关于ruoyi的springsecurity的登录

最新推荐文章于 2024-05-14 02:17:01 发布
最新推荐文章于 2024-05-14 02:17:01 发布
阅读量1.8k 收藏 4
点赞数 4
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42265487/article/details/115199462
版权

1、前端或小程序调用/login 来调用接口。

  /**
     * 登录验证
     *
     * @param username 用户名
     * @param password 密码
     * @return 结果
     */
    public String login(String username, String password) {
        // 用户验证
        Authentication authentication;
        try {
            authentication = login(new DecorationAuthenticationToken(username, password));
            decorationDetailsService.loadUserByUsername(username);
        } catch (Exception e) {
            if (e instanceof BadCredentialsException) {
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
                throw new UserPasswordNotMatchException();
            } else {
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
                throw new CustomException(e.getMessage());
            }
        }
        AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
        LoginUser decorationUser = (LoginUser) authentication.getPrincipal();
        decorationUser.getDecoration().setPassword(password);
        tokenService.setLoginUser(decorationUser);
        // 生成token
        return tokenService.createToken(decorationUser);
    }

    /**
     * 校验账号密码并进行登陆
     *
     * @param upToken
     */
    private Authentication login(UsernamePasswordAuthenticationToken upToken) {
        //验证
        Authentication authentication = authenticationManager.authenticate(upToken);
        //将用户信息保存到SecurityContextHolder=登陆
        SecurityContextHolder.getContext().setAuthentication(authentication);
        return authentication;
    }

2、首先我这个登录是不需要验证码的,只需要username 和 password都对应得上就可,而且我的password是通过
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
passwordEncoder.encode(password)
进行加密的
3、登录进来是需要对username和password进行验证
Authentication authentication = authenticationManager.authenticate(upToken);
这个方法会找到authenticationManager(认证管理器)的实现类 ProviderManager
4、ProviderManager下的authenticate.(upToken)方法下的
result = provider.authenticate(authentication);
provider是List 是认证提供者
AuthenticationProvider:解释一下认证提供者
认证是由 AuthenticationManager 来管理的,但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider。AuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentication-provider 元素来定义一个 AuthenticationProvider 时,如果没有指定对应关联的 AuthenticationProvider 对象,Spring Security 默认会使用 DaoAuthenticationProvider。DaoAuthenticationProvider 在进行认证的时候需要一个 UserDetailsService 来获取用户的信息 UserDetails,其中包括用户名、密码和所拥有的权限等。所以如果我们需要改变认证的方式,我们可以实现自己的 AuthenticationProvider;如果需要改变认证的用户信息来源,我们可以实现 UserDetailsService。
————————————————
版权声明:本文为CSDN博主「lifeifei2010」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/lifeifei2010/article/details/78787558
5、AuthenticationProvider下的认证方法 authenticate()
这时会去调用AbstractUserDetailsAuthenticationProvider这个实现类下的authenticate()
之后会走到
user = retrieveUser(username,
(UsernamePasswordAuthenticationToken) authentication);
这个user是UserDetails 是最终返回的对象,对象里就包括了用户名,密码和所拥有的权限
UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
最终会调用我们自己去实现的接口UserDetails loadUserByUsername(String username)
在这里插入图片描述
比如我这个是一个装修公司端的登录,那么我这个类就继承了UserDetailsService的loadUserByUsername 然后在这里面进行账号密码的判断, 前端传过来的密码是明文的,在调用这个方法之前会使用内置的 PasswordEncoder
通常我们保存的密码都不会像之前介绍的那样,保存的明文,而是加密之后的结果。为此,我们的 AuthenticationProvider 在做认证时也需要将传递的明文密码使用对应的算法加密后再与保存好的密码做比较。Spring Security 对这方面也有支持。通过在 authentication-provider 下定义一个 password-encoder 我们可以定义当前 AuthenticationProvider 需要在进行认证时需要使用的 password-encoder。
从而进行验证。
6、然后我们返回到最开始的login的方法下
SecurityContextHolder.getContext().setAuthentication(authentication);
SecurityContextHolder:
作用:保留系统当前的安全上下文细节,其中就包括当前使用系统的用户信息。
每个用户都有自己的SecurityContext,存储在一个SecurityContextHolder中,整个应用就一个SecurityContextHolder。

/**
     * 获取用户
     **/
    public static LoginUser getLoginUser()
    {
        try
        {
            return (LoginUser) getAuthentication().getPrincipal();
        }
        catch (Exception e)
        {
            throw new CustomException("获取用户信息异常", HttpStatus.UNAUTHORIZED);
        }
    }

    /**
     * 获取Authentication
     */
    public static Authentication getAuthentication()
    {
        return SecurityContextHolder.getContext().getAuthentication();
    }

这样就能获取到用户登录的信息。
6、

tokenService.setLoginUser(decorationUser);
        // 生成token
        return tokenService.createToken(decorationUser);

因为这个方法最终是返回一个token回去给前端,返回的信息有用户名和密码和权限

 /**
     * 创建令牌
     *
     * @param loginUser 用户信息
     * @return 令牌
     */
    public String createToken(LoginUser loginUser)
    {
        String token = IdUtils.fastUUID();
        loginUser.setToken(token);
        setUserAgent(loginUser); //设置用户代理信息
        refreshToken(loginUser); //刷新令牌有效期

        Map<String, Object> claims = new HashMap<>();
        claims.put(Constants.LOGIN_USER_KEY, token);
        return createToken(claims); 
    }
     /**
     * 从数据声明生成令牌
     *
     * @param claims 数据声明
     * @return 令牌
     */
    private String createToken(Map<String, Object> claims)
    {
        String token = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.HS512, secret).compact();
        return token;
    }

最后:这是登录的大概,最终返回token给前端。解释不好的地方请各位看到这篇文章的大佬们指出。
补充信息:
Authenticatioin中包含了如下信息:
Authorities用户权限集合:可用于访问受保护资源时的权限验证
Credentials:证明委托人的凭据是正确的。这通常是一个密码,但可以是与Authentication Manager相关的任何内容。调用者被期望填充凭证。
Details细节:存储有关身份验证请求的其他详细信息。这些可能是ip地址、证书序列号等。
Pirncipal:被认证主体的身份。对于具有用户名和密码的authentication request,这就是用户名。调用者将填充身份验证请求的主体。Authentication Manager实现通常会返回一个包含丰富信息的身份验证,作为应用程序使用的主体。许多身份验证提供者将创建一个UserDetails对象作为主体。
isAuthenticated:是否已认证成功。
————————————————
版权声明:本文为CSDN博主「lifeifei2010」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/lifeifei2010/article/details/78787558

czmczmczmzm
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Ruoyi框架学习笔记--Spring Security
qq_39367410的博客
09-06 1059
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架
RuoYi若依源码分析1 - security
delete_you的博客
11-01 792
分析ruoyi源码,采取版本为springboot+vue前后端分离
2024年大数据最新若依实现第三方登录,史上最全保姆级教程_若依第三方登录(1),2024年最新原理解析
最新发布
2301_78399616的博客
05-14 897
VALUES (109,1,‘未绑定’,‘0’,‘user_third_status’,NULL,‘danger’,‘N’,‘0’,‘plat’,‘2023-07-07 11:24:37’,‘plat’,‘2023-07-07 11:25:08’,NULL);VALUES (108,0,‘已绑定’,‘1’,‘user_third_status’,NULL,‘success’,‘N’,‘0’,‘plat’,‘2023-07-07 11:24:00’,‘’,NULL,NULL);important;
ruoyi基于spring security鉴权
qq_45770147的博客
01-30 311
spring security 基于方法的鉴权。
若依(ruoyi)spring security配置详解
qq_50665031的博客
08-19 6338
若依(ruoyi)spring security配置详解 SecurityConfig /** * spring security配置 * * @author ruoyi */ //@EnableGlobalMethodSecurity(prePostEnabled=true) // 开启基于方法的安全认证机制,也就是说在web层的controller启用注解机制的安全确认,而securedEnabled // 确定是否应该启用Spring Security的安全注释。 // 返回值: 如果应该启用
ruoyi若依框架SpringSecurity实现分析
m0_63837020的博客
02-06 2206
分析一下ruoyi-vue若依中是如何实现认证授权的。在ruoyi-vue若依框架中使用到了SpringSecurity作为认证授权的技术栈。
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
spring security + oauth 2.0 实现单点登录、认证授权
06-26
Spring Security和OAuth 2.0是两个在Web应用安全领域广泛应用的框架,它们结合使用可以构建强大的单点登录(SSO)和认证授权系统。在这个系统中,`xp-sso-server`代表了认证服务器,而`xp-sso-client-a`和`xp-sso-...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
利用spring security控制同一个用户只能一次登陆
04-21
标题中的“利用Spring Security控制同一个用户只能一次登录”是指在基于Spring Security的Web应用程序中实现单点登录(Single Sign-On, SSO)的功能,确保同一时间只有一个设备或浏览器会话可以登录同一用户的账户。...
ruoyi-vue-pro:基于SpringBoot,Spring Security,JWT,Vue&Element的前一次分离权限管理系统
03-06
权限认证使用Spring Security&Token,支持多终端认证系统。支持加载动态权限菜单,多方式轻松权限控制。高效率开发,使用代码生成器可以一键生成前的代码。内置功能具备三种内置功能:系统功能基础设施研发工具系统...
Spring Security的用户登录和权限配置
yuanyuneixin1的专栏
05-31 1161
这篇博客可以让我们了解到,如何将用户的登录信息(用户名、密码和角色)放入内存中,并配置不同的角色可以访问不同的路径 配置用户名、密码和角色 我们只需要重写WebSecurityConfigurerAdapter的userDetailsService()方法即可 @Bean protected UserDetailsService userDetailsService() { InMemoryUserDetailsManager manager = new InMemoryUserDetailsM
ruoyi-vue版本(十三)若依项目里面,spring security 框架的使用
一天不写代码难受的博客
01-20 2599
若依
010-若依pro(ruoyi-vue-pro)的security 模块学习
RichardHLee的博客
09-03 739
config: 用来配置安全相关的权限等core: 一些安全的业务逻辑META-INF: 配置spring的自动import类学习流程org.springframework.boot.autoconfigure.AutoConfiguration.imports 知道自动导包的类cn.iocoder.yudao.framework.security.config.YudaoSecurityAutoConfiguration 这个看注释, 知道有什么类被注入。
若依前后端分离密码修改成功,登录提示用户名或密码不正确。
猿小白的博客
07-04 5365
这是因为若依框架在密码校验过程中会对密码长度进行校验,如果你输入密码长度小于设置的阈值或大于设置的阈值,那么就会提示:用户名或密码不正确。找到框架目录下的文件:RuoYi-Vue\ruoyi-common\src\main\java\com\ruoyi\common\constant\UserConstants.java 将密码长度限制,改成你需要的限制范围即可解决此问题。............
spring security Ⅲ—— authenticationManager.authenticate()验证流程
qq_45947664的博客
10-14 9608
进入provider.authenticate(authentication)方法后发现我们到了AbstractUserDetailsAuthenticationProvider类,而这个方法的返回值需要需要依赖user,要获取这个user,咱又不得不进入retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication) 这个方法。在得到这个user之后才能进行下一步。
若依启动后登陆报错,用户名或者密码错误
m0_65663283的博客
10-12 1736
若报这个错误说明你在执行sql语句的时候报错了,sys_user表里没有数据,你重新把表删除,然后执行下sql语句就行。数据库表里面要有这个数据。
若依RuoYi框架浅析 基础篇⑥——authenticate密码加密校验
小康师兄
02-17 7316
若依RuoYi框架浅析 基础篇⑥——authenticate密码加密校验
若依框架解读(前后端分离版)—— 1.Spring Security相关配置(@Anonymous注解)
hwp_ing的博客
11-26 7964
可以看到这里实现了InitializingBean()接口,然后重写当中的afterPropertiesSet()方法,同时该类加上了@Configuration注解。我们可以了解到在项目启动后,会把所有加上@Anonymous注解的路径放入了urls集合,并且在配置类当中进行了配置。首先查看Security配置类SecurityConfig,如果我们想要放行自己写的接口是可以在此配置,也可以加上@Anonymous注解。因此我们才能在SecurityUtils工具了方便的在需要的地方获取用户信息。
ruoyi-vue版本 spring security
08-23
RuoYi-Vue的版本采用了Spring Security来进行权限认证。 Spring Security是一个强大且广泛使用的安全框架,它提供了一套全面的认证和授权机制,可以确保系统只有经过身份验证的用户才能访问受保护的资源。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值