Spring Security 三 Spring Security 配置

最新推荐文章于 2023-05-18 17:12:04 发布
最新推荐文章于 2023-05-18 17:12:04 发布
阅读量797 收藏 2
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43172297/article/details/118417845
版权

Spring Security 配置

前言

hello world 程序示例中,通过集成了spring security的jar包后,编写了一个hello接口,此时通过测试发现,hello接口已经被保护了,需要进行登录认证才能访问。那么用户名和密码是在哪生成的呢?

一、UserDetailsServiceAutoConfiguration

通过控制台的日志,可以看到输出的随机密码是由UserDetailsServiceAutoConfiguration配置类生成的。
源码如下:

@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(AuthenticationManager.class)
@ConditionalOnBean(ObjectPostProcessor.class)
@ConditionalOnMissingBean(
		value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class },
		type = { "org.springframework.security.oauth2.jwt.JwtDecoder",
				"org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector" })
public class UserDetailsServiceAutoConfiguration {

	private static final String NOOP_PASSWORD_PREFIX = "{noop}";

	private static final Pattern PASSWORD_ALGORITHM_PATTERN = Pattern.compile("^\\{.+}.*$");

	private static final Log logger = LogFactory.getLog(UserDetailsServiceAutoConfiguration.class);

	@Bean
	@ConditionalOnMissingBean(
			type = "org.springframework.security.oauth2.client.registration.ClientRegistrationRepository")
	@Lazy
	public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties,
			ObjectProvider<PasswordEncoder> passwordEncoder) {
		SecurityProperties.User user = properties.getUser();
		List<String> roles = user.getRoles();
		return new InMemoryUserDetailsManager(
				User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
						.roles(StringUtils.toStringArray(roles)).build());
	}

	private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
		String password = user.getPassword();
		if (user.isPasswordGenerated()) {
			logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
		}
		if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
			return password;
		}
		return NOOP_PASSWORD_PREFIX + password;
	}

}

User的源码如下:

public static class User {

		/**
		 * Default user name.
		 */
		private String name = "user";

		/**
		 * Password for the default user name.
		 */
		private String password = UUID.randomUUID().toString();

		/**
		 * Granted roles for the default user name.
		 */
		private List<String> roles = new ArrayList<>();

		private boolean passwordGenerated = true;

		public void setPassword(String password) {
			if (!StringUtils.hasLength(password)) {
				return;
			}
			this.passwordGenerated = false;
			this.password = password;
		}

	}

通过源码发现,UserDetailsServiceAutoConfiguration配置类添加具有默认用户和生成密码的InMemoryUserDetailsManager 。 这可以通过提供AuthenticationManager 、 AuthenticationProvider或UserDetailsService类型的 bean 来禁用。获取的User类为SecurityProperties的内置类,可通过配置进行赋值。User的默认用户名为 user,默认的密码为UUID.randomUUID().toString() 生成的随机密码。

二、自定义UserDetailsManager

1.InMemoryUserDetailsManager

通过UserDetailsServiceAutoConfiguration配置类,可以看到使用了InMemoryUserDetailsManager。通过查看InMemoryUserDetailsManager源码,可以看到InMemoryUserDetailsManager实现了UserDetailsManager, UserDetailsPasswordService两个接口。

public class InMemoryUserDetailsManager implements UserDetailsManager, UserDetailsPasswordService {

其中UserDetailsPasswordService定义了一个修改密码的接口:

	UserDetails updatePassword(UserDetails user, String newPassword);

再看UserDetailsManager接口,此接口继承了
UserDetailsService,是UserDetailsService的一个拓展接口。而通过UserDetailsServiceAutoConfiguration的@Conditional系列注解,我们可以知道,通过提供UserDetailsService类型的bean,可以禁用自动配置。

2.UserDetailsManager

创建自定义UserDetailsManager

  @Bean
    public UserDetailsManager userDetailsManager() {
        return new UserDetailsManager() {
      		// 为了测试方便,其他的方法 直接空实现
            @Override
            public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
                return new User("damon","{noop}1234", Collections.emptyList());
            }
        };
    }

通过loadUserByUsername方法可以看到,传入用户名,返回UserDetails。UserDetails是一个spring security定义的用户抽象接口,包含用户名,密码,权限集合等属性。框架的内部实现类,有一个User类,通过构造函数返回User类,也可以自定义UserDetails的实现类,来扩展手机号,邮箱等字段。在 Spring Security 5.0 之前,默认的 PasswordEncoder 是 NoOpPasswordEncoder,而现在默认是BCryptPasswordEncoder,此时我们设置密码时,需要加上{noop}前缀。来告诉框架此用户使用的是纯文本密码。

3. 再次启动,登录

再次启动程序后,我们会发现控制台已经没有了随机密码的输出日志。证明了我们自定义的UserDetailsManager生效了,切关闭了默认的配置类。
此时访问 hello 接口,弹出认证表单,输入配置的用户名和密码,正常返回 hello world

总结

若想通过用数据库的方式来实现用户的管理,只需要在查询用户的逻辑改成通过调用数据库即可。

Damon_0411
关注
专栏目录
<Spring Security3>入门级详细配置
ydj7501603的专栏
06-07 1万+
很早之前就听说了Spring Security, 但是一直没时间,最近花了几天时间试验了,感觉确实挺方便的。 研究过程中,虽然碰到了一些问题,但是最后还是解决了。 由于还没有研究源码,此篇文章入门使用。 我写这篇文章参考了 http://blog.csdn.net/k10509806/article/details/6369131 这是我使用的表结构 表名:RESOURCE 解释:资
Spring Security3配置使用
白强
07-30 294
  使用Spring Security3的几种方法概述       一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过。       二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现。       种我使用的是第种 第种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自...
spring security3 demo配置分析
caozuiba
02-29 177
在源码分析之前补充了一些知识,详见上篇文章的转载,我感觉比较有用。 下面是servlet的加载顺序。 web.xml 中 对象的加载顺序为:先 listener &gt;&gt; filter &gt;&gt; servlet &gt;&gt; springspring security demo例子中,所有的配置文件有几个: 1、web.xml 这个是web项目的标准配置文件...
主题:spring-security3 配置和使用.
12-14 982
刚才想发到论坛来的.. 结果使用的是chrome打完字没注意就点了发布.. T_T.       最近项目中要使用到spring-security,闲来没事就研究了下。发现入门挺简单的,在这里把自己的心得发下,希望对没有接触过想接触的朋友有帮助。  1、在spring-security官网下载最新jar然后拷贝jar到项目的lib下。  2、在classpath下添加security
SpringSecurity 3配置文件
读后就忘,阅后即焚
06-28 129
奋斗了一个星期,终于搞出了一份springSecurity3的配置文件, 希望对后来的同学有帮助.常用功能都有了,并全部可以配置细化参数.比如你可以配置,remembermeService的cookie时间为一年.所有的权限可以用数据库配置,角色也是从数据库中取.方法保护也是从数据库中取.接下来有时间把单点登陆在配置一个,这套东西基本就能满足普通用户的需要了. [code="java"] ...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
详解springSecurity之java配置
08-18
Spring Security 之 Java 配置Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
Spring Security基本配置方法解析
08-25
配置Spring Security之前,需要先建立一个maven多模块工程,spring-security是父模块,spring-security-browser是处理浏览器相关的授权认证,最终作为demo的一个jar依赖,spring-security-core是一些授权认证的...
spring security动态配置url权限的2种实现方法
08-27
Spring Security中,权限配置通常是静态的,即在配置文件或代码中预先定义好URL与访问角色的关系。然而,在某些业务场景中,可能需要根据运行时条件动态地调整这些权限设置。本文将探讨两种在Spring Security中...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
2. **配置Spring Security**:我们需要在Spring Cloud Gateway项目中引入Spring Security依赖,并配置相关的安全配置类。这包括定义认证和授权的规则,例如基于JWT(JSON Web Tokens)的认证,或者基于OAuth2的授权...
spring-security3的配置与使用
03-19
最近项目中要使用到spring-security,闲来没事就研究了下。发现入门挺简单的,在这里把自己的心得发下,希望对没有接触过想接触的朋友有帮助
spring-security3 配置和使用
07-15
spring-security3 配置和使用挺有用的。
SpringSecurity3配置及原理简介
程序员!我当定了!
12-25 1161
SpringSecurity3的核心类有种  1.URL过滤器或方法拦截器:用来拦截URL或者方法资源对其进行验证,其抽象基类为AbstractSecurityInterceptor 2.资源权限获取器:用来取得访问某个URL或者方法所需要的权限,接口为SecurityMetadataSource  3.访问决策器:用来决定用户是否拥有访问权限的关键类,其接口为AccessDecision
Spring Security 3 配置
u011952560的专栏
09-03 888
说明:项目的总体结构,如下图  1. 下载Spring Security 3  下载地址:  http://static.springsource.org/spring-security/site/downloads.html  2. 搭建Spring Security 3 的环境 解压后,如下图: dist 文件夹中,是项目中所需要的jar文件,和两个Demo例子,D
springsecurity3配置
fanyuanwaifdl的专栏
05-16 381
http://www.springframework.org/schema/security"  xmlns:beans="http://www.springframework.org/schema/beans" <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http:/
java security 详解_SpringSecurity基础功能详解
weixin_39737831的博客
02-16 787
本篇目录:一、默认情况二、自定义用户认证、自定义用户登录页面四、自定义登录成功、失败处理五、图形验证码六、记住我功能七、Session管理八、退出操作首先说明本文所用的SpringSecurity版本是2.0.4.RELEASE。下面逐个功能介绍。一、默认情况1、构建与配置1)pom.xmlorg.springframework.bootspring-boot-starter-security2...
Spring Security
最新发布
liangcon的博客
05-18 765
作者在学习Spring Security时的学习笔记。其内容包含在集成Spring Boot时的默认配置、人真正、密码加密更新、认证、记住我等内容。
UserDetailServiceAutoConfigutation
Leon_Jinhai_Sun的博客
05-04 585
这个源码非常多,这里梳理了关键部分: @Configuration(proxyBeanMethods = false) @ConditionalOnClass(AuthenticationManager.class) @ConditionalOnBean(ObjectPostProcessor.class) @ConditionalOnMissingBean( value = { AuthenticationManager.class, AuthenticationProvider.class, U
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值