SpringBoot整合Spring Security(二)

最新推荐文章于 2024-04-30 16:06:57 发布
最新推荐文章于 2024-04-30 16:06:57 发布
阅读量233 收藏
点赞数 1
分类专栏: spring Boot spring Security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thisIsDennis/article/details/104096640
版权

实现自定义表单登录

1.实现自定义UserDetailsService

需要重写 loadUserByUsername 方法,参数是用户输入的用户名。在此,我们可以实现自定义的登录逻辑。

@Component(value = "myUserDetailService")
public class MyUserDetailServiceImpl implements UserDetailsService {

    /**
     * 用户Service
     */
    private final UserService userService;

    /**
     * 用户角色Service
     */
    private final UserRoleService userRoleService;

    /**
     * 角色Service
     */
    private final RoleService roleService;

    /**
     * 角色权限Service
     */
    private final RoleAuthorityService roleAuthorityService;

    /**
     * 权限Service
     */
    private final AuthorityService authorityService;
    
    @Autowired
    public MyUserDetailServiceImpl(UserService userService, UserRoleService userRoleService,
                                   RoleService roleService, RoleAuthorityService roleAuthorityService,
                                   AuthorityService authorityService) {
        this.userService = userService;
        this.userRoleService = userRoleService;
        this.roleService = roleService;
        this.roleAuthorityService = roleAuthorityService;
        this.authorityService = authorityService;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //这里可以可以通过username(登录时输入的用户名)然后到数据库中找到对应的用户信息,并构建成我们自己的UserInfo来返回。
        User user = userService.findUserByName(username);
        if (ObjectUtils.isEmpty(user)) {
            throw new UsernameNotFoundException("userName not found");
        }

        //角色授权:授权代码需要加ROLE_前缀,controller上使用时不要加前缀
        //权限授权:设置和使用时,名称保持一至即可
        List<Integer> roleIdList = userRoleService.findRoleIdsByUserId(user.getUserId());
        List<Role> roleList = roleService.findByRoleIdIn(roleIdList);
        String role = "";
        StringBuilder roleSb = new StringBuilder();
        roleList.forEach(e -> roleSb.append(",").append("ROLE_").append(e.getRoleCode()));
        if (roleSb.length() > 0) {
            role = roleSb.substring(1);
        }

        List<Integer> authorityIdList = roleAuthorityService.getAuthorityIdsByRoleIds(roleIdList);
        List<Authority> authorityList = authorityService.getAuthority(authorityIdList);
        String authority = "";
        StringBuilder authoritySb = new StringBuilder();
        authorityList.forEach(e -> authoritySb.append(",").append(e.getAuthorityCode()));
        if (authoritySb.length() > 0) {
            authority = authoritySb.substring(1);
        }

        return new UserDto(user.getUserId(), user.getUserName(), user.getUserPassword(), user.getUserSalt(),
                role + authority, true, true, true, true);
    }
}

输入账号密码后,security会调用此方法,通过用户名查找此用户是否存在,最后面我没有直接返回security的User,而是返回了自定义的实体类,代码如下:

public class UserDto extends BaseDto implements UserDetails, Serializable {

    private static final long serialVersionUID = 1L;

    /** 用户ID */
    @Getter
    private Integer userId;

    /** 用户名 */
    private String username;

    /** 用户密码 */
    private String password;

    /** 加密盐 */
    @Getter
    private String salt;

    /** 角色 */
    private String role;

    /** 账户是否过期 */
    private boolean accountNonExpired;

    /** 账户是否被锁定 */
    private boolean accountNonLocked;

    private boolean credentialsNonExpired;

    private boolean enabled;

    public UserDto(Integer userId, String username, String password, String salt, String role,
                   boolean accountNonExpired, boolean accountNonLocked, boolean credentialsNonExpired, boolean enabled) {
        this.userId = userId;
        this.username = username;
        this.password = password;
        this.salt = salt;
        this.role = role;
        this.accountNonExpired = accountNonExpired;
        this.accountNonLocked = accountNonLocked;
        this.credentialsNonExpired = credentialsNonExpired;
        this.enabled = enabled;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return AuthorityUtils.commaSeparatedStringToAuthorityList(role);
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return accountNonExpired;
    }

    @Override
    public boolean isAccountNonLocked() {
        return accountNonLocked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return credentialsNonExpired;
    }

    @Override
    public boolean isEnabled() {
        return enabled;
    }
}

2.Security全局配置

@Configuration
@EnableWebSecurity //开启 Security 服务
@EnableGlobalMethodSecurity(prePostEnabled = true) //开启全局 Securtiy 注解
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 表单认证配置
     */
    private final FormAuthenticationConfig formAuthenticationConfig;

    /**
     * 验证用户Service
     */
    private final UserDetailsService userDetailsService;


    @Autowired
    public SecurityConfig(FormAuthenticationConfig formAuthenticationConfig, @Qualifier(value = "myUserDetailService") UserDetailsService userDetailsService) {
        this.formAuthenticationConfig = formAuthenticationConfig;
        this.userDetailsService = userDetailsService;
    }

    /**
     * 登录配置
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //不需要拦截的路径
                .antMatchers("/authentication/require").permitAll()
                .anyRequest().authenticated()
                .and().csrf().disable();

        //表单登录配置
        formAuthenticationConfig.configure(http);
    }

    /**
     * 权限校验配置
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //使用自定义userDetailsService进行登录校验
        auth.userDetailsService(userDetailsService)
                //加密工具
                .passwordEncoder(passwordEncoder());
    }

    /**
     * 加密工具(指定了密码的加密方式(5.0 版本强制要求设置))
     *
     * @return PasswordEncoder
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new PasswordEncoder(){
            @Override
            public String encode(CharSequence charSequence) {
                return charSequence.toString();
            }

            @Override
            public boolean matches(CharSequence charSequence, String s) {
                return s.equals(charSequence.toString());
            }
        };
    }
}

2.1.formAuthenticationConfig

在这里将表单登录配置抽取出来,单独放在一个类里

@Component
public class FormAuthenticationConfig {

    private final AuthenticationSuccessHandler authenticationSuccessHandler;

    private final AuthenticationFailureHandler authenticationFailureHandler;

    @Autowired
    public FormAuthenticationConfig(@Qualifier(value = "myAuthenticationSuccessHandler") AuthenticationSuccessHandler authenticationSuccessHandler,
                          @Qualifier(value = "myAuthenticationFailureHandler") AuthenticationFailureHandler authenticationFailureHandler) {
        this.authenticationSuccessHandler = authenticationSuccessHandler;
        this.authenticationFailureHandler = authenticationFailureHandler;
    }

    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                //当请求需要身份认证时,默认跳转的url
                .loginPage("/authentication/require")
                //默认的用户名密码登录请求处理url
                .loginProcessingUrl("/authentication/form")
                //登录成功处理器
                .successHandler(authenticationSuccessHandler)
                //登录失败处理器
                .failureHandler(authenticationFailureHandler);
    }
}

2.2.登录成功处理器

@Slf4j
@Component("myAuthenticationSuccessHandler")
public class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

    private final ObjectMapper objectMapper;

    public MyAuthenticationSuccessHandler(ObjectMapper objectMapper) {
        this.objectMapper = objectMapper;
    }

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException {

        log.info("登录成功");

        //返回数据
        response.setContentType("application/json;charset=UTF-8");
        String type = authentication.getClass().getSimpleName();
        ResultVo resultVo = ResultVo.builder().status(200).msg("登陆成功!").data(type).build();
        response.getWriter().write(objectMapper.writeValueAsString(resultVo));

    }
}

2.3. 登陆失败处理器

@Slf4j
@Component("myAuthenticationFailureHandler")
public class MyAuthenctiationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    private final ObjectMapper objectMapper;


    public MyAuthenctiationFailureHandler(ObjectMapper objectMapper) {
        this.objectMapper = objectMapper;
    }

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                        AuthenticationException exception) throws IOException {

        logger.info("登录失败");

        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setContentType("application/json;charset=UTF-8");
        ResultVo resultVo = ResultVo.builder().status(403).msg("登陆失败!").data(exception.getMessage()).build();
        response.getWriter().write(objectMapper.writeValueAsString(resultVo));

    }
}

3.登录验证

在这里需要打开一个工具postman对项目进行验证

3.1.未登录测试

用户未登录
当用户未登录时访问项目接口,会跳转到自定义配置的路径上,因为这里并没有配置此路径接口,所有会报404错误。

3.2.登录错误测试

登录失败
紧接着,向/authentication/form发起登录请求,输入一个错误的密码,此时会调用登录失败处理器,返回错误信息。

3.3.登陆成功测试

登陆成功
最后,输入正确的用户和密码,此时会调用登录成功处理器,返回成功信息。
此时,再次访问项目接口,可以看到,访问成功!
在这里插入图片描述

4.关于用户名和密码

表单登录,默认的用户名和密码分别是username和password,如果不是这两个参数将会无法登录

4.1.表单配置中实现自定义用户名和密码参数

在这里插入图片描述

4.2. 在过滤器中设置参数

这个可以在UsernamePasswordAuthenticationFilter中看到
用户名密码参数
如果想要实现自定义参数可以继承此接口,将自定义过滤器加到security过滤链中即可。

thisIsDennis
关注
专栏目录
玩转SpringBoot安全管理:SpringSecurityUserDetailService身份认证
Xmumu_的博客
08-03 3758
SpringSecurity身份认证之UserDetailsService
Spring Security身份认证之UserDetailsService
热门推荐
小尘
04-30 5万+
zhiqian我们采用了配置文件的方式从数据库中读取用户进行登录。虽然该方式的灵活性相较于静态账号密码的方式灵活了许多,但是将数据库的结构暴露在明显的位置上,绝对不是一个明智的做法。本文通过Java代码实现UserDetailsService接口来实现身份认证。     1.1 UserDetailsService在身份认证中的作用     Spring S
Spring Security 笔记
howeres的博客
05-06 2073
Preface 在 Spring Security 中只需要引入一个依赖,所有的接口就会自动保护起来! 原理 在 Spring Security 中 认证、授权 等功能都是基于过滤器完成的 默认用户生成 查看 SpringBootWebSecurity Configuration#defaultSecurity FilterChain 方法表单登录 处理登录为 FormLoginConfigurer 类中 调用 UsernamePasswordAuthenticationFilter这个类实例 查看类中
不同类型authority的获取
teamlet
03-04 240
authority的类型有 ADMINUSERGROUPOWNEREVERYONEGUESTROLE 在通过AuthorityService获取这些类型的authority的时候, ADMIN、EVERYONE和GUEST返回的是固定的值分别对应在PermissionService中定义的 ROLE_ADMINISTRATOR、GROUP_EVERYONE、guest,这里直接给出的是值不...
权限拦截器
CHBSRZF的博客
08-12 581
public class AuthorityInterceptor extends HandlerInterceptorAdapter{ /** * 权限服务 */ private AuthorityService authorityService; /** * @Title: preHandle * @Descrip
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringBoot整合SpringSecurity超详细入门教程
最新发布
2401_83977357的博客
04-30 689
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
springboot整合springSecurity
04-19
以上是SpringBoot整合SpringSecurity的基础知识要点,实际应用中可能还需要结合具体的业务需求进行更细致的配置和定制。在项目开发中,确保理解并熟练运用这些知识点,能够有效提高应用的安全性和健壮性。
详解Spring Security进阶身份认证之UserDetailsService(附源码)
weixin_33738555的博客
01-29 4547
    在上一篇Spring Security身份认证博文中,我们采用了配置文件的方式从数据库中读取用户进行登录。虽然该方式的灵活性相较于静态账号密码的方式灵活了许多,但是将数据库的结构暴露在明显的位置上,绝对不是一个明智的做法。本文通过Java代码实现UserDetailsService接口来实现身份认证。    1.1 UserDetailsService在身份认证中的作用    Spring...
SpringSecurity4使用UserDetailsService时无法注入数据库持久层的service、dao
CoderJu的博客
11-24 8239
使用SpringSecurity4时无法自动注入service层:代码如下:@Service("customUserDetailsService") @Transactional(readOnly = true) public class CustomUserDetailsService implements UserDetailsService { @Autowired priva
UserDetailsServiceService或者Dao 使用@Autowired注入为NULL SpringBoot架构
taotaojs的博客
12-11 4207
网上有一些关于这个问题的答案,但都不是基于SpringBoot的,一想到SpringBoot还要配置XML文件就头大呀有木有。   以下就是解决方法: 在SecurityConfig中添加如下代码 @Bean public UserDetailsService myUserService(){ return new MyUserDetailsService(); ...
基于数据库自定义UserDetailsService实现Spring security认证
neweastsun的专栏
02-24 4万+
Spring security——基于数据库自定义UserDetailsService实现认证 本文将展示如何在spring security中创建基于数据库自定义UserDetailsService的认证服务。 UserDetailsService UserDetailsService接口用于返回用户相关数据。它有loadUserByUsername()方法,根据username查询用...
SpringBoot整合Spring Security自定义UserDetailsService使用@Autowired注入为NULL
Logan的博客
04-13 2671
问题分析 Spring SecuritySpring加载完Bean之前就加载了 解决方案 在SecurityConfig中添加如下代码 @Bean public UserDetailsService myUserService(){ return new MyUserDetailsService(); } @Override public void co...
Spring Boot+Spring Security框架里配置UserDetailsService
昂哥学嵌入式
03-09 5022
公司工作需要使用自建的云平台,虽然我是嵌入式工程师但是因为人手不足(主要还是建站的人走了,没人会Java)所以交由我来维护。 这次有了新需求,需要进行权限的分类和管理,由于原先的代码已经经了好几手了(心累啊!!),我需要保持原先的结构不动的情况下加入这些功能,那么原先的方式已经不满足需求了。 查阅了资料以后,决定直接使用UserDetailsService的形式对原先页面进行改造。 我们原先的sp...
SpringBoot + Springboot-Security UserDetailsServiceService或者Dao 使用@Autowired注入为NULL
gufy的博客
04-09 2058
版权声明:本文为CSDN博主「滔涛江水」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/taotaojs/article/details/84955218 网上有一些关于这个问题的答案,但都不是基于SpringBoot的,一想到SpringBoot还要配置XML文件就头大呀有木有。 以下就是解...
SpringBoot整合SpringSecurity实现角色权限管理
"本文将介绍如何使用Spring SecuritySpring Boot项目中轻松实现角色权限的管理。通过示例代码,我们将逐步展示如何配置Spring Security,创建用户表和角色表,以及如何将权限分配给不同的角色。" 在Spring Boot...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值