SpringSecurity笔记2-自定义认证

最新推荐文章于 2024-05-01 02:21:20 发布
最新推荐文章于 2024-05-01 02:21:20 发布
阅读量16 收藏
点赞数
文章标签: 笔记 java oracle 开发语言 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41872381/article/details/133000098
版权

自定义用户

说明

  • 用户名和密码一般存储于数据库中,表单输入的用户名和密码与数据库查询出来的用户名和密码进行比对
  • 以下例子为SpringSecurity5.x

实现UserDetailsService接口

@Service
public class UserService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //此处根据用户名在数据库中查找,这里不再查找,直接返回一个org.springframework.security.core.userdetails.User对象(如果是自定义的User类,需要实现UserDetails接口)

        return new User(username,new BCryptPasswordEncoder().encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}
  • AuthorityUtils.commaSeparatedStringToAuthorityList() 方法模拟一个admin的权限,该方法可以将逗号分隔的字符串转换为权限集合(理解)
  • 用户认证流程
    从数据库中查找用户信息,如果为空,则抛出异常,否则返回一个用户对象,再由系统提供的DaoAuthenticationProvider类去比对密码是否正确
  • 如果自己编写User实体类,需要实现UserDetails 接口

编写配置类

@Configuration
public class BrowserSecurity extends WebSecurityConfigurerAdapter {

    //引入自定义UserDetailsService
    @Autowired
    private UserService userService;

    //加密
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //配置内存认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //设置UserDetailsService以及密码规则
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }
}

UserDetails接口简介

自定义User类实现该接口,该接口主要有如下方法

  • getAuthorities():获取当前用户对象的角色信息
  • getPassword(): 获取密码,与用户输入的密码进行比对
  • getUsername: 获取当前用户对象的用户名
  • isAccountNonExpired():当前用户是否未过期,可自定义逻辑判断,如果返回false,会抛出AccountExpiredException
  • isAccountNonLocked() :当前用户是否未锁定,可自定义逻辑判断
  • isCredentialsNonExpired(): 当前账户密码是否未过期
  • isEnabled(): 当前账户是否可用

自定义登录页

说明

  • 在表单登录中一般是采用自己的登录页面
  • 需要在SpringSecurity中配置相关设置

一个简单的登录页面

  • resources/static 目录下编写一个登录页面myLogin.html
<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>自定义登录页面登录</title>
</head>
<body>
<form action="/login" method="post">
    <div class="form">
        <h3>账户登录</h3>
        <input type="text" placeholder="用户名" name="username" required="required" /></br>
        <input type="password" placeholder="密码" name="password" required="required" />
        <button type="submit">登录</button>
    </div>
</form>
</body>
</html>

在自定义用户的基础上增加配置

整体配置如下:

@Configuration
public class BrowserSecurity extends WebSecurityConfigurerAdapter {

    //引入自定义UserDetailsService
    @Autowired
    private UserService userService;

    //加密
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //配置内存认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //设置UserDetailsService以及密码规则
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }

    //配置HttpSecurity
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //授权配置
                .antMatchers("/myLogin.html").permitAll().anyRequest().authenticated()
                .and()
                //表单配置
                .formLogin().loginPage("/myLogin.html").loginProcessingUrl("/login")
                .and()
                //默认都会产生一个hiden标签 里面有安全相关的验证 防止请求伪造 这边我们暂时不需要 可禁用掉
                .csrf().disable();
    }
}

结果

除了登录页面可以直接访问,其他请求需要跳转到登录页面完成认证后才可以访问

自定义登录成功和失败

修改表单登录配置

整体配置如下:

@Configuration
public class BrowserSecurity extends WebSecurityConfigurerAdapter {

    //引入自定义UserDetailsService
    @Autowired
    private UserService userService;

    //加密
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //配置内存认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //设置UserDetailsService以及密码规则
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }

    //配置HttpSecurity
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //授权配置
                .antMatchers("/myLogin.html").permitAll().anyRequest().authenticated()
                .and()
                //表单配置
                .formLogin().loginPage("/myLogin.html").loginProcessingUrl("/login")
                .successHandler(new AuthenticationSuccessHandler() {
                    //登录成功返回一段json信息
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        //Authentication authentication 包含用户登录信息
                        String name = authentication.getName();
                        response.setContentType("application/json;charset=utf-8");
                        PrintWriter out = response.getWriter();
                        response.setStatus(200);
                        Map<String,Object> map = new HashMap<>();
                        map.put("status",200);
                        map.put("msg",name);
                        ObjectMapper mapper = new ObjectMapper();
                        out.write(mapper.writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                .failureHandler(new AuthenticationFailureHandler() {
                    //登录失败,根据相关异常返回失败信息
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                        response.setContentType("application/json;charset=utf-8");
                        PrintWriter out = response.getWriter();
                        response.setStatus(401);
                        Map<String,Object> map = new HashMap<>();
                        map.put("status",401);
                        if(e instanceof LockedException){
                            map.put("msg","账户被锁定");
                        }else if(e instanceof BadCredentialsException){
                            map.put("msg","账户名或密码错误");
                        }else if(e instanceof DisabledException){
                            map.put("msg","账户被禁用");
                        }else if(e instanceof AccountExpiredException){
                            map.put("msg","账户已过期");
                        }else if(e instanceof CredentialsExpiredException){
                            map.put("msg","密码已过期");
                        }else{
                            map.put("msg","登录失败");
                        }
                        ObjectMapper mapper = new ObjectMapper();
                        out.write(mapper.writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                .and()
                //默认都会产生一个hiden标签 里面有安全相关的验证 防止请求伪造 这边我们暂时不需要 可禁用掉
                .csrf().disable();
    }
}

也可以自定义类实现接口的方式

  • 成功登录:实现org.springframework.security.web.authentication.AuthenticationSuccessHandler接口的onAuthenticationSuccess方法
@Component
public class MyAuthenticationSucessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(mapper.writeValueAsString(authentication));
    }
}
  • 登录失败: 实现org.springframework.security.web.authentication.AuthenticationFailureHandleronAuthenticationFailure方法
@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                        AuthenticationException exception) throws IOException {
    }
}
  • 之后在配置类中引入
@Autowired
    private MyAuthenticationSucessHandler authenticationSucessHandler;

    @Autowired
    private MyAuthenticationFailureHandler authenticationFailureHandler;
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
	http.formLogin() // 表单登录
			.successHandler(authenticationSucessHandler) // 处理登录成功
			.failureHandler(authenticationFailureHandler) // 处理登录失败 
}

结果

  • 登录成功

  • 登录失败

wubazx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
【编程不良人】SpringSecurity实战学习笔记02---自定义认证
Mr.Cui的Java学习之路
07-21 2872
【编程不良人】SpringSecurity实战学习笔记02---认证原理&自定义认证
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 593
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
Spring Security笔记---基本原理及认证流程
陈汉槟
08-20 473
Spring Security笔记—基本原理及认证流程 文章目录Spring Security笔记---基本原理及认证流程1. 基本原理2.认证流程2.1 流程图2.2 认证源码大致方向2.2 源码详解 1. 基本原理 黄色模块:SecurityContextPersistenceFilter是承接容器的session与spring security的重要filter,主要工作是从sessi...
springsecurity学习笔记-未完
给自己的程序生涯留下一点痕迹
10-26 515
记录一下学习springcurity的过程开发环境:IDEAspring提供的安全管理框架,核心功能是认证,授权认证:验证当前用户是不是本系统注册的用户,识别具体是哪个用户授权:通过认证的用户,需要判断是否具有权限进行某个操作。
Spring Boot整合Spring Security--学习笔记
tigerhhzz的博客
05-08 381
Spring Boot:整合Spring Security(待续中....)
SpringSecurity学习笔记---SpringSecurity简介
qq_39314972的博客
04-06 281
SpringSecurity学习笔记SpringSecurity简介 1.简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。 它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。 和所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求. 2.SpringSecurity对比Shiro Shiro是一个强大而灵活的开源安全框架,能
Spring Security OAuth2笔记系列】- spring security - 自定义用户认证逻辑
代码有毒的博客
08-20 3037
自定义用户认证逻辑 处理用户信息获取逻辑 处理用户校验逻辑 处理密码加密解密 注意!注意! 视频中启动的是demo。而这次要写的代码在security-browser中。 遇到一个问题也就是在 项目结构 一文中最后的 关于依赖项目没有被扫描到的问题; 如果按照笔记走出现了这个问题。就去项目结构中关于”关于依赖项目没有被扫描到的问题”解决 处理用户信息获取逻辑 org.sp...
基于Spring Security实现自定义认证-以短信登录为例
ChiZng的博客
07-05 312
基于Spring Security实现自定义认证-以短信登录为例 《Spring Security实战》、慕课网《Spring Security技术栈开发企业级认证与授权》笔记 实现基于Spring Security认证有两种方式 增加一个过滤器继承OncePerRequestFilter,将这个Filter放到HttpSecurity的合适的位置。(继承OncePerRequestFilter的目的是确保一次请求只通过一次该过滤器) 基于Spring Security自定义认证 方法1的那种过滤器
深入浅出SpringSecurity读书笔记-第二章-SpringSecurity认证-01
qq_31693055的博客
07-21 297
快速入门: 1.引入Spring Security依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dep...
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
SpringSecurity笔记2-SpringSecurity命名空间
03-29
NULL 博文链接:https://springsfeng.iteye.com/blog/1274905
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring Cloud学习笔记(Hystrix):execute,queue,observe,toObservable样例和特性
sinat_38393872的博客
04-29 738
这是本人学习的总结,主要学习资料如下马士兵教育。
公文写作笔记
332295505的博客
04-29 246
最后一行的日期,后边占4个格子。落款单位在日期的正上方。③结尾:简单的总结(字数紧张时,可以省略)②主题:对策(别人做得好,就借鉴)
python学习笔记----函数进阶(七)
最新发布
取个名字太难了a的博客
05-01 539
假设我们正在编写一个购物应用,需要根据不同的促销策略来计算商品的最终价格。我们可以定义几种不同的促销计算函数,然后将这些函数作为参数传递给另一个函数,这个函数负责应用这些促销策略来显示最终价格。
python学习笔记B-13:序列结构之元组--元组的相关操作
datouhaiyu的博客
04-30 312
元组的常用相关操作有:获取最大值、获取最小值、获取元组长度、查询是否包好某元素、获取元素索引值、获取元素数量。
spring-authorization-server自定义认证配置
09-20
关于spring-authorization-server自定义认证配置,我可以回答您的问题。 Spring Authorization Server 是 Spring Security 的一个子项目,它提供了 OAuth 2.0 和 OpenID Connect(OIDC)的认证和授权功能。在使用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值