LambdaQueryWrapper<XcUser> queryWrapper = new LambdaQueryWrapper<>();
        XcUser xcUser = xcUserMapper.selectOne(queryWrapper.eq(XcUser::getUsername, username));

        // 查询用户不存在,返回null,spring security抛出异常用户不存在
        if (xcUser == null) {
            return null;
        }
        // 如果用户拿到了正确的密码,最终封装成一个UserDetails对象给spring security框架返回,有框架进行密码比对
        String password = xcUser.getPassword();
        // 权限
        String[] authorities = {"test"};
        UserDetails userDetails = User.withUsername(username).password(password).authorities(authorities).build(); // 问题就在这里
        return userDetails;
    }
}

下面是WebSecurityConfig中代码

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
// 该类中还有其他代码没写。以下仅为导致错误的代码
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(daoAuthenticationProviderCustom);
    }
}

下面是DaoAuthenticationProviderCustom

@Component
public class DaoAuthenticationProviderCustom extends DaoAuthenticationProvider {

    @Resource
    public void setUserDetailsService(UserDetailsService userDetailsService) {
        super.setUserDetailsService(userDetailsService);
    }

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {

    }
}

我暂时还不需要重写校验密码的方法,直接把DaoAuthenticationProviderCustom删除即可,问题解决

流年丨灬丨似水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecurity用户密码验证过程
caijibaindashen的博客
04-27 5046
SpringSecurity过滤链当中的UsernamePasswordAuthenticationFilter负责登陆密码验证 AbstractAuthenticationProcessingFilter是UsernamePasswordAuthenticationFilter的父接口,接口当中就有一个this.getAuthenticationManager()方法,获取AuthenticationManager对象。 AuthenticationManager对象当中有一个方法:Authentica
Spring Boot + Security + JWT 实现接口统一 Token 校验
02-11
Spring Boot + Security + JWT 实现接口统一 Token 校验,详见:https://blog.csdn.net/z1353095373/article/details/122859572
Spring Security httpbasic的三种密码认证方式
jiangguochen2的博客
05-25 747
Spring Security 中,可以通过多种方式指定密码
SpringSecurity 用户名和密码校验过程及自定义密码验证
z69183787的专栏
02-06 1万+
1、源码执行过程 1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken) 2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken) 3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证 4.AuthenticationProvider认证提供
Spring Security——13,认证成功&&失败&&注销成功处理器
weixin_42858422的博客
04-08 744
测试一下:输入正确的账号密码,登录成功返回认证成功测试一下:输入错误的账号密码,登录失败返回认证失败测试一下:登录成功之后,访问注销的接口。
SpringSecurity认证失败ProviderNotFoundException:UsernamePasswordAuthenticationToken
iloli_kane的博客
06-09 1459
不要间接实现UserDetailsService,改为直接实现UserDetailsService
SpringSecurity
小白的博客
03-23 1527
一、导入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二、在yml中设置自定义密码spring: security: u
spring boot+vue+websocket带token身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
基于Spring Security + MQ + Redis +文心大模型的智能阅卷系统源代码+数据库
最新发布
05-31
本项目是基于 Spring Security + MQ + Redis 结合深度... 使用 JWT 技术签发用户登录的 token 令牌,基于 Redis 实现 token 的刷新和失效机制,并通过Spring Security 过滤链过滤非法请求,设计拦截器进行权限校验和异
JavaSpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了JavaSpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
springBoot+springSecurity验证密码MD5加密
热门推荐
哎幽的成长
02-08 3万+
本文目的:使用springBoot+springSecurity 用户授权验证权限功能,对用户的登录密码使用MD5 加密。本文基于我的博客:springboot+mybatis+SpringSecurity 实现用户角色数据库管理 进行修改。本文只讲述对密码加密部分。只需要修改securityConfig 文件,并添加md5 工具类即可。修改WebSecurityConfig.java对于WebS
Spring Security 6 密码验证流程
weixin_52019286的博客
01-25 601
数据库中保存的不是明文,而是加密编码之后的hash 值,用户输入密码,进行相同的处理,最终比较的是hash 值是否一致。
SpringSecurity登陆失败后错误信息回显
黑马程序员官方博客
11-22 1591
static {//查询到用户信息 TbUser tbUser = users . get(username);} else {//未查询到用户信息 //return null;对比上述代码,修改内容如下 throw new UsernameNotFoundException("用户名不存在");} } }通过上述方式即可将错误信息进行自定义展示,当前springsecurity默认的错误信息还有非常多,大家可以根据自己的需要将错误信息进行自定义展示。
SpringSecurity登录失败返回错误信息
qq_44993268的博客
05-20 4318
现在有这么一个需求,客户端登录验证失败之后显示两种错误信息--"用户名不存在"或者"账号密码错误",但是spring Security好像并没有返回错误信息的类,所以需要我们自己从request域中去获取错误信息,首先我们要设置验证失败后的返回地址。 http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设置 .loginProcessingUrl("/us..
springSecurity2的自定义账号密码认证流程+多个参数的自定义流程
m0_56356631的博客
04-24 3683
本文包含了,两个参数的登录校验+多个参数的登录校验
springsecurity密码验证原理概括
issac的博客
11-22 8178
密码验证过程 1.UsernamePasswordAuthenticationFilter 从UsernamePasswordAuthenticationFilter断点进入,此处的返回值是一个方法**getAuthenticationManager().authenticate(authRequest)**的返回值,而传入的参数正是在表单中输入的账户密码进行封装之后的结果,主要进入authentication(authRequest)中进行探索。 2.ProviderManager 进入getAuthe
Spring security登录 显示用户名不存在或者密码错误
sebeefe的博客
04-22 3177
本文章只是做简单记录下曾经踩到坑,如果有什么别的想法,也可以提点宝贵的意见 1、整合spring security,我就不过多的介绍; 2、区分这两个错误之前,需要判断为什么会用户名或者密码错误时都返回相同的异常。 原因: 解决思路:将此属性配置为false. 具体的操作: 1、在security配置类中编写DaoAuthenticationProvider,将hideUserNotFoundExceptions设置成false 2、在重写的configure方法中配置DaoAuthentication
Spring Security生成token取消密码校验
11-02
Spring Security生成token取消密码校验可以通过使用Remember Me功能实现。在Spring Security中,Remember Me是一种自动登录机制,它允许用户在关闭浏览器后再次访问应用程序时保持登录状态。当用户登录时,系统会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值