Spring Security自定义登录与验证

最新推荐文章于 2024-03-20 07:59:40 发布
最新推荐文章于 2024-03-20 07:59:40 发布
阅读量535 收藏 3
点赞数 4
分类专栏: Spring Security 文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42270584/article/details/107906840
版权

Spring Security 核心组件有:

  1. SecurityContext:security安全上下文,通过校验之后,验证信息存储 SecurityContext中。
  2. SecurityContextHolder:存储认证信息。
  3. Authentication:存储当前用户。
  4. UserDetails:用户信息。
  5. AuthenticationManager:作用就是校验Authentication,如果验证失败会抛出AuthenticationException异常。

框架的认证过程:
用户名密码->Authentication(未认证) -> AuthenticationManager->AuthenticationProvider->UserDetailService->UserDetails->Authentication(已认证)

所以步骤大致有:
第一步:我们定义自己的用户信息类 UserInfo 继承UserDetails和Serializable接口

package com.sjh.security;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.UserDetails;

import java.io.Serializable;
import java.util.Collection;

/**
 * 用户信息bean
 */
public class UserInfo implements UserDetails, Serializable{
    private static final long serialVersionUID = 8155405987900665123L;
    private String username;
    private String password;
    private String role;
    private boolean accountNonExpired;
    private boolean accountNonLocked;
    private boolean credentialsNonExpired;
    private boolean enabled;

    public UserInfo(String username, String password, String role, boolean accountNonExpired, boolean accountNonLocked, boolean credentialsNonExpired, boolean enabled) {
        this.username = username;
        this.password = password;
        this.role = role;
        this.accountNonExpired = accountNonExpired;
        this.accountNonLocked = accountNonLocked;
        this.credentialsNonExpired = credentialsNonExpired;
        this.enabled = enabled;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return AuthorityUtils.commaSeparatedStringToAuthorityList(role);
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return accountNonExpired;
    }

    @Override
    public boolean isAccountNonLocked() {
        return accountNonLocked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return credentialsNonExpired;
    }

    @Override
    public boolean isEnabled() {
        return enabled;
    }

    @Override
    public String toString() {
        return "UserInfo{" +
                "username='" + username + '\'' +
                ", password='" + password + '\'' +
                ", role='" + role + '\'' +
                ", accountNonExpired=" + accountNonExpired +
                ", accountNonLocked=" + accountNonLocked +
                ", credentialsNonExpired=" + credentialsNonExpired +
                ", enabled=" + enabled +
                '}';
    }
}

第二步:写一个UserDetailsService接口的实现类来返回这个UserInfo的对象实例

package com.sjh.security;

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

/**
 * 加载用户信息,根据用户名
 */
@Component
public class MyUserDetailsService implements UserDetailsService{
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //这里可以可以通过s(登录时输入的用户名)然后到数据库中找到对应的用户信息,并构建成我们自己的UserInfo来返回。
        if("admin".equals(s)){
            return new UserInfo("admin", "123456", "ROLE_ADMIN", true,true,true, true);
        }
        return null;
    }
}

第三步:实现我们自己的 AuthenticationProvider,新建类 MyAuthenticationProvider 继承AuthenticationProvider

package com.sjh.security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Component;

import java.util.Collection;

/**
 *验证登录
 */
@Component
public class MyAuthenticationProvider implements AuthenticationProvider {
    //注入自己的UserDetailsService
    @Autowired
    private MyUserDetailsService myUserDetailsService;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String userName = authentication.getName();// 这个获取表单输入中返回的用户名;
        System.out.println(userName);
        String password = (String) authentication.getCredentials();// 这个是表单中输入的密码;
        UserInfo userInfo = (UserInfo) myUserDetailsService.loadUserByUsername(userName);
        if(userInfo==null){
            throw new BadCredentialsException("用户名不存在");
        }
        if (!userInfo.getPassword().equals(password)) {
            throw new BadCredentialsException("密码不正确");
        }
        Collection<? extends GrantedAuthority> authorities = userInfo.getAuthorities();
        // 构建返回的用户登录成功的token
        return new UsernamePasswordAuthenticationToken(userInfo, password, authorities);
    }

    @Override
    public boolean supports(Class<?> aClass) {
        // 支持执行
        return true;
    }
}

第四步: 自定义登录成功和失败的处理逻辑( 分别继承SavedRequestAwareAuthenticationSuccessHandler和SimpleUrlAuthenticationFailureHandler2个类,并重写其中的部分方法即可。)

package com.sjh.security;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * 登录成功
 */
@Component
public class MySavedRequestAwareAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
    @Autowired
    private ObjectMapper objectMapper;
    private Logger logger = LoggerFactory.getLogger(getClass());
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {
        //什么都不做的话,直接调用父类的方法
        super.onAuthenticationSuccess(request, response, authentication);
        //如果是返回json格式,那么我们这么写
//        logger.info("登录成功");
//        Map<String,String> map=new HashMap<>();
//        map.put("code", "200");
//        map.put("msg", "登录成功");
//        response.setContentType("application/json;charset=UTF-8");
//        response.getWriter().write(objectMapper.writeValueAsString(map));

}

package com.sjh.security;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
 * 登录失败
 */
@Component
public class MySimpleUrlAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
    @Autowired
    private ObjectMapper objectMapper;
    private Logger logger = LoggerFactory.getLogger(getClass());

    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        logger.info("登录失败");
        //以Json格式返回
        Map<String,String> map=new HashMap<>();
        map.put("code", "201");
        map.put("msg", "登录失败");
        response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        response.getWriter().write(objectMapper.writeValueAsString(map));
    }

}

RBAC(role-Based-access control)权限控制
  一个是用户,一个是角色 ,一个是资源(菜单,按钮),其中用户和角色关联,角色和资源关联

/**
* 根据登录的用户,添加权限
*/
@Component("rbacService")
public class RbacServiceImpl implements RbacService{
private AntPathMatcher antPathMatcher = new AntPathMatcher();
@Override
public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
    Object principal = authentication.getPrincipal();
    boolean hasPermission = false;
    if (principal instanceof UserDetails) { //首先判断先当前用户是否是我们UserDetails对象。
        String userName = ((UserDetails) principal).getUsername();
        Set<String> urls = new HashSet<>(); // 数据库读取 //读取用户所拥有权限的所有URL
        urls.add("/admin/aaa");
        urls.add("/user/getusersbyid");
        // 注意这里不能用equal来判断,因为有些URL是有参数的,所以要用AntPathMatcher来比较
        for (String url : urls) {
            if (antPathMatcher.match(url, request.getRequestURI())) {
               hasPermission = true;
               break;
            }
        }
    }
    return hasPermission;
 }

配置

package com.sjh.security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;

/**
 * 配置类
 */
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Autowired
    private AuthenticationProvider provider;
    @Autowired
    private MySavedRequestAwareAuthenticationSuccessHandler mySavedRequestAwareAuthenticationSuccessHandler;
    @Autowired
    private MySimpleUrlAuthenticationFailureHandler mySimpleUrlAuthenticationFailureHandler;
    @Autowired
    private DataSource dataSource;

    /**
     * 密码的加密
     * @return
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 添加用户以及用户的权限
     *
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        auth
//            .inMemoryAuthentication()
//            .withUser("admin") // 管理员,同事具有 ADMIN,USER权限,可以访问所有资源
//            .password(passwordEncoder().encode("123"))
//            .roles("ADMIN", "USER")
//            .and()
//            .withUser("user1")
//            .password(passwordEncoder().encode("123")) // 普通用户,只能访问
//            .roles("USER");
        auth.authenticationProvider(provider);
    }

    /**
     * authorizeRequests() 定义哪些URL需要被保护、哪些不需要被保护。
     * formLogin() 定义当需要用户登录时候,转到的登录页面。
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .formLogin()
                .loginPage("/login")
                .loginProcessingUrl("/login/form")
//                .failureUrl("/login-error")
                .successHandler(mySavedRequestAwareAuthenticationSuccessHandler)
                .failureHandler(mySimpleUrlAuthenticationFailureHandler)
                .permitAll()  //表单登录,permitAll()表示这个不需要验证
                .and()
                .authorizeRequests()
                .anyRequest().access("@rbacService.hasPermission(request,authentication)")
                .and()
                .csrf().disable();
//                .antMatchers("/user/**").hasRole("USER")
//                .antMatchers("/admin/**").hasRole("ADMIN")
//                .anyRequest().authenticated()

    }

    /**
     *忽略拦截
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
//        web.ignoring().antMatchers("/admin/aaa");
    }
}

页面
  页面的目录
在这里插入图片描述
userlogin.html如下:

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8" />
    <title>登录</title>
</head>
<body>
<div class="container">
    <form method="post" action="/login/form">
        <h2>Please sign in</h2>
        <p>
            <label>Username</label>
            <input type="text" name="username"  placeholder="请输入用户名"/>
        </p>
        <p>
            <label>Password</label>
            <input type="password" name="password"  class="form-control" placeholder="请输入密码" />
        </p>
        <button type="submit">登录</button>
    </form>
</div>
</body>
</html>

控制类

package com.sjh.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;


@Controller
public class LoginController {

    @GetMapping("/login")
    public String login() {
        return "userlogin";
    }
    
//    @GetMapping("/login/form")
//    @ResponseBody
//    public String loginfrom() {
//        return "sssss";
//    }

//    @RequestMapping("/login-error")
//    public String loginError(){
//        return "login-error";
//    }
}
菩提树下吃烧鸡
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解析SpringSecurity自定义登录验证成功与失败的结果处理问题
08-25
主要介绍了SpringSecurity系列之自定义登录验证成功与失败的结果处理问题,本文通过实例给大家讲解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
spring security登录验证(方式一)
qq_44322586的博客
07-12 912
直接写死用户名和密码,也不需要创建用户表 调用结果 点击下面的cookies会发现,token默认存到了浏览器的缓存里。 这种方式比较简单,适合一个项目需要一个登录入口,但用户不能创建账号,只能有开发人员决定用户的信息,一个或者几个用户信息直接写死正在程序里。...
java spring登录验证_详解使用Spring Security进行自动登录验证
weixin_39658900的博客
02-13 537
在之前的博客使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法 中,我们描述了如何配置一个基于SpringMVC、SpringSecurity框架的网站系统。在这篇博客中,我们将继续描述如何使用Spring Security进行登录验证。总结一下Spring Security登录验证关键步骤:1、在数据库中建好三张表,即users、authoriti...
SpringSecurity实现自定义登录界面,阿里大牛亲手操刀微服务架构实战
最新发布
m0_57540801的博客
03-20 511
上面我们在账号和角色都正确的情况下,登录后出现了 403错误,原因是因为 csrf过滤器拦截了,那为什么系统提供的登录界面没问题呢?过滤器实现了认证功能,但是系统将面临csrf攻击的风险,所以我们需要放开服务,同时也要能够完成认证。在系统提供的登录表单中隐藏的有csrf相关的信息。login-processing-url="/login" security中处理登录的请求。同样的系统的 js css 等静态资源文件也会被对应的过滤器拦截,所以也需要方法。会使登录界面不可访问,所以我们需要方法。
Spring Security自定义身份验证
xujj的博客
04-21 403
想要在Spring Security自定义身份验证时,可以实现自定义自定义。@Overrideauth方式一方式二在AuthenticationProvider中,可以检查用户名和密码,并返回包含自定义对象的。在中,只获得用户名,当返回自定义UserDeatails时,框架会对密码进行检查。
springsecurity实现MD5验证用户登录
wanderlustLee的博客
02-26 5952
首先需要引入MD5的jar包中的类。 import org.springframework.security.authentication.encoding.Md5PasswordEncoder; 最新的springboot导入的springsecurity的jar包里面没有这个类,所以需要手动导入或者自己重写pom.xml导入低的springsecurity版本。 手动导入的jar包下载...
Spring Security 之用户名/密码 认证
console的博客
05-06 2177
验证用户身份的最常见方法之一是验证用户名和密码,Spring Security提供了很多内置机制来从HttpServletReques读取用户名和密码:
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了Spring Security验证流程剖析及自定义验证方法,需要的朋友可以参考下
自定义Spring Security的身份验证失败处理方法
08-25
在本篇文章里小编给大家整理了一篇关于自定义Spring Security的身份验证失败的处理方法,有需要的朋友们学习下。
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
Spring Boot中整合Spring Security自定义验证代码实例
08-30
本篇文章主要介绍了Spring Boot中整合Spring Security自定义验证代码实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Spring Boot 2.x实战78 - Spring Security 2 - Spring Security的认证(Authentication
汪云飞记录本
06-18 1429
1.3 Authentication Spring Security为我们提供了一个专门的org.springframework.security.core.Authentication接口来代表认证;它最常用的实现类有UsernamePasswordAuthenticationToken。 一旦请求被认证后,Authentication对象就会自动存储在由SecurityContextHolder管理的SecurityContext中。 认证的原理通过下面类的处理顺序来进行的: FilterChain
org.springframework.security.authentication.BadCredentialsException: Bad credentials
ginger_mr的博客
08-11 1045
在使用springsecurity框架做登录功能时,出现这种错是因为我在登陆的时候,使用了加密在登录时使用加密其实是完全错误的,只有在添加用户时才使用加密。去掉登录中的加密就解决问题了。
SpringSecurity自定义密码验证规则
qq_40068304的博客
01-26 5246
1.创建MyAuthenticationProvider类,自定义密码验证规则 import com.yl.entity.User; import com.yl.security.AccountUser; import com.yl.service.UserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.A
org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:201) ~
weixin_44337267的博客
04-05 798
问题出现在 public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } 重写bean 而不是重写 authenticationManage public AuthenticationManager authenticationManager() throws Exception { return super.authenticat
org.springframework.security.authentication.InternalAuthenticationServiceException
weixin_51146698的博客
03-22 9434
错误:org.springframework.security.authentication.InternalAuthenticationServiceException: Invalid bound statement (not found): com.fish.Mapper.UserMapper.selectUserByUsername 原因找不到xxxMapper.xml配置文件 解决:在配置文件中加入你的配置文件的地址 ...
org.springframework.security.userdetails.memory.InMemoryDaoImpl安全配置
mail1239的专栏
12-28 1105
初级的文件如下配置http://www.springframework.org/schema/security"    xmlns:beans="http://www.springframework.org/schema/beans"    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    xsi:schemaLocation="
spring security异常记录:org.springframework.security.access.AccessDeniedException: Access is denied
热门推荐
qq_56769991的博客
02-11 2万+
最近在做ssm项目的时候用到spring security时遇到了异常,如下所示: 15:06:28,144 DEBUG FilterSecurityInterceptor:348 - Previously Authenticated: org.springframework.security.authentication.AnonymousAuthenticationToken@52dd6d71: Principal: anonymousUser; Credentials: [PROTECTED]; .
springsecurity自定义登录 运行时验证流程
05-20
Spring Security 自定义登录的运行时验证流程如下: 1. 用户提交登录请求,浏览器将用户名和密码发送到后台服务端。 2. 后台服务端通过过滤器(如 UsernamePasswordAuthenticationFilter)拦截该请求,获取用户名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值