SpringSecurity认证

最新推荐文章于 2024-07-19 17:37:28 发布
最新推荐文章于 2024-07-19 17:37:28 发布
阅读量318 收藏 4
点赞数 4
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52954741/article/details/140411537
版权

SpringSecurity认证授权

1.1 认证

请求认证: 判断一个用户是否为合法用户的处理过程,最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确,如下图所示
在这里插入图片描述

1.2 认证

在这里插入图片描述

2.1 入门案例(springboot 整合)

(1)写一个hello的controller

@RestController
@RequestMapping
public class HelloController {
    @GetMapping("/hello")
    public String hello() {

        return "hello";
    }
}

(2)pom.xml 引入依赖

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

(3)启动项目,浏览器输入 http://localhost:8080/hello 这时会自动跳转到一个默认登陆页面
在这里插入图片描述

默认用户名是User,密码启动后,会输出到控制台
在这里插入图片描述

(4)以上便是一个简单demo

2.2 在此基础上,可以自定义登录的界面

1)将登录的页面放到resources下面的static中
在这里插入图片描述

2)创建配置类SecurityConfig,配置登录页

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http.formLogin()             //自定义自己编写的登陆页面
                .loginPage("/login.html")    //登录页面设置
                .loginProcessingUrl("/login") //登录访问路径
                .permitAll()//登录页和登录访问路径无需登录也可以访问
                .and()
                .authorizeRequests()
                .antMatchers("/css/**","/images/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .csrf().disable();    //关闭csrf防护
        return http.build();
    }

}

3)再次运行项目,我们会看到登录页面
在这里插入图片描述

2.3 如何自己设置用户名和密码呢

1)修改配置类 SecurityConfig,添加两个bean的配置

    @Bean
	public PasswordEncoder passwordEncoder() {
	     // 设置没有加密,因为现在密码是明文
        return NoOpPasswordEncoder.getInstance();
    }

    @Bean
    public UserDetailsService users() {
    	// 该处的 User 是 security 的 User 类,实现了 UserDetails 接口
        UserDetails user = User.builder()
                .username("user")
                .password("123456")
                .roles("USER")
                .build();
        UserDetails admin = User.builder()
                .username("admin")
                .password("112233")
                .roles("USER", "ADMIN")
                .build();
        return new InMemoryUserDetailsManager(user, admin);
    }

2)采用加密方式 BCrypt,修改配置类,将刚才的无加密方式修改

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

3) 修改配置类SecurityConfig 的users方法中的密码,为加密后的密码

@Bean
public UserDetailsService users() {
    UserDetails user = User.builder()
            .username("user")
            .password("$2a$10$2VCyByZ5oeiXCEN73wvBB.xpmJgPBbZVS/Aallmdyij2G7hmAKQTG")
            .roles("USER")
            .build();
    UserDetails admin = User.builder()
            .username("admin")
            .password("$2a$10$cRH8iMMh6XO0T.ssZ/8qVOo8ThWs/qfntIH3a7yfpbPd05h9ZGx8y")
            .roles("USER", "ADMIN")
            .build();
    return new InMemoryUserDetailsManager(user, admin);
}
  1. 这样就可以输入用户名user或admin,密码123456时,自动进行加密对比

2.4 整合JDBC 进行校验

1)当用户尝试进行身份验证时,UserDetailsService 会被调用,以获取与用户相关的详细信息,流程如下
在这里插入图片描述
2)新创建一个UserDetailsServiceImpl,让它实现UserDetailsService

@Component
public class UserDetailsServiceImpl implements UserDetailsService {


    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //查询用户
        User user = userMapper.findByUsername(username);
        if(user == null){
            throw new RuntimeException("用户不存在或已被禁用");
        }
        SimpleGrantedAuthority user_role = new SimpleGrantedAuthority("user");
        SimpleGrantedAuthority admin_role = new SimpleGrantedAuthority("admin");
        List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();

        list.add(user_role);
        list.add(admin_role);

        return new org.springframework.security.core.userdetails.User(user.getUsername()
                ,user.getPassword()
                , list);
    }
}

上述代码中,返回的UserDetails或者是User都是框架提供的类,我们在项目开发的过程中,很多需求都是我们自定义的属性,我们需要扩展该怎么办?

其实,我们可以自定义一个类,来实现UserDetails,在自己定义的类中,就可以扩展自己想要的内容

@Data
public class UserAuth implements UserDetails {

    private String username; //固定不可更改
    private String password;//固定不可更改
    private String nickName;  //扩展属性  昵称
    private List<String> roles; //角色列表


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(roles==null) return null;
        //把角色类型转换并放入对应的集合
        return roles.stream().map(role -> new SimpleGrantedAuthority("ROLE_"+role)).collect(Collectors.toList());
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

继续改造UserDetailsServiceImpl中检验用户的逻辑

@Component
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //查询用户
        User user = userMapper.findByUsername(username);
        if(user == null){
            throw new RuntimeException("用户不存在或已被禁用");
        }
        UserAuth userAuth = new UserAuth();
        userAuth.setUsername(user.getUsername());
        userAuth.setPassword(user.getPassword());
        userAuth.setNickName(user.getNickName());

        //添加角色
        List<String> roles=new ArrayList<>();
        if("user@qq.com".equals(username)){
            roles.add("USER");
            userAuth.setRoles(roles);
        }
        if("admin@qq.com".equals(username)){
            roles.add("USER");
            roles.add("ADMIN");
            userAuth.setRoles(roles);
        }
        return userAuth;
    }
}
半世鎏璃TeI�
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity 认证详解
流楚丶格念的博客
09-17 2741
当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的(如下图密码)。但是在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。}// 获取所有权限 Collection
spring security认证授权流程
weixin_47618391的博客
05-27 5351
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
spring security认证过程详解
CVPR收割机的博客
04-18 2409
在 Web 应用中这是通过 SecurityContextPersistentFilter 实现的,默认情况下其会在每次请求开始的时候从 session 中获取 SecurityContext,然后把它设置给 SecurityContextHolder,在请求结束后又会将 SecurityContextHolder 所持有的 SecurityContext 保存在 session 中,并且清除 SecurityContextHolder 所持有的 SecurityContext。
SpringSecurity认证流程
msq16021的博客
08-03 5706
SpringSecurity认证流程
SpringSecurity认证详解,保姆级教学
m0_72568513的博客
05-31 2556
Spring Security 是一个基于 Spring 框架的安全框架,用于实现身份验证、授权、攻击防护等功能。它提供了一套全面的安全解决方案,可以帮助开发者构建安全可靠的应用程序。 Spring Security 的主要特性包括: 认证(Authentication):Spring Security 提供了多种认证方式,如用户名密码认证、LDAP 认证、OAuth 认证等。它还支持自定义认证机制,可以根据具体需求进行扩展。 授权(Authorization):Spring Security 支持基
Spring Security 认证授权详解
共勉
05-03 4447
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在对与安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
大白话详解Spring Security认证流程
LoveSummer
11-04 2773
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
Spring Security 认证与授权
快乐的小三菊的博客
12-15 2062
springSecurity认证和授权
Spring Security认证授权流程
2303_78503642的博客
03-05 2592
在以上代码的for循环中,第一次拿到的 provider 是一个 Anonymous Authentication Provider。Spring Security会监听这个事件,接收到这个Authentication对象,进而调用 SecurityContextHolder.getContext().setAuthentication(...)方法,将 Authentication Manager返回的 Authentication对象,存储在当前的 Security Context 对象中。
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证和授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
spring security 认证授权实现
10-14
总的来说,这个项目提供了一个现成的Spring Security认证授权框架,结合了JWT、Redis集群和MyBatis-Plus技术,使得开发者能够快速构建安全的、有权限控制的Web应用,同时省去了复杂的配置和实现步骤。然而,对于...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程详解 SpringSecurity 认证流程是 SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 Spring...
详解Spring Security认证流程
08-25
详解Spring Security认证流程 Spring SecurityJava世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的...
spring security认证和授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
Java内存模型
最新发布
weixin_44267758的博客
07-19 326
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 628
JVM-垃圾回收与内存分配
day04:Redis和店铺营业状态设置
m0_69266818的博客
07-15 865
介绍了Redis命令和用java操作redis还有营业额状态接口的书写
Java算法】前缀和 下
2302_79806056的博客
07-18 913
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
spring security 认证
07-28
- *1* *2* *3* [spring security认证授权流程](https://blog.csdn.net/weixin_47618391/article/details/130898504)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值