SpringSecurity 免密登录方法

最新推荐文章于 2024-05-21 14:51:14 发布
最新推荐文章于 2024-05-21 14:51:14 发布
阅读量1.8k 收藏 9
点赞数 8
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38982591/article/details/135912527
版权

需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。

添加自定义校验 # MyAuthenticationProvider

package com.spark.security.config;

import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;

import static com.spark.biz.admin.service.impl.SysLoginService.checkPwdThreadLocal;

/**
 * @author Jerry
 * @date 2024-01-26 18:15
 * 自定义密码验证
 */
@Component
public class MyAuthenticationProvider extends DaoAuthenticationProvider {
    
    private PasswordEncoder passwordEncoder;


    /**
     * 构造初始化
     * @param userDetailsService
     * @param passwordEncoder
     */
    public MyAuthenticationProvider(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder) {
        super();
        // 这个地方一定要对userDetailsService赋值,不然userDetailsService是null (这个坑有点深)
        setUserDetailsService(userDetailsService);
        //passwordEncoder由于父类是private,这里需要自定义初始化后才能使用
        this.passwordEncoder = passwordEncoder;
    }




    /**
     * 重写该方法
     * @param userDetails
     * @param authentication
     * @throws AuthenticationException
     */
    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            this.logger.debug("Failed to authenticate since no credentials provided");
            throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
        } else {
            // 线程变量
            Boolean checkPwd = checkPwdThreadLocal.get();
            checkPwdThreadLocal.remove();
            checkPwd = checkPwd == null || checkPwd;
            // 如果不需要密码直接跳过
            if (!checkPwd) {
                return;
            }
            String presentedPassword = authentication.getCredentials().toString();
            if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
                this.logger.debug("Authentication failed: password does not match stored value");
                throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
            }

        }
    }
}

 

 /**
     * 线程参数
     */
    public static ThreadLocal<Boolean> checkPwdThreadLocal = new ThreadLocal<>();

    public static void checkPwd(boolean checkPwd) {
        checkPwdThreadLocal.set(checkPwd);
    }

     public String autoLogin(String username, String password) {
        // 用户验证
        Authentication authentication;
        try {
            boolean check = false;
            checkPwd(check);
            authentication = authenticationManager
                    .authenticate(new UsernamePasswordAuthenticationToken(username, password));
        } catch (Exception e) {
            if (e instanceof BadCredentialsException) {
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
                throw new UserPasswordNotMatchException();
            } else {
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
                throw new CustomException(e.getMessage());
            }
        }
        AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        // 生成token
        return tokenService.createToken(loginUser);
    }

yueF_L
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
spring security 实现免登陆功能
json20080301
03-19 8322
spring security 实现免登陆功能大体也是基于COOKIE来实现的。 主要配置信息: 1.首先登陆表单要Post URL: /j_spring_security_check 同时_spring_security_remember_me要等于yes,这时登陆后会记录cookie到数据库中; /j_spring_security_check?_spri...
SpringSecurity框架跳过加密步骤直接验证用户密码
快敲代码去
06-29 4445
程序内获取到用户的username和password,构造User对象,框架自动对密码进行加密然后和数据库中的密码作比较,得出结果。如果这里的密码是密文(直接从数据库中获得),那么你在构造User对象的时候,框架会再加密一遍,这样和库中密码匹配的时候肯定是错误的。在password字段前添加即可,这样后面会直接使用你传入的密码(不会再次加密)进行操作。......
spring boot 引入Security 免密登陆设置
weixin_41346864的博客
11-02 5262
spring boot 引入Security 免密登陆设置 在启动类上添加 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class })
若依 关于 springsecurity 不用密码登录,自定义第三方登录、免登录
u012943721的博客
08-29 4571
用的是若依的前后端分离的版本,项目接口是给小程序用 openid 直接免登录。他这是根据用户名和密码进行比对、由于密码没办法转换成明文。只能改成如下方法免登录。
本地调试跳过Spring Security权限校验
最新发布
努力搬砖,顶峰相见
05-21 219
项目中使用安全框架,例如使用Spring Security进行安全校验。但是在日常开发中,本地接口调试还要拿取token才能进行接口访问,并且token还会过期,总不能每次都去登录拿取token才能调试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。下面就是如何暂时规避掉安全校验,方便我们的本地测试。
spring security单点登录跳过密码验证
weixin_43082983的博客
10-27 8394
spring security单点登录跳过密码验证
oauth2实现免登录(springSecurity
热门推荐
qq_38526245的博客
07-21 1万+
代码怎么写,原理等请参考阮一峰博客 四种模式都讲的非常清楚,这里我就我遇到的问题做个记录 什么用户存入数据库,客户端信息持久化,access_token存入redis等问题网上都可以搜到 我所遇到的问题 在获取code的时候,也就是 /oauth/authorize 接口(在AuthorizationEndpoint类中) User must be authenticated with Spring Security before authorization can be completed. 这是没有登
SpringSecurity(三):基于数据库的记住我(免密登陆)
qq_39198749的博客
11-12 1586
1. 基于数据库的免密登陆实现 1.1 创建表 CREATE TABLE `persistent_logins` ( `username` varchar(64) NOT NULL, `series` varchar(64) NOT NULL, `token` varchar(64) NOT NULL, `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KEY
springboot2.0 security 免登录
liu_xue_xue的专栏
06-22 3966
由于业务需要支持关闭了security验证,无需登录成功访问请求 主要实现方式如下: 第一种:在启动类上或者任意@Configure配置类上,移除默认自动启动的安全策略 @EnableAutoConfiguration(exclude = {SecurityAutoConfiguration.class}) @SpringBootApplication public class XxlJobAdminApplication { public static void main(String[] a
APP后台 无密码登录 Security 认证流程思路
AKALXH的博客
07-27 3115
APP后台 无密码登录 Security 认证流程思路 后台使用spring security,但是app端显然不能使用像web端登录那样的处理方式,所以如何"骗过"spring security",下面介绍app接入短信登录与一键登录后的 security认证流程。 基本流程(伪代码展示) : //短信登录 public Object SMSLogin(忽略信息参数){ // 构建一个由账号密码组成的认证对象,在这个构造器内部会将对应的信息赋值给各自的本地变量,并且会调用父类Abstrac.
vue+druid+springboot+security中druid免密码登录
jjsmida1的博客
05-22 1341
看到网上的博客,多数是需要将登录页面下载下来,通过拦截器拦截请求,修改请求相应,设置返回码为307,再设置重定向的登录url带上账号和密码。最近需要将druid整合入后台管理系统,如果每次查看都要键入账号密码就太麻烦了,所以需要做druid的免密码登录。3.vue接受请求的账号和密码,请求/druid/submitLogin接口,带上账号和密码,就可以登录。因为我是用的是vue做前端,所以这样的方式是行不通的。2.拦截器拦截druid,同时返回登录druid的账号和密码。
SpringSecurity之注销登录
xkshihaoren的博客
12-02 813
1. 默认logout spring security在我们配置HttpSecurity的时候就已经默认注册了一个logoutHandler,其路由为/logout,用户可以访问该路由来安全地注销其登录状态,比如session失效、清空remember-me的cookie、清除SecurityContextHandler等等。 2.自定义logout http..... .logout()...
springSecurity去掉登录
qq_36939013的博客
07-09 2232
package com.swcote; import com.swcote.people.resource.springboot.BasicSecurityConfigOverrider; import org.apache.ibatis.annotations.Mapper; import org.mybatis.spring.annotation.MapperScan; import org.springframework.boot.SpringApplication; import org.spri
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring SecurityJava应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
Spring Security 表单登录功能的实现方法
08-25
Spring Security 表单登录功能的实现方法 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。其中,表单登录是最常用的身份验证机制之一。本文将详细介绍 Spring Security 表单...
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
Spring security登录过程逻辑详解
08-19
Spring Security 登录过程逻辑详解 Spring Security 是一个广泛使用的 Java 安全框架,提供了完善的身份验证和授权机制。本文将详细介绍 Spring Security 登录过程的逻辑,通过示例代码对登录过程进行了详细的讲解...
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
SpringSecurity+JWT单点登录,跳过密码校验】
m0_44976351的博客
05-15 1676
https://blog.csdn.net/z69183787/article/details/113717614
springsecurity免密登录
09-02
Spring Security中,实现免密登录的一种常见方式是通过自定义认证提供程序(AuthenticationProvider)来实现。认证提供程序是Spring Security用于验证用户身份的组件之一。它负责根据用户提供的用户名和密码进行身份验证,并返回一个认证成功的Authentication对象。 要实现免密登录,可以在认证提供程序中根据业务需求自定义认证逻辑。通常情况下,可以在认证提供程序的authenticate()方法中,判断用户是否需要免密登录,并根据用户的身份信息创建一个认证成功的Authentication对象。 在实现过程中,可以参考以下步骤: 1. 创建一个自定义的认证提供程序类,继承AbstractUserDetailsAuthenticationProvider并实现其authenticate()方法。 2. 在authenticate()方法中,根据业务需求判断用户是否需要免密登录,例如可以通过检查请求参数或用户信息来确定。 3. 如果用户需要免密登录,可以根据用户的身份信息创建一个认证成功的Authentication对象,并返回该对象。 4. 如果用户不需要免密登录,或者身份验证失败,可以抛出相应的异常,例如BadCredentialsException。 通过这种方式,就可以实现springsecurity免密登录功能。引用对于身份验证提供程序(AuthenticationProvider)的介绍可以提供更详细的内容。引用和引用则提供了关于密码加密和解码的相关信息,这些知识对于实现安全的免密登录也是非常重要的。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [spring security单点登录跳过密码验证](https://blog.csdn.net/weixin_43082983/article/details/127259873)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值