存储用户信息的方式
获取用户信息的流程
用户提交账号和密码后,DaoAuthenticationProvider调用UserDetailsService接口实现类的loadUserByUsername()方法,该方法可以接收请求参数username的值,然后根据该值查询用户信息,最后将账号,密码,权限封装到UserDetails对象中并返回给Spring security框架
public interface UserDetailsService {
// 根据用户名获取用户信息的方法,不同的实现类对应不同的实现方式
UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}
// UserDetails是用户信息接口
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
基于内存的方式存储用户信息
InMemoryUserDetailsManager是UserDetailsService接口的实现类,可以将用户信息以硬编码的方式存储在内存中并封装到UserDetails对象中
package com.xuecheng.auth.config;
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public UserDetailsService userDetailsService() {
// 1. 配置用户信息服务
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
// 2. 使用Spring Security提供的工具类User创建用户并设置权限(后面需要从数据库中动态查询)
manager.createUser(User.withUsername("yunqing").password("123").authorities("p1").build());
return manager;
}
// 设置密码比对的规则
@Bean
public PasswordEncoder passwordEncoder() {
// 采用明文的方式直接比对
return NoOpPasswordEncoder.getInstance();
}
// 配置URL的访问权限
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/r/**")// 表示"/r/**"开头的请求需要认证
.authenticated()
.anyRequest().permitAll()
.and()
.formLogin()
.successForwardUrl("/login-success");
// 配置退出登录页面,认证成功后访问/logout可退出登录
http.logout().logoutUrl("/logout");
}
}
基于数据库存储用户信息并设置密码编码格式
实际开发中认证服务所需要的用户信息都是存储在数据库中,所以我们要从数据库中查询用户信息
第一步:屏蔽掉原先的InMemoryUserDetailsManager, 自定义一个UserDetailsService接口的实现类UserDetailsImpl并重写loadUserByUsername()方法,该方法可以接收URL中携带的请求参数username的值
- 我们重写方法的业务逻辑是根据用户的账号名从数据库中查询对应的用户信息,然后将
账号,密码,用户权限信息封装到UserDetails类型的对象中并返回给Spring Security框架,不设置权限会报Cannot pass a null GrantedAuthority collection
@Service
public class UserDetailsImpl implements UserDetailsService {
@Autowired
XcUserMapper xcUserMapper;
/**
* @param name 用户输入的登录账号
* @return UserDetails
* @throws UsernameNotFoundException
*/
@Override
public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
// 根据username去XcUser表中查询对应的用户信息
XcUser user = xcUserMapper.selectOne(new LambdaQueryWrapper<XcUser>().eq(XcUser::getUsername, name));
// 返回NULL表示用户不存在,SpringSecurity会帮我们处理即抛出异常表示用户不存在
if (user == null) {
return null;
}
// 设置用户权限
// String[] authorities= {"test"};
// 如果用户存在取出用户的密码
String password = user.getPassword();
// 将用户名和密码以及用户权限(权限必须要设置)封装成一个UserDetails对象,然后返回即可
return User.withUsername(user.getUsername()).password(password).authorities("test").build();
}
}
第二部:Spring Security框架将URL中的请求参数password的值即用户的登陆密码和UserDetails对象中从数据库中查询到的密码进行比对
-
spring Sercurity强制要使用密码加密,不管你是否加密都必须配置一个密码编码(加密)器
-
数据库中的密码是加密过的,但用户登陆时输入的密码是明文形式,所以我们要修改
WebSecurityConfig配置类中的密码格式器PasswordEncoder指定的密码校验方式
| 密码格式 | 描述 |
|---|---|
| NoOpPasswordEncoder | 表示通过明文的方式比较密码 |
| BCryptPasswordEncoder | 表示先将用户输入的密码编码为BCrypt格式后才与数据库中的密码进行比对 |
@Bean
public PasswordEncoder passwordEncoder() {
// return NoOpPasswordEncoder.getInstance();
return new BCryptPasswordEncoder();
}
BCryptPasswordEncoder原理: 虽然同样的原始密码调用encode方法加密后可以对应不同的Hash值(加了盐salt),但是比对密码时如果调用它提供的matches方法即使Hash值不同但校验是正确的
- 先将数据库表中用户密码的存储方式改为
BCrype格式, 申请令牌时输入的密码需要的还是明文形式
public static void main(String[] args) {
String password = "123456";
BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
for (int i = 0; i < 5; i++) {
// 每个计算出的Hash值都不一样
String encodePsw = encoder.encode(password);
// 虽然Hash值不一样,但是校验是可以通过的
System.out.println("转换后密码:" + encodePsw + "比对情况:" + encoder.matches(password, encodePsw));
}
}
// 转换后密码:$2a$10$6hbvtCtgcISvbBHJ.UnhPO1io7StF.ySPkmAvzO/efvNmHVVJZOeK比对情况:true
// 转换后密码:$2a$10$ufYW9qXSAk0N201B/wCR7uGrzygawnwXtyL2vKpDLAOCOkF33sGnK比对情况:true
// 转换后密码:$2a$10$DEaVxYHakIE/kDvAU4eC7OZ7c9kqKBJedClVxDPnYH.zwuZvCRnzm比对情况:true
// 转换后密码:$2a$10$s2qgaKGgULYQ7tce2u6TIeHopap4HqfyghJYu1vdDZ2WcNk70ykFe比对情况:true
// 转换后密码:$2a$10$XQaQJIfXyd/UvMHC..uBNuDXNVrZHnEGn.tW0oSB6WVjdsZLFpkGq比对情况:true
由于我们修改了框架密码的校验方式,所以还需要将认证服务批准接入的客户端的密钥也更改为BCrypt的编码格式
// 配置客户端的详情信息
@Override
public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
clients.inMemory()// 使用in-memory存储
.withClient("XcWebApp")// 客户端的Id
.secret(new BCryptPasswordEncoder().encode("XcWebApp"))//客户端密钥转为BCrypt格式
.resourceIds("xuecheng-plus")//资源列表
.authorizedGrantTypes("authorization_code", "password", "client_credentials", "implicit", "refresh_token")// 允许的授权类型
.scopes("all")// 允许的授权范围
.autoApprove(false)//false跳转到授权页面
.redirectUris("http://localhost/");//客户端接收授权码的重定向地址
}
第三步:重启认证服务使用HttpClient通过密码模式申请令牌,要保证登陆的明文密码在数据库中有对应的BCrypt格式的加密密码
###### 密码模式
POST localhost:53070/auth/oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username=yunqing&password=111111
第四步:查看服务端响应的结果
// 输入正确的账号密码即可成功申请令牌
{
"access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsieHVlY2hlbmctcGx1cyJdLCJ1c2VyX25hbWUiOiJLeWxlIiwic2NvcGUiOlsiYWxsIl0sImV4cCI6MTY3ODQ1MTUxNiwiYXV0aG9yaXRpZXMiOlsidGVzdCJdLCJqdGkiOiJkOWUwYjU0ZS03Zjg4LTQ2NjAtYjFlZS04ZWQzYjYzZmQwNjMiLCJjbGllbnRfaWQiOiJYY1dlYkFwcCJ9.NaS3hmpDtX3zkXvnZWoo9ROEWgYeA6GoxBzy_lOxzvA",
"token_type": "bearer",
"refresh_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOlsieHVlY2hlbmctcGx1cyJdLCJ1c2VyX25hbWUiOiJLeWxlIiwic2NvcGUiOlsiYWxsIl0sImF0aSI6ImQ5ZTBiNTRlLTdmODgtNDY2MC1iMWVlLThlZDNiNjNmZDA2MyIsImV4cCI6MTY3ODcwMzUxNiwiYXV0aG9yaXRpZXMiOlsidGVzdCJdLCJqdGkiOiI5YjE4OTUwOS1iYmEzLTRkMTctYTNkNC05OWQwZGI5NjU0MDAiLCJjbGllbnRfaWQiOiJYY1dlYkFwcCJ9.548w5CdQiIU5_k1qRBjzM-PMBqy-XX3zr17tQS6g6CM",
"expires_in": 7199,
"scope": "all",
"jti": "d9e0b54e-7f88-4660-b1ee-8ed3b63fd063"
}
// 输入错误的密码,申请令牌失败
{
"error": "invalid_grant",
"error_description": "用户名或密码错误"
}
3185
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
