【SpringSecurity】SpringSecurity2.7.x 的使用(01)

已于 2022-11-01 12:37:48 修改
阅读量1k 收藏
点赞数 1
分类专栏: spring boot SpringSecurity 文章标签: java 服务器 数据库
于 2022-10-30 14:06:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60969145/article/details/127598312
版权

文章目录

一、SpringSecurity认证

1. 在配置文件中定义用户

在这里插入图片描述

如果自定义了账号和密码,则springsecurity就不在提高账号和密码了。

2. 自定义多个账号和密码

上面那种方式只能自定义一个账号和密码, 如何定义多个账号和密码呢。

指定的账号和密码必须指定密码加密器。如果不使用密码加密器可以:
在这里插入图片描述

我们在配置类中定义多个账号和密码后,配置文件中的账号和密码也会失效。

3. 密码加密器

常用的密码加密器为:BCryptPasswordEncoder ,官方也推荐这种密码加密器。

因为BCryptPasswordEncoder实现了PasswordEncoder接口,所以它有两个关键的方法:encode和matches

  1. encode 传入明文密码,返回加密后的密码
  2. matches 传入明文密码和加密后的密码,返回一个Boolean值,如果密码匹配成功返回true。
    public static void main(String[] args) {
       	// PasswordEncoder 里面提供了两个方法:
        //     1. String encode(CharSequence rawPassword);对你的原始密码进行加密
        //     2. boolean matches(CharSequence rawPassword, String encodedPassword); 输入的密码和加密后的密码进行匹配。
        BCryptPasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
        String encode = passwordEncoder.encode("123456");
        System.out.println(encode);

        String encode1 = passwordEncoder.encode("123456");
        System.out.println(encode1);

        String encode2 = passwordEncoder.encode("123456");
        System.out.println(encode2);

        /*
	        $2a$10$k8XcVVIyNaXOfYR/q5v1veda/koy21JJ6FfGYQeRcubjuv1qax/v6
	        $2a$10$bpRCTSDeethXZB54Bsx8IePYD3cFBUnIuKyBDmT8KrJBdHj0zPdsG
	        $2a$10$Xie5.5c74ULT3Bm.laYOfeMCpeUoKbxbOKD57cCFhaBnoxuZv/G5.
	        我们发现对同一个密码进行加密后得到的结果不一样。---为了安全。
         */

        boolean matches1 = passwordEncoder.matches("123456", "$2a$10$k8XcVVIyNaXOfYR/q5v1veda/koy21JJ6FfGYQeRcubjuv1qax/v6");
        boolean matches2 = passwordEncoder.matches("123456", "$2a$10$bpRCTSDeethXZB54Bsx8IePYD3cFBUnIuKyBDmT8KrJBdHj0zPdsG");
        boolean matches3 = passwordEncoder.matches("123456", "$2a$10$Xie5.5c74ULT3Bm.laYOfeMCpeUoKbxbOKD57cCFhaBnoxuZv/G5.");

        System.out.println(matches1);
        System.out.println(matches2);
        System.out.println(matches3);
        //不管密码加密后,结果为什么,但是只要使用的同一个密码加密器,他们在对象密码比对时,都会返回相同结果(true)
    }
使用密码加密器修改配置类

在配置文件中定义一下BCryptPasswordEncoder

    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

不要在一个类中定义bean并使用bean

package com.ykq.springsecurity03.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

/**
 * @program: springsecurity03
 * @description:
 * @author: 闫克起2
 * @create: 2022-10-29 15:28
 **/
//使用该注解表示该类为配置类
@Configuration
public class MySpringSecurityConfig {

    @Autowired
    private PasswordEncoder passwordEncoder;
    
    @Bean //返回的对象交于spring容器来管理该对象
    public UserDetailsService userDetailsService(){
        //我们先基于内存创建多个账号和密码----后期我们使用数据库中的账号和密码
        InMemoryUserDetailsManager inMemoryUserDetailsManager=new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(
                 //用户的账号
                 User.withUsername("admin")
                          //用户的密码
                         .password(passwordEncoder.encode("123456"))
                         //该用户具有的角色--必须分配
                         .roles("admin")
                         .build()
        );
        inMemoryUserDetailsManager.createUser(
                //用户的账号
                User.withUsername("user")
                        //用户的密码
                        .password(passwordEncoder.encode("123456"))
                        //该用户具有的角色
                        .roles("user")
                        .build()
        );

        return inMemoryUserDetailsManager;

    }
}

4. 自定义登录页面

认证过程现在是定义SecurityFilterChain 的Bean来完成认证过程,目前要是登录的话要先关闭csrf,才能登录

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        return http
                .formLogin()
                //默认登录页面
                .loginPage("/login.html")
                //登录的处理路径,无需自己创建该路径的业务处理功能。
                .loginProcessingUrl("/login")
                //通过这两个可以修改表单中name的值
                /*.usernameParameter("user")
                .passwordParameter("pwd")*/
               
                //放行
                .permitAll()
                //其他的请求都需要认证
                .and()
                .authorizeRequests().anyRequest().authenticated()

                //禁用跨域请求伪造 csrf
                .and()
                .csrf().disable()
                .build();
    }

<form action="/login" method="post">
    <!--用户名默认情况为username-->
    用户名:<input type="text" name="username"><br/>
    <!--密码默认为password-->
    密码:<input type="password" name="password"><br>
    <input type="submit" value="登录">
</form>

表单一定要设置post方式提交!action提交的地址要与loginProcessingUrl提供的地址一致,(两边可以都不写,有默认请求路径,默认好像是请求login,如果写了都要写)

打乒乓球只会抽
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security2.7+jwt
m0_52255127的博客
02-03 1458
Spring Security2.7+jwt
Spring Security --- 3.5.7版本升级
汤键的博客
04-10 713
Spring Security --- 3.5.7版本升级
SpringSecuritySpringSecurity2.7.x 的使用(03)
qq_60969145的博客
11-02 909
通过源码我们发现,InmermoryUserDetailManger中的loadUserByUsername方法最核心的。而且我们自定义的类也要交于容器来管理。使用springboot + thymeleaf+ mybatis+ druid+springsecurity模拟一下从数据库中查询用户,完成授权认证。为了和security自带的User区分,这里将我们自己的实体类名字叫Users。配置文件要配置密码加密器,否者程序不知道要用那种方式来匹配密码。注意要交给Spring管理。
SpringSecuritySpringSecurity2.7.x 的使用(04)
qq_60969145的博客
11-03 576
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
Spring Security 密码加密器 Pbkdf2PasswordEncoder 、 BCryptPasswordEncoder
Bolview的博客
05-09 3735
开始 Spring Security 中含有两种经常被使用的密码加密器:Pbkdf2PasswordEncoder 、 BCryptPasswordEncoder 加密器工作形式: 传入原本密码,通过 encode() 方法获得加密后的字符串,字符串的生成与时间或者 hash 有关。所以,即使需要加密的密码相同,每次生成的字符串也不同,但是通过相同密码生成的字符串即使不同,也都可以通过...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
SpringSecurity.md
07-21
SpringSecurity.md
springsecurity+jwt权限系统demo.zip
11-19
springsecurity+jwt权限系统demo,只有后端,测试请使用postman,未登录情况下不可以访问指定路径的接口,用户登录之后不可以访问管理员接口,管理员可以访问其角色一下的所有接口,角色可以继承
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
spring security 入门demo
08-11
spring security 入门demo 非常不错 主要是完整
spring boot(2.7.10) 集成spring security
m0_59672113的博客
03-28 804
【代码】spring security
升级Spring Security版本
pany_2017的博客
08-29 2074
Spring Security版本升级方法,及升级后出现的版本不兼容报错的解决办法
SpringBoot2.7.X整合SpringSecurity+JWT(入门级简单易懂)
zyyxiaoxiao的博客
04-12 3701
SpringBoot2.7.9整合SpringSecurity+JWT、入门级简单易懂
SpringSecurity和JWT认证使用适配2.7.5使用
最新发布
qq_34453560的博客
09-22 135
3.JWT登录授权过滤器,自定义的一个拦截器,拦截请求后对获取请求头对token进行认证,如果token认证通过之后,重写的loadusername方法将从后台获取用户信息,账号,密码,权限路径写入到userdetails,新建UsernamePasswordAuthenticationToken 将用户信息关联到springcontext的上下文中,后续springsecrity的其它过滤器将进行其它验证。1.当未登录或者token失效访问接口时,自定义的返回结果。首先定义后各种过滤器。
全新版本Spring Security,如何才能优雅的使用
2301_76607156的博客
05-03 250
Spring Security的升级用法确实够优雅,够简单,而且对之前用法的兼容性也比较好!个人感觉一个成熟的框架不太会在升级过程中大改用法,即使改了也会对之前的用法做兼容,所以对于绝大多数框架来说旧版本会用,新版本照样会用!
SpringSecurity用户密码验证过程
caijibaindashen的博客
04-27 5048
SpringSecurity过滤链当中的UsernamePasswordAuthenticationFilter负责登陆密码验证 AbstractAuthenticationProcessingFilter是UsernamePasswordAuthenticationFilter的父接口,接口当中就有一个this.getAuthenticationManager()方法,获取AuthenticationManager对象。 AuthenticationManager对象当中有一个方法:Authentica
Spring Security】身份认证的多种方式
qq_36525300的博客
09-02 782
配置文件 通过配置文件设置登录的用户名和密码 spring: security: user: name: mary password: 123 roles: admins 启动项目,控制台默认生成的密码消失,说明 Spring Security 账号密码已经由默认生成变化为读取配置文件 访问接口,进入认证页面,输入配置文件中配置的账号密码,正常访问接口 配置类 通过配置类的方式,配置登录的账号密码,这里是采用基于内存的方式 @Configuration @E
SpringSecurity登录中的密码加密与验证
南风的博客
08-04 8734
PasswordEncoder是Spring Security提供的一个接口,称它为密码解析器,这个接口主要是处理密码的。源码如下: public interface PasswordEncoder { /** * Encode the raw password. Generally, a good encoding algorithm applies a SHA-1 or * greater hash combined with an 8-byte or greater randomly ge
Spring Boot 2.7.x有哪些版本
05-19
Spring Boot 2.7.x 目前还未发布,最新的版本是 Spring Boot 2.6.3。一般来说,Spring Boot 的版本号遵循语义化版本规范,即 x.y.z 形式,其中: - x:主版本号,向下兼容性发生变化时增加。 - y:次版本号,向下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

打乒乓球只会抽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值