Spring Security 实现身份认证

最新推荐文章于 2024-05-13 22:20:01 发布
最新推荐文章于 2024-05-13 22:20:01 发布
阅读量2.7w 收藏 12
点赞数 3
分类专栏: 爪蛙Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shehun1/article/details/44752557
版权

   Spring Security可以运行在不同的身份认证环境中,当我们推荐用户使用Spring Security进行身份认证但并不推荐集成到容器管理的身份认证中时,但当你集成到自己的身份认证系统时,它依然是支持的。


    1. Spring Security中的身份认证是什么?


    现在让我们考虑一下每个人都熟悉的标准身份认证场景:


    (1)用户打算使用用户名和密码登陆系统


    (2)系统验证用户名和密码合法


    (3)得到用户信息的上下文(角色等信息)


    (4)为用户建立一个安全上下文


    (5)用户接下来可能执行一些权限访问机制下的受保护的操作,检查与当前安全上下文有关的必须的权限


    上面前三步是身份认证的过程,接下来看看身份认证的详细过程:


    (1)用户名和密码获得之后组合成 UsernamePasswordAuthenticationToken 的实例(前文讨论过的Authentication接口的实例)


    (2)将该令牌传递给 AuthenticationManager 实例进行验证


    (3)验证成功后,AuthenticationManager 会返回填充好的 Authentication 实例


    (4)通过调用 SecurityContextHolder.getContext().setAuthentication(...) 建立安全上下文的实例,传递到返回的身份认证对象上


    下面是进行身份认证的代码片段:

import org.springframework.security.authentication.*;
import org.springframework.security.core.*;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;

public class AuthenticationExample {

private static AuthenticationManager am = new SampleAuthenticationManager();

public static void main(String[] args) throws Exception {
BufferedReader in = new BufferedReader(new InputStreamReader(System.in));
while(true) {
System.out.println("Please enter your username:");
String name = in.readLine();
System.out.println("Please enter your password:");
String password = in.readLine();
try {
Authentication request = new UsernamePasswordAuthenticationToken(name, password);
Authentication result = am.authenticate(request);
SecurityContextHolder.getContext().setAuthentication(result);
break;
} catch(AuthenticationException e) {
System.out.println("Authentication failed: " + e.getMessage());
}
}
System.out.println("Successfully authenticated. Security context contains: " +
SecurityContextHolder.getContext().getAuthentication());
}
}

class SampleAuthenticationManager implements AuthenticationManager {

static final List<GrantedAuthority> AUTHORITIES = new ArrayList<GrantedAuthority>();

static {
AUTHORITIES.add(new SimpleGrantedAuthority("ROLE_USER"));
}

public Authentication authenticate(Authentication auth) throws

最低0.47元/天 解锁文章
shehun1
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Shrio认证详解+自定义Realm
dengjuyan2649的博客
08-26 129
Authentication(身份认证)是Shiro权限控制的第一步,用来告诉系统你就是你。 在提交认证的时候,我们需要给系统提交两个信息: Principals:是一个表示用户的唯一属性,可以是用户名,邮箱之类的。 Credentials:是证明用户身份的证书,可以是密码或者指纹之类的。 认证主要分为三步: 1、收集认证信息 2、提交认证信息 3、如果认证成功,则允许访问...
RasGetCredentials
cozil的专栏
08-25 572
DWORD RasGetCredentials( _In_ LPCTSTR lpszPhonebook, _In_ LPCTSTR lpszEntry, _Inout_ LPRASCREDENTIALS lpCredentials );说明该函数用于获取与指定RAS电话簿条目关联的用户凭证。 参数lpszPhonebook [in]指向一个
68篇干货,手把手教你通关 Spring Security
最新发布
2401_84048290的博客
05-13 770
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
django 的auth.authenticate返回为None
weixin_30708329的博客
11-02 323
使用auth.authenticate(username= username,passowrd=passowrd),这个用户认证时候,明明数据库中有记录,但是返回就None 我的错误点比较多: 1.我创建的用户名和密码,并没有添加到在auth_user(django自带的表)中,而是放进了通过modely映射生成的表,从而导致auth.authenticate()根本查不到响应的数据 2.插...
权限项目总结(三) shiro 认证
柏修的专栏
06-01 2352
认证是shiro在使用过程中最开始的一个步骤,只有通过了认证才回有下面授权等操作。认证就是shiro获取当前 用户凭据并进行匹配的过程,最朴素的理解就是弄清楚当前用户的到底是谁的过程。这里也是针对在应用层面的总结,因为发现跟到shiro内部东西就很多了,容易迷失自己。   其实shiro认证过程简化的步骤非常简单   1.提交凭据 2.获取验证信息 3.验证凭据和验证信息是否一致
接入Shiro(2)——基于JWT的登录认证
江湖郎中
06-01 674
本文在前文的基础上,简单实现了用户登录、基于JWT生成Token、然后在Shiro的框架内对Token进行了验证。文中的用户登录未对接用户系统,本文主旨是分享JWT生成Token的过程,以及对Token进行验证的基本逻辑。希望可以帮助到像我一样迷茫的小伙伴。
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity中,我们使用JWT认证方式来实现认证,通过生成一个JWT token来验证用户的身份。在认证流程中,我们首先需要生成一个JWT token,然后将其传递给客户端,客户端在每次请求时都需要带上这个token,以便...
自定义Spring Security身份验证失败处理方法
08-25
自定义Spring Security身份验证失败处理方法 在 Spring Security 中,身份验证失败处理方法是一个非常重要的组件,它能够帮助我们处理身份验证失败的情况。然而,默认的身份验证失败处理方法并不总是能够满足我们...
Spring Security实现验证码登录功能
08-25
Spring Security是Java应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序的攻击和恶意攻击。下面是Spring ...
如何基于spring security实现在线用户统计
08-19
Spring Security 提供了许多功能,包括身份验证、授权、加密、会话管理等。 在线用户统计的重要性 在线用户统计对于系统的监控和管理非常重要。通过在线用户统计,可以实时了解系统中的用户数量,从而更好地分配...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
微信oauth2.0授权
10-11
通过点击viewbutton获取用户openid,实现方式oauth2.0认证
spring security 一个验证码登录例子
热门推荐
ry的专栏
07-11 2万+
看完shiro,在看spring security感觉快了很多,最开始看spring security的时候,非常晕,看完我觉得spring security做了太多事,以至于程序员都不知道,是怎么实现的,这样的 后果就是 当出现错误,或者需要修改的时候感觉无从下手。 个人理解,若有错误,请指正。 spring security跟shiro类似,都是使用过滤器来认证和授权,不同的
Spring Security修改默认的Bad Credentials提示 及其 原理(Spring Boot 2.0)
exces的专栏
03-13 1万+
Spring Security的各种提示内容来源于Spring的国际化资源文件类MessageSource,当我们想要修改默认提示时可能理所当然的会想到通过自己配置一个MessageSource的方式来实现,但是这种做法并不适用于Spring Security,原因如下,我们跟踪它的代码看看: Spring Security的登录密码验证有一个默认的实现类叫做DaoAuthentic...
浅谈Shiro框架中的加密算法,以及校验
qq383264679的专栏
07-23 1万+
在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码。为什么要加密:网络安全问题是一个很大的隐患,用户数据泄露事件层出不穷,比如12306账号泄露。 Shiro提供了base64和16进制字符串编码/解码的API支持,方便一些编码解码操作,想了解自己百度API操作用法。 看一张图,了解Shiro提供的加密算法: 本文重点讲shiro提供的
shiro-密码比较的设计 CredentialsMatcher -为什么Java中的密码优先使用 char[] 而不是String?
汪小哥
12-23 1万+
密码比较 昨天的时候,笔者仔细的追踪了,整个获取信息的主要的设计,通过用户的唯一标识得到 AuthenticationInfo 然后和 AuthenticationToken (用户名 密码),进行比较! 有一个专门的设计类,用来处理密码匹配的比较的。而且很复杂~AuthenticatingRealm中有一个成员变量 private CredentialsMatcher credenti
SpringSecurity OAuth2 自定义授权 微信小程序登录
走在编程之路.....
06-18 7923
结合网络上的方法,主要有两种方式,一种是采用Filter,一种是采用自定义授权,目前我实现的方式是采用的是“自定义授权”的方式实现微信小程序登录验证。
Spring Security实现身份认证
04-17
Spring Security是一个功能强大的身份认证和授权框架,它可以帮助我们在Spring应用程序中实现安全性。下面是Spring Security实现身份认证的一般步骤: 1. 添加Spring Security依赖:在项目的构建文件中添加Spring Security的依赖,例如在Maven项目中可以添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类,继承自`WebSecurityConfigurerAdapter`,并重写`configure`方法来配置安全性规则。在该方法中,可以定义哪些URL需要进行身份认证,以及使用哪种认证方式等。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() .and() .logout() .logoutUrl("/logout") .permitAll(); } } ``` 3. 自定义用户认证实现`UserDetailsService`接口,并重写`loadUserByUsername`方法来自定义用户认证逻辑。在该方法中,可以根据用户名从数据库或其他数据源中获取用户信息,并返回一个实现了`UserDetails`接口的对象。例如: ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found"); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), user.getAuthorities() ); } } ``` 4. 配置密码加密:为了保护用户密码的安全性,可以配置密码加密方式。可以使用Spring Security提供的各种加密器,例如BCryptPasswordEncoder。在配置类中添加一个`PasswordEncoder`的Bean,并在`configure`方法中使用该加密器对密码进行加密。例如: ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } } ``` 这样,当用户访问需要认证的URL时,Spring Security会自动进行身份认证,并根据配置的规则进行授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值