四.SpringSecurity基础-自定义登录流程

最新推荐文章于 2024-05-28 15:44:47 发布
最新推荐文章于 2024-05-28 15:44:47 发布
阅读量1.9k 收藏 5
点赞数 5
分类专栏: 《Spring Cloud Oauth2微服务授权》 文章标签: 1024程序员节 security 登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014494148/article/details/109253386
版权

自定义登录

在SpringSecurity的整个认证流程中,除了UserDetailsService需要我们自己定义外,其他的的组件都可以使用默认的,因为UserDetailsService是SpringSecurity获取数据库中的认证信息的媒介,而如何才能从数据库中获取认证信息只有我们才知道。在入门案例中我们使用的是InMemoryUserDetailsManager 基于内存的UserDetailsService方案,接下来我们需要把基于内存的方案修改为基于数据库的方案。

1.定义密码编码器

在我们的案例中,密码一值是明文的,我们指定的密码编码器是 NoOpPasswordEncoder ,这个是不加密的,但是在生产环境中我们数据库中的密码肯定是密文,所以我们需要指定密码的编码器,那么SpringSecurity在认证时会调用我们指定的密码编码器进行认证

BCryptPasswordEncoder

BCryptPasswordEncoder是SpringSecurity内部提供的编码器,他的好处在于多次对相 同的明文加密出来的密文是不一致的,但是多次加密出来的不同密文确有能检查通过, 这种方式增加了密码的安全性,测试代码如下:

public class PasswordTest {
    @Test
    public void testPassword(){
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String enPass = bCryptPasswordEncoder.encode("123");
        System.out.println(enPass);
        System.out.println(bCryptPasswordEncoder.matches("123", enPass));
    }
}

在配置类中定义编码器如下:

@Bean
public PasswordEncoder passwordEncoder(){
    //return NoOpPasswordEncoder.getInstance();
    return new BCryptPasswordEncoder();
}
2.MyBatis集成
1.导入依赖
 <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.20</version>
        </dependency>
        <!-- mysql 数据库驱动. -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>1.1.1</version>
        </dependency>
2.配置MyBatis
spring:
  datasource:
    url: jdbc:mysql:///auth-rbac
    username: root
    password: admin
    driver-class-name: com.mysql.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource
mybatis:
  mapper-locations: classpath:cn/itsource/rbac/mapper/*Mapper.xml
3.主启动类
@SpringBootApplication
@MapperScan("mapper接口包")
public class ApplicationConfig {
    public static void main(String[] args) {
        SpringApplication.run(ApplicationConfig.class);
    }
}
4.编写Login和LoginMapper.xml

Login.java 登录对象

public class Login {

    private Long id;
    private String username;
    private String password;

Permission.java 权限表

public class Permission {
    private Long id;
    private String name;
    private String sn;
    private String resource;

LoginMapper.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="cn.itsource.security.mapper.LoginMapper">

    <!-- 通用查询映射结果 -->
    <resultMap id="BaseResultMap" type="cn.itsource.security.domain.Login">
        <id column="id" property="id" />
        <result column="username" property="username" />
        <result column="password" property="password" />
    </resultMap>
    <!--根据用户名查询用户-->
    <select id="selectByUsername" resultType="cn.itsource.security.domain.Login">
        select id,username,password
        from t_login where username = #{username}
    </select>

</mapper>

PermissionMapper.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="cn.itsource.security.mapper.PermissionMapper">

    <!-- 通用查询映射结果 -->
    <resultMap id="BaseResultMap" type="cn.itsource.security.domain.Permission">
        <id column="id" property="id" />
        <result column="name" property="name" />
        <result column="resource" property="resource" />
        <result column="expression" property="expression" />
    </resultMap>

    <select id="selectPermissionsByUserId" resultMap="BaseResultMap">
        select p.id,p.name,p.resource,p.expression
        from t_user_role ur join t_role_permission rp on ur.role_id = rp.role_id
        join t_permission p on p.id = rp.permission_id
        where ur.user_id = #{userId}
    </select>
    
    <select id="selectAll" resultMap="BaseResultMap">
        select  p.id,p.name,p.resource,p.expression
        from t_permission p
    </select>

</mapper>
5.编写Mapper映射器接口

LoginMapper.java

package cn.itsource.security.mapper;

import cn.itsource.security.domain.Login;
import cn.itsource.security.domain.Permission;

import java.util.List;

public interface LoginMapper {

    Login selectByUsername(String username);

}

PermissionMapper.java

package cn.itsource.security.mapper;


import cn.itsource.security.domain.Permission;

import java.util.List;


public interface PermissionMapper {
    List<Permission> selectPermissionsByUserId(Long userId);

    List<Permission> selectAll();
}
6.创建数据库auth-rbac

相关表不用多说,需要注意的是:t_login密码使用BCryptPasswordEncoder加密

SET FOREIGN_KEY_CHECKS=0;

-- ----------------------------
-- Table structure for t_permission 权限
-- ----------------------------
DROP TABLE IF EXISTS `t_permission`;
CREATE TABLE `t_permission` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) DEFAULT NULL,
  `resource` varchar(255) NOT NULL,
  `state` int(11) DEFAULT NULL,
  `menu_id` bigint(20) DEFAULT NULL,
  `expression` varchar(255) NOT NULL,
  PRIMARY KEY (`id`),
  KEY `menu_id` (`menu_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_permission
-- ----------------------------

-- ----------------------------
-- Table structure for t_role 角色
-- ----------------------------
DROP TABLE IF EXISTS `t_role`;
CREATE TABLE `t_role` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) DEFAULT NULL,
  `sn` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_role
-- ----------------------------

-- ----------------------------
-- Table structure for t_role_permission 角色和权限关系
-- ----------------------------
DROP TABLE IF EXISTS `t_role_permission`;
CREATE TABLE `t_role_permission` (
  `role_id` bigint(20) NOT NULL,
  `permission_id` bigint(20) NOT NULL,
  PRIMARY KEY (`role_id`,`permission_id`),
  KEY `permission_id` (`permission_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_role_permission
-- ----------------------------

-- ----------------------------
-- Table structure for t_login 用户登录表
-- ----------------------------
DROP TABLE IF EXISTS `t_login`;
CREATE TABLE `t_login` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) DEFAULT NULL COMMENT '员工用户名',
  `password` varchar(255) DEFAULT NULL COMMENT '密码',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_login
-- ----------------------------

-- ----------------------------
-- Table structure for t_login_role 用户角色关系表
-- ----------------------------
DROP TABLE IF EXISTS `t_login_role`;
CREATE TABLE `t_login_role` (
  `login_id` bigint(20) NOT NULL,
  `role_id` bigint(20) NOT NULL,
  PRIMARY KEY (`login_id`,`role_id`),
  KEY `role_id` (`role_id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

-- ----------------------------
-- Records of t_login_role
-- ----------------------------
3.定义UserDetailsService

相关概念

  • UserDetailsService
    是SpringSecurity提供用来获取认证用户信息(用户名,密码,用户的权限列表)的 接 口,我们可以实现该接口,复写loadUserByUsername(username) 方法加载我们数 据 库中的用户信息
  • UserDetails
    UserDetails是SpringSecurity用来封装用户认证信息,权限信息的对象,我们使用它 的实现类User封装用户信息 并返回,我们这里从数据库查询用户名

基于入门案例进行修改

  • 准备好认证表t_login(id,username,password密码密文),创建相关代码 ,集成MyBatis等,做好准备工作
  • 创建类UserDetailServiceImpl实现UserDetailsService接口
/**
 * 用来提供给security的用户信息的service,
 * 我们需要复写 loadUserByUsername 方法返回数据库中的用户信息
 */
@Service
public class UserDetailServiceImpl implements UserDetailsService {
	@Autoware
	private LoginMapper loginMapper;

    /**
     * 加载数据库中的认证的用户的信息:用户名,密码,用户的权限列表
     * @param username: 该方法把username传入进来,我们通过username查询用户的信息
     (密码,权限列表等)然后封装成 UserDetails进行返回 ,交给security 。
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        
		Login userFromMysql = loginMapper.selectByUsername(username);
		if(loginFromMysql == null){
              throw new UsernameNotFoundException("无效的用户名");
		}
		//暂时没加载权限
		List<GrantedAuthority> permissions = new ArrayList<>();
		//密码是基于BCryptPasswordEncoder加密的密文
		//User是security内部的对象,UserDetails的实现类 ,
        //用来封装用户的基本信息(用户名,密码,权限列表)
        //四个true分别是账户启用,账户过期,密码过期,账户锁定
		return new User(username,loginFromMysql.getPassword(),true,true,true,true,permissions);
    }
}

Provider会调用UserDetailsService 获取认证信息,这里自定义的UserDetailsService实现类,复写了loadUserByUsername方法,根据用户名查询数据库中的认证信息和当前用户的权限信息,封装成User返回。

注意:这里定义了UserDetailSerice后,WebSecurityConfig中不在需要定义UserDetailService的Bean需要移除

4.自定义登录页面
1.准备登录页面static/login.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陆</title>
</head>
<body>
<h1>登陆</h1>
<form method="post" action="/login">
    <div>
        用户名:<input type="text" name="username">
    </div>
    <div>
        密码:<input type="password" name="password">
    </div>
    <div>
        <button type="submit">立即登陆</button>
    </div>
</form>
</body>
</html>
2.配置登录页面

在WebSecurityConfig配置类中配置登陆页面和登陆请求地址

protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/login").permitAll()  //登录路径放行
                .antMatchers("/login.html").permitAll() //对登录页面跳转路径放行
                .anyRequest().authenticated() //其他路径都要拦截
                .and().formLogin()  //允许表单登录, 设置登陆页
                .successForwardUrl("/loginSuccess") // 设置登陆成功页
                .loginPage("/login.html")   //登录页面跳转地址
                .loginProcessingUrl("/login")   //登录处理地址(必须)
                .and().logout().permitAll();    //登出
    }
  • http.csrf().disable() :屏蔽跨域伪造检查
  • antMatchers("/login.html").permitAll() : 对登录页面跳转路径放行
  • loginPage("/login.html") :登录页面跳转地址(必须)
  • loginProcessingUrl("/login") :登录处理地址(必须)

2.自定义登出

1.指定登出路径

SpringSecurity提供了默认的退出处理,可以在Security配置类中通过.and().logout().permitAll(); 放行默认的退出路径“/logout” ,如果我们需要自定义退出路径,可以通过如下方式指定:

.and().logout().logoutUrl("/mylogout").permitAll()    //制定义登出路径
.invalidateHttpSession(true); //登出后session无效
2.登出处理器

当然我们也可以在登出的时候做一些自己的事情,通过定义LogoutHandler 处理器实现,如:定义登出处理器

public class MyLogoutHandler implements LogoutHandler {
    @Override
    public void logout(HttpServletRequest request, HttpServletResponse response, Authentication authentication) {
        try {
            //登出成功,响应结果给客户端,通常是一个JSON数据
            response.getWriter().println("logout success");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

配置处理器

.and().logout().logoutUrl("/mylogout").permitAll()    //制定义登出路径
.logoutSuccessHandler(new MyLogoutHandler())  //登出后处理器-可以做一些额外的事情
.invalidateHttpSession(true); //登出后session无效

到这里配置就结束了,您可以重启测试一下

墨家巨子@俏如来
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
SpringSecuriyt
记录点滴
08-21 620
认证 -- 登录大致流程: 首先会找userDetailsServese类里边的loadUserByUsername 方法 -> 参数传递用户名 -> 拿着用户名,去数据库中查找,如果用户名存在 -> 会返回UserDetails,而UserDetails 是一个接口,对应实现类是User,User类中的参数有用户名、密码、权限,也就是说返回的有用户名、密码和权限,接着会对前端传过来的密码和数据库返回的密码进行比对。 登录逻辑 内部通过 loadUserByUser...
Spring Security
flash_liang的博客
07-24 748
背景分析 企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共享做了具体的落地实现,例如Spring Security,Apache shiro诞生了. 认证授权分析
SpringSecurity定义登录接口
最新发布
奔跑的大猪蹄子
05-28 317
【代码】SpringSecurity定义登录接口。
# spring-security(一)
m0_74795259的博客
12-09 3201
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
SpringSecurity前后端分离自定义登录处理
z318913的博客
07-12 3576
SpringSecurity前端后分离自定义登录处理
前后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Johnson_7的博客
09-19 4413
前后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
spring-security-3.1.3.RELEASE-dist.zip
05-08
Spring Security 3.1.3版本虽然相对较旧,但它的设计理念和核心功能仍然是现代Spring Security的基础。开发者可以通过阅读源码来学习其内部机制,比如如何实现认证和授权流程,以及如何扩展自定义功能。 总的来说,...
SpringSecurity定义成功失败处理器的示例代码
09-07
在Spring Security框架中,自定义成功失败处理器是用于定制用户登录认证后的响应行为。默认情况下,Spring Security提供了标准的...这允许我们在Spring Security的基础上实现更灵活、更符合业务需求的身份验证流程
SpringSecurity 默认表单登录页展示流程
08-25
在本篇文章中,我们将深入探讨SpringSecurity如何展示其默认的表单登录页面以及背后的流程。 首先,我们要了解的是准备工作。创建一个SpringBoot项目并添加SpringSecurity依赖是开始的基础。在项目的`pom.xml`中,...
3.springSecurity源码分析1
08-03
在深入分析SpringSecurity源码之前,我们先了解一些基础概念。 1. DelegatingFilterProxy:这是一个Spring框架提供的过滤器,它作为代理来调用实际的Filter。在web.xml中,filter-name设置为...
spring-security-demo.zip
03-22
总之,"spring-security-demo.zip"提供了一个很好的实践平台,帮助开发者理解和掌握Spring Security与OAuth2.0的集成,为构建安全的微服务架构奠定了基础。通过逐步调试和修改代码,你将能够深入理解这些安全机制的...
LoginMapper.xml
12-25
LoginMapper.xml
Spring Security --定义登录
smile_code_dog的博客
04-15 2526
Spring Security – 自定义登录 1 使用formLogin() http .formLogin() .loginPage("/myLogin") // 自定义登录页面 .loginProcessingUrl("/doLogin") // 自定义登录接口 .permitAll(); 2 自定义登录过滤器 SpringSecurity 默认使用的是 UsernamePasswordAuthenticationFilter 过滤器,我们可以实现 AbstractA
权限框架SpringSecurity(一)——自定义登录
scorpio的博客
05-12 9240
权限框架SpringSecurity(一)——自定义登录
mapper.xml详细解说
馒头花卷儿
12-13 1108
更多详情请参考: https://suxiexingchen.github.io/2019/08/28/15/ <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-...
UserMapper.xml
qq_38416836的博客
01-26 1943
xml version="1.0" encoding="UTF-8"?> "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" > mapper namespace="com.bjhst.ssm.dao.UserDao"> resultMap id="UserBaseMap"
mybatis框架的简单配置XML
qq_41993438的博客
11-17 595
前段时间学习了mybatis这一部分的内容,就总结一下我的学习经验,希望得到大家指点: MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,...
spring security 指定登陆后跳转路径失败原因
热门推荐
wode979982272的博客
05-25 1万+
    在spring security 的config类型中配置.defaultSuccessUrl("/path")失败,如果登陆前有默认登陆路径的话登陆成功后依旧跳转为登录前的路径,而没有按照我们设置中的.defaultSuccessUrl进行跳转;    其中设置代码如下 public final T defaultSuccessUrl(String defaultSuccessUrl, ...
spring security实现表单登录以及自定义URL权限认证
coolwind的博客
03-03 5448
本文主要介绍怎么快速搭建一个带spring security安全认证的应用,其他基础介绍,基本操作,内容原理略过,着重介绍实现步骤,如需详细了解请阅读相关文档。 0.环境 jdk 1.8 spring boot MySQL 5 需要准备5张表: 以上为5张表需要的字段,可根据实际需求变更 1.引入spring security 创建一个spring boot工程,在pom....
项目集成Spring Security.docx
06-27
Security 有两种认证方式: httpbasic formLogin 默认的,如上边那种方式 同样,Security 也提供两种过滤器类: UsernamePasswordAuthenticationFilter 表示表单登陆过滤器 BasicAuthenticationFilter 表示 httpbaic 方式登陆过滤器 图中橙色的 FilterSecurityInterceptor 是最终的过滤器,它会决定当前的请求可不可以访问Controller,判断规则放在这个里面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨家巨子@俏如来

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值