05-SpringSecurity中多种认证方式的实现

已于 2024-03-21 11:04:54 修改
阅读量519 收藏 10
点赞数 11
文章标签: Spring Security 认证方式 密码认证 微信认证
于 2023-12-29 17:33:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57005976/article/details/135295787
版权

认证方式多样化

统一认证

目前各大网站支持账号密码认证、手机验证码认证、扫码登录认证等多种认证方式,Spring Security框架也支持多样化的认证方案

  • 账号和密码认证: 采用OAuth2协议的密码模式即可实现
  • 手机号加验证码认证: 用户认证提交的是手机号和验证码并不是账号和密码
  • 微信扫码认证: 基于OAuth2协议,目标网站会向微信服务器申请一个令牌,然后携带令牌去微信服务端查询用户信息,查询成功则用户在目标网站认证通过

第一步: 由于不同的认证提交方式的数据不一样如手机加验证码方式和账号加密码加验证码方式,所以我们需要在auth工程下创建一个DTO类用于接收各种认证参数

@Data
public class AuthParamsDto {
    // 用户名
    private String username; 
	// 域,用于扩展	
    private String password; 
	// 手机号
    private String cellphone;
	// 验证码
    private String checkcode;
	// 验证码对应的存储在Redis中的key
    private String checkcodekey;
	// 认证的类型,如password表示用户名密码模式类型,sms表示短信模式类型
    private String authType; 
	// 附加数据,不同认证类型可拥有不同的附加数据,如认证类型为短信时包含smsKey,另外所有认证都会包含clientId
    private Map<String, Object> payload = new HashMap<>();
}

第二步: 修改loadUserByUsername()方法,将用户提交的请求参数username的值改为JSON字符串,用来包含不同的认证方式所提交的各种参数

  • DaoAuthenticationProvider调用我们自定义的UserDetailsService接口实现类UserDetailsImplloadUserByUsername()方法获取UserDetails用户信息
@Service
public class UserDetailsImpl implements UserDetailsService {
    @Autowired
    XcUserMapper xcUserMapper;
    /**
     * @param s AuthParamsDto类型的json数据
     * @return UserDetails
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
   		// 将包含认证参数的Json格式字符串如`username={"username":"yunqing","authType":"password","password":"111111"}`转换为AuthParamsDto对象
        AuthParamsDto authParamsDto = null;
        try {
            authParamsDto = JSON.parseObject(s, AuthParamsDto.class);
        } catch (Exception e) {
            log.error("认证请求数据格式不对:{}", s);
            throw new RuntimeException("认证请求数据格式不对");
        }
        // 根据username去XcUser表中查询对应的用户信息
        String name = authParamsDto.getUsername();
        XcUser user = xcUserMapper.selectOne(new LambdaQueryWrapper<XcUser>().eq(XcUser::getUsername, name));
        // 返回空表示用户不存在,SpringSecurity会帮我们处理
        if (user == null) {
            return null;
        }
        // 如果存在取出数据库中存储的密码
        String password = user.getPassword();
        user.setPassword(null);
        String userString = JSON.toJSONString(user);
        // 创建UserDetails对象并返回,注意这里的authorities必须指定
        return User.withUsername(userString).password(password).authorities("test").build();
    }
}

屏蔽密码校验

DaoAuthenticationProvider获取到UserDetails用户信息后会调用自身的additionalAuthenticationChecks()方法进行密码校验

  • DaoAuthenticationProviderCustom类实现了DaoAuthenticationProvider接口并实现了additionalAuthenticationChecks()方法
protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
    if (authentication.getCredentials() == null) {
        this.logger.debug("Authentication failed: no credentials provided");
        throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
    } else {
        String presentedPassword = authentication.getCredentials().toString();
        if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
            this.logger.debug("Authentication failed: password does not match stored value");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        }
    }
}

第一步: 因为不是所有的校验方式都需要密码,所以我们要自定义密码的校验逻辑

  • 自定义DaoAuthenticationProviderCustom类继承DaoAuthenticationProvider类然后重写additionalAuthenticationChecks方法
@Component
public class DaoAuthenticationProviderCustom extends DaoAuthenticationProvider {
    // 由于DaoAuthenticationProvider调用UserDetailsService,所以这里需要注入一个UserDetailsService接口的实现类
    @Autowired
    public void setUserDetailsService(UserDetailsService userDetailsService){
        super.setUserDetailsService(userDetailsService);
    }
    
    // 屏蔽密码对比,因为不是所有的认证方式都需要校验密码
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        // 里面啥也不写就不会校验密码了
    }
}

第二步: 修改认证服务工程下的config/WebSecurityConfig类,使用我们自定义的DaoAuthenticationProviderCustom

package com.xuecheng.auth.config;
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    DaoAuthenticationProviderCustom daoAuthenticationProviderCustom;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(daoAuthenticationProviderCustom);
    }
}

第三步: 重启认证服务并访问申请令牌接口,将请求参数username的值改为包含各种认证参数的JSON格式字符串

#### 密码模式
POST localhost:63070/auth/oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username={"username":"yunqing","authType":"password","password":"123456"}

自定义认证方式

有了认证参数对象AuthParamsDto,我们可以定义一个Service接口去进行各种方式的认证,通过Service接口的各种实现类来实现各种方式的认证

在这里插入图片描述

第一步: 定义用户信息,因为XcUser类对应的是数据库中的表后期不便修改,所以为了可扩展性定义一个XcUserExt类让其继承XcUser

@Data
public class XcUserExt extends XcUser {

}

第二步: 定义认证的AuthService接口

/**
 * 认证Service
 */
public interface AuthService {
    /**
     * 认证方法
     * @param authParamsDto 认证参数
     * @return  用户信息
     */
    XcUserExt execute(AuthParamsDto authParamsDto);
}

第三步: 定义AuthService接口的实现类PasswordAuthServiceImpl(实现密码认证)WxAuthServiceImpl(扫码认证),依靠beanName区分不同的认证方式

@Service("password_authservice")
public class PasswordAuthServiceImpl implements AuthService {
    @Override
    public XcUserExt execute(AuthParamsDto authParamsDto) {
        return null;
    }
}
@Service("wx_authservice")// 微信扫码方式
public class WxAuthServiceImpl implements AuthService {

    @Override
    public XcUserExt execute(AuthParamsDto authParamsDto) {
        return null;
    }
}

第四步: 修改loadUserByUsername()方法,增加判断认证类型的逻辑,默认是先返回UserDetails对象后进行密码校验

  • 虽然不同的认证方式的认证逻辑不同,但最后都是调用AuthService接口实现类的execute方法,查询数据库中的用户信息并返回扩展的对象XcUserExt
  • 由于所有的认证方式都会将查询得到的XcUserExt对象的信息封装到UserDetails对象username属性中,所以我们可以将这一步抽取成一个方法
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    // 将包含认证参数的Json格式的字符串如`username={"username":"yunqing","authType":"password","password":"111111"}`转换为AuthParamsDto对象
    AuthParamsDto authParamsDto = null;
    try {
        authParamsDto = JSON.parseObject(s, AuthParamsDto.class);
    } catch (Exception e) {
        log.error("认证请求数据格式不对:{}", s);
        throw new RuntimeException("认证请求数据格式不对");
    }
    // 获取认证类型,beanName由认证类型和后缀组成,如password_authservice
    String authType = authParamsDto.getAuthType();
    // 根据认证类型从Spring容器中取出对应的bean
    AuthService authService = applicationContext.getBean(authType + "_authservice", AuthService.class);
    // 不同认证方式的认证逻辑不同,但最后都是调用统一的execute方法完成认证,查询数据库中的用户信息并返回扩展的对象XcUserExt
    XcUserExt user = authService.execute(authParamsDto);
    // 将查询到的用户信息xcUserExt封装到UserDetails的username属性中,框架会根据返回的UserDetails对象生成令牌
    return getUserPrincipal(user);
}

// 将用户信息封装到UserDetails对象中
public UserDetails getUserPrincipal(XcUserExt user) {
    // 设置权限
    String[] authorities = {"test"};
    // 用户存在取出数据库中保存的用户密码
    String password = user.getPassword();
    user.setPassword(null);
    String userJsonStr = JSON.toJSONString(user);
    // 创建UserDetails对象保存用户脱敏后的全部信息,注意这里的authorities必须指定,如果不加报`Cannot pass a null GrantedAuthority collection`错误
    UserDetails userDetails = User.withUsername(userJsonStr).password(password).authorities(authorities).build();
    // 返回UserDetails对象
    return userDetails;
}
echo 云清
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway集成Spring Security实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity-数据库认证-简单授权
最新发布
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题,我们将深入探讨如何结合SpringSecurity与数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
Spring Security认证和授权
zyzk666的博客
03-05 1076
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,用于保护基于Spring的应用程序。它提供了一套全面的安全性功能,包括用户认证、授权、会话管理、密码管理等,可以帮助开发人员轻松地集成安全性功能到他们的应用程序Spring Security通过过滤器链、安全上下文、认证提供者等核心概念来实现安全性功能。开发人员可以根据自己的需求来配置和定制Spring Security,以满足不同应用程序的安全性要求。
Spring Security多种认证方式如何实现
毛豆的博客
03-26 491
如果你有特定的需求,比如用户数据存储在非标准的数据源,你可以实现自己的来加载用户信息。@Service@Override// 在这里实现用户加载逻辑在配置使用自定义的@Autowired@Override。
Spring Security实现多种认证方式
hui_ss的博客
12-13 1801
首先针对每一种登录方式,我们可以定义其对应的认证器AuthenticationProvider,以及对应的认证信息Authentication实际场景这两个一般是配套使用。认证器AuthenticationProvider有一个认证方法authenticate(),我们需要实现认证方法,认证成功之后返回认证信息Authentication。
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
springsecurity_Spring Security
weixin_39639514的博客
11-26 257
Spring Security一、 Spring Security 简介 1 概括Spring Security 是一个高度自定义的安全框架。利用 Spring IoC/DI 和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范...
Spring Security 用户认证方式
qq_60458298的博客
03-22 1009
这里的角色只是一个字符串,可以自定义,可以根据自己的业务需要指定不同的角色。在configure(AuthenticationManagerBuilder auth)方法,我们使用ldapAuthentication()方法来启用基于LDAP的认证,并通过userDnPatterns()方法来指定用户DN的格式,groupSearchBase()方法和groupRoleAttribute()方法用于指定LDAP的组信息,contextSource()方法用于指定LDAP服务器的URL和管理员账号密码
Spring Security通过AuthenticationManager的逻辑实现多种认证方式.docx
07-04
总的来说,`AbstractAuthenticationProcessingFilter`结合`AuthenticationManager`提供了一种灵活的机制,可以实现多种认证方式。开发者可以通过自定义`AuthenticationProvider`和`AuthenticationManager`的实现,...
01-SpringSecurity-Demo.zip
09-18
SpringSecurity提供了多种认证方式,如基于表单的登录、HTTP基本认证、OAuth2等。 3. **Authorization**: 授权是决定某个用户是否允许访问特定资源的过程。SpringSecurity支持角色基础的访问控制(RBAC)、表达式...
SpringSecurity5.7.11实现用户认证和记住我功能
01-02
SpringSecurity提供了多种认证机制,包括基于表单的登录、HTTP基本认证、OAuth2等。在SpringSecurity,用户认证主要通过以下步骤: 1. **配置安全过滤器链**:首先,我们需要在`WebSecurityConfigurerAdapter`的`...
Spring Security】身份认证多种方式
qq_36525300的博客
09-02 791
配置文件 通过配置文件设置登录的用户名和密码 spring: security: user: name: mary password: 123 roles: admins 启动项目,控制台默认生成的密码消失,说明 Spring Security 账号密码已经由默认生成变化为读取配置文件 访问接口,进入认证页面,输入配置文件配置的账号密码,正常访问接口 配置类 通过配置类的方式,配置登录的账号密码,这里是采用基于内存的方式 @Configuration @E
Spring Security httpbasic的三种密码认证方式
jiangguochen2的博客
05-25 795
Spring Security ,可以通过多种方式指定密码
05SpringSecurity多种认证方式实现
欢迎阅读我的博客
03-20 595
05-SpringSecurity多种认证方式实现
SpringSecurity多源认证之全部交给spring容器
呆萌小新@渊洁的博客
06-07 1289
权这篇文章描述了基本security架构.如今这篇是全部交由spring security托管.但博主依然有一个问题不太清楚.放在文末.本篇文章基于认证/支付/优惠劵策略模式-security多源认证文章继续讲解。
SpringSecurity的Web认证的三种方式
大铁锤code
06-05 159
SpringSecurity的Web认证的三种方式 1.通过配置文件设置 spring: security: user: name: user password: 123456 2.通过配置类设置 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(Authenticati
Spring Security的登录认证方式spring boot篇)
m0_64783594的博客
10-07 259
springmvc版本的配置现在用得少了,可以私信,尽量帮助大家解决,也希望大家不吝赐教。第二步准备实体类(建议账号为username,密码为password):略。第三种:自定义编写实现类。第一种:通过配置文件。
spring boot项目整合spring security权限认证
weixin_49107940的博客
07-31 933
2、项目配置文件,连接数据库 3、一个简单接口 4、测试接口能跑 2、启动,再次访问需要登录 这里的admin无法登录 4、访问测试 只拦截/r/**路径下的请求,所以login-success没问题 访问/r/r1需要登录 输入配置文件设置的用户名密码登录 再次访问,不需要登录 5、测试退出 配置文件配置了退出的路径 用户认证通过去访问系统资源时spring security进行授权控制,判断用户是否有该资源的访问权限,如果有则继续访问,如果没有则拒绝访问。张三的权限是p1 李四的
解密Spring Security:多用户类型认证授权、刷新Token,助您构建安全完备的应用
资料免费分享,点击名片
10-31 473
1.2 复制org.springframework.security.authentication.dao.DaoAuthenticationProvider的代码,自定义 CustomAuthenticationProvider(注意写法,是实现AbstractUserDetailsAuthenticationProvider并将DaoAuthenticationProvider内容复制到此类里面),然后进行修改retrieveUser()方法,其他不需要动.= null &&!
SpringSecurity 配置多种认证
07-28
回答: 在Spring Security,可以通过多种方式进行认证配置。首先,可以创建一个配置类继承自WebSecurityConfigurerAdapter,并使用@EnableWebSecurity注解开启Web安全功能。\[1\]在这个配置类,可以重写configure(AuthenticationManagerBuilder auth)方法来配置认证用户信息,也可以重写configure(HttpSecurity http)方法来配置授权和认证相关的接口的信息。\[2\]此外,还可以通过重写configure(WebSecurity web)方法来配置不需要进行安全验证的路径。\[2\]如果需要自定义登录时的认证信息获取,可以在配置类添加相应的逻辑。\[2\]另外,还可以通过数据库用户密码完成认证,使用自定义登录页面实现记住我功能,增加验证码功能等。\[3\]通过添加不同的配置类,可以实现多种认证方式的配置。 #### 引用[.reference_title] - *1* *2* *3* [Spring Security(02)认证配置](https://blog.csdn.net/qq_34279995/article/details/123101139)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值