spring secutiry密码验证的另一种解决办法(荐)

最新推荐文章于 2022-11-07 17:52:41 发布
最新推荐文章于 2022-11-07 17:52:41 发布
阅读量268 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/665486
版权

最近在集成sping security 到spring boot中,看到大部分登陆验证的代码都这么写

@Service
public class CustomUserService implements UserDetailsService { //自定义UserDetailsService 接口

    @Autowired
    UserDao userDao;
    @Autowired
    PermissionDao permissionDao;

    public UserDetails loadUserByUsername(String username) {
        SysUser user = userDao.findByUserName(username);
        if (user != null) {
            List<Permission> permissions = permissionDao.findByAdminUserId(user.getId());
            List<GrantedAuthority> grantedAuthorities = new ArrayList <>();
            for (Permission permission : permissions) {
                if (permission != null && permission.getName()!=null) {

                GrantedAuthority grantedAuthority = new SimpleGrantedAuthority(permission.getName());
                grantedAuthorities.add(grantedAuthority);
                }
            }
            return new User(user.getUsername(), user.getPassword(), grantedAuthorities);
        } else {
            throw new UsernameNotFoundException("admin: " + username + " do not exist!");
        }
    }

}

然后配置那时的代码为:

 @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(urlUserService).passwordEncoder(new PasswordEncoder() {

            @Override
            public String encode(CharSequence rawPassword) {
                return MD5Util.encode((String) rawPassword);
            }

            @Override
            public boolean matches(CharSequence rawPassword, String encodedPassword) {
                return encodedPassword.equals(MD5Util.encode((String) rawPassword));
            }
        });
    }

看到以上代码,我就有个疑问了。
loadUserByUsername是为什么要把用户的权限也获取了呢,如果密码不正确,那获取的权限也没有用,浪费性能。
个人调试了一下代码,发现登陆验证时,确实会调用到loadUserByUsername。
那怎么办呢?如何解决。
经查,解决办法如下;
1.不使用UserDetailsService,改为使用AbstractUserDetailsAuthenticationProvider
示例代码如下:


public class MucAppAuthenticationProvider extends
        AbstractUserDetailsAuthenticationProvider {
    private static Logger logger = LoggerFactory.getLogger(AbstractUserDetailsAuthenticationProvider.class);

    @Autowired
    SecurityUserService securityUserService;

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails,
                                                  UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        //如果想做点额外的检查,可以在这个方法里处理,校验不通时,直接抛异常即可
    }

    @Override
    protected UserDetails retrieveUser(String username,
                                       UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        //获取用户权限或密码校验
        return loadUserDetail(username);
    }

    
    
}

2.配置WebSecurityConfigurer改为如下:

@Bean
    AppAuthenticationProvider appAuthenticationProvider() { // 注册UserDetailsService 的bean
        return new AppAuthenticationProvider();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
         auth.authenticationProvider(appAuthenticationProvider());
    }

经测试,登陆验证没有发现任何问题

weixin_34392435
关注
SpringSecurity用户密码验证过程
caijibaindashen的博客
04-27 5187
SpringSecurity过滤链当中的UsernamePasswordAuthenticationFilter负责登陆密码验证 AbstractAuthenticationProcessingFilter是UsernamePasswordAuthenticationFilter的父接口,接口当中就有一个this.getAuthenticationManager()方法,获取AuthenticationManager对象。 AuthenticationManager对象当中有一个方法:Authentica
SpringSecutirity 好的学习网站
javaACMer的专栏
07-04 997
SpringSecutiry权限管理手册:请见以下URL: http://www.mossle.com/docs/auth/html/preface.html
Spring Security学习(三)——密码加密
sadoshi的专栏
10-16 1854
上一篇文章我们实现了从数据库读取用户名密码Spring Security中,并验证登录成功。不过密码的形式有点奇怪,这篇文章我们研究一下密码加密和比对的问题。
SpringSecurity 用户名和密码的校验过程及自定义密码验证
z69183787的专栏
02-06 1万+
1、源码执行过程 1.执行 AuthenticationManager 认证方法 authenticate(UsernamePasswordAuthenticationToken) 2.ProviderManager 实现了 authenticate(UsernamePasswordAuthenticationToken) 3.ProviderManager 是通过自身管理的n个AuthenticationProvider认证提供者去进行认证 4.AuthenticationProvider认证提供
SpringSecurity登录认证流程
weixin_52353216的博客
11-07 2526
springsecurity的登录认证流程及对源码的一些解读
Spring Secutiry
10-29
它包含了多个`AuthenticationProvider`,每个`AuthenticationProvider`负责一种特定的认证方式,如用户名/密码认证、LDAP认证等。当用户尝试登录时,认证管理器会遍历所有`AuthenticationProvider`,直到找到一个...
spring secutiry3.1 doc
04-20
Spring Security 是一个强大且高度可配置的Java安全框架,用于处理Web应用程序的安全性。3.1版本是该框架的一个重要里程碑,提供了丰富的功能和改进,使得开发者能够更加轻松地实现认证、授权和会话管理。本文将深入...
spring secutiry essentials
08-25
Spring Security是Java EE应用中广泛使用的一个安全框架,旨在为基于Spring的应用程序提供全面的安全保障。它提供了全面、可配置的安全策略,支持多种认证方式以及访问控制,能够有效地保护Web应用、方法调用和数据...
SpringSecutiry实现认证授权功能,整合SpringBoot
最新发布
07-02
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,...
ssh spring secutiry mysql5
09-28
声明:本代码只作自定义接口认证用户登录,只用了spring hibenate ,并未涉及struts技术,用了“SSH”关键词只只部份用户方便搜索。如有介意,请勿下载。 本代码开发平台:myeclipse9.1 + jdk1.6 + ss3.10 ,并且在...
spring security密码校验过程整理(JWT) + 模拟登陆
GuDuPanNiZhe的博客
04-29 1426
前言 最近在整合security和jwt作为基础项目jar包,学无止境头发日渐稀疏 流程介绍 1.前端登录页面:输入用户名和密码 post 登录,其中密码用rsa 公钥加密 2.后端登录接口: rsa私钥解密,获取密码明文 实例化 UsernamePasswordAuthenticationToken 对象用于密码校验 -调用 AbstractUserDetailsAuthenticati...
Spring Security是什么? - 密码认证(四)
梁老师教你编程序
11-03 686
Spring Security当中,认证的过程,首先是获取用户名,然后通过用户名在数据库当中获取到用户的完整信息,然后根据用户信息再去 比对用户的密码。用户登录时,密码匹配阶段并没有进行密码解密(因为密码经过Hash处理,是不可逆的),而是使用相同的算法把用户输入的密码进行hash处理,得到密码的hash值,然后将其与从数据库中查询到的密码hash值进行比较。在注册用户的时候,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。
用户名/密码认证
呜呼哈
04-05 8702
表单登录 让我们来看看基于表单的登录在 Spring Security 中是如何工作的。首先,我们看到如何将用户重定向到登录表单。 该图构建了我们的 SecurityFilterChain 图。 首先,用户向未授权的资源/私有发出未经身份验证的请求。 Spring Security 的 FilterSecurityInterceptor 通过抛出 AccessDeniedException 表示拒绝未经身份验证的请求。 由于用户没有经过身份验证,ExceptionTranslationFilter 启
Spring security的基础用法(普通的用户认证和授权)
m0_37834471的博客
07-16 3206
1.背景 Spring Security是一套成熟的安全框架,充分利用了依赖注入和AOP的实现安全功能。安全框架包含两大部分,一个是认证,一个是授权。 2.原理 其实Spring Security的功能实现主要是依靠DelegatingFilterProxy这一个多个过滤器来实现的。我们需要把这个过滤器注册到web容器上。 3.内容 1.如何配置自己需要的信息? 肯定是需要一个配置类,...
spring security 登录、权限管理配置
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
UsernamePasswordAuthenticationToken
热门推荐
程序缘
12-29 3万+
UsernamePasswordAuthenticationToken(位于org.springframework.security.authentication包下) 通过类名可以的看出来,用户名密码方式进行认证。就是我们见的最多的认证方式通过用户名密码进行登录。咱们话不多说看看具体实现: public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken { // 序列化id priva
Spring Security小教程 Vol 4. 使用用户名和密码验证身份-UsernamePasswordAuthenticationFilter...
weixin_33807284的博客
03-25 4964
前言 上一期我们分享了Spring Security是如何通过AbstractAuthenticationProcessingFilter向Web应用向基于HTTP、浏览器的请求提供身份验证服务的。 这一次我们针对最常用,也是Spring Security默认在HTTP上使用的验证过滤器UsernamePasswordAuthenticationFilter即基于用户名和密码的身份验证过滤器是如何...
Spring Security的HTTP基本验证示例
weixin_30951743的博客
01-23 51
当前位置: 首页>Java技术>Spring>文章信息 Spring Security的HTTP基本验证示例 [微博]发布于14 天前阅读:15次 0 [导读]当配置了http的基本验证时,浏览器访问时就会显示一个登陆框,本人就是展示怎么用Spring Security配置http的最基本的验证。<http> <...
springsecutiry切换用户
04-11
Spring Security切换用户的实现原理是通过使用UserDetailsService中的loadUserByUsername方法获取当前用户并保存在SecurityContextHolder中,再通过SwitchUserFilter将当前用户替换成要切换的用户。同时,Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值