Spring security 学习笔记(一)简单的Authentication认证

最新推荐文章于 2024-05-16 03:34:01 发布
最新推荐文章于 2024-05-16 03:34:01 发布
阅读量486 收藏 1
点赞数 1
文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43600770/article/details/116272061
版权

环境:IDEA Mysql JPA Spring Boot 2.X

1.准备工作

在IDEA新建一个Springboot 引入
spring-boot-starter-data-jpa
spring-boot-starter-web
spring-boot-starter-security
spring-boot-devtools (开发时调试用)
mysql-connector-java
lombok
spring-boot-starter-test

  1. 写一个系统用户实体 实现 UserDetails 接口
@Data
@AllArgsConstructor
@NoArgsConstructor
@Entity
public class SysUser implements UserDetails {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    private String realName;
    @Column(unique = true)
    private String username;
    private String password;

    public SysUser(String realName, String username, String password) {
        this.realName = realName;
        this.username = username;
        this.password = password;
    }


    /**
     * 获取用户权限信息
     *
     * @return
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    /**
     * 是否过期
     *
     * @return
     */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /**
     * 是否被锁定
     *
     * @return
     */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    /**
     * 密码是否过期
     *
     * @return
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 石头弃用
     *
     * @return
     */
    @Override
    public boolean isEnabled() {
        return true;
    }
}
  1. 编写配置类如下
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
.....
}
  1. 编写Repository
@Repository
public interface SysUserRepository extends JpaRepository<SysUser, Long> {
    Optional<SysUser> findByUsername(String username);
}
  1. 编写一个简单的测试类
@RestController
public class IndexController {
    @GetMapping("/")
    public String hello() {
        return "Hello Spring World";
    }
  1. 开干!第一种:在WebSecurityConfig配置类中 下面的密码加密也要
    /**
     * ====================================================
     * 自定义UserDetailService
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(new CustomUserDetailsService(sysUserRepository));
    }
      /**
     * 使用BCrypt座位密码编码加密算法
     * 
     * @return
     */
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
  1. 测试:编写一个bean加入一个用户
    @Bean
    CommandLineRunner createUser(SysUserRepository sysUserRepository, PasswordEncoder passwordEncoder) {
        return args -> {
            SysUser user = new SysUser("test", "Agitator", passwordEncoder.encode("123"));
           sysUserRepository.save(user);
        };
    }
  1. 访问localhost:8080 进行测试 自己感受
  2. 第二种:自定义authenticationProvider 编写一个类
/**
 * 自定义认证提供程序
 */
public class CustomAuthenticationProvider implements AuthenticationProvider {
    SysUserRepository sysUserRepository;
    PasswordEncoder passwordEncoder;

    public CustomAuthenticationProvider(SysUserRepository sysUserRepository, PasswordEncoder passwordEncoder) {
        this.sysUserRepository = sysUserRepository;
        this.passwordEncoder = passwordEncoder;
    }

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String usernameFormRequest = authentication.getName();
//        获取凭证
        String passwordFormPassword = authentication.getCredentials().toString();
        Optional<SysUser> sysUserOptional = sysUserRepository.findByUsername(usernameFormRequest);
        SysUser sysUser = sysUserOptional.orElseThrow(() -> new UsernameNotFoundException("username not found"));
//        校验权限和凭证
        if (passwordEncoder.matches(passwordFormPassword, sysUser.getPassword())
                && sysUser.isAccountNonExpired()
                && sysUser.isAccountNonLocked()
                && sysUser.isCredentialsNonExpired()
                && sysUser.isEnabled()) {
            return new UsernamePasswordAuthenticationToken(sysUser.getUsername(), sysUser.getPassword(), sysUser.getAuthorities());
        } else {
//          抛出凭证异常
            throw new BadCredentialsException("Bad Credentials");
        }
    }

    /**
     * 审明当前自定义的AuthenticationProvider 认证提供者 能处理的 Authentication 认证类型为 UsernamePasswordAuthenticationToken
     *
     * @param authentication
     * @return
     */
    @Override
    public boolean supports(Class<?> authentication) {
        return (UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication));
    }
}
  1. 在web配置类中注册
 /**
     * ======================================================
     * 自定义 AuthenticationProvider
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(new CustomAuthenticationProvider(sysUserRepository, passwordEncoder()));
    }
  1. 第几种我忘了:前后端分离常用 Http基础认证 在上面其中一种的基础上 添加这个代码
    /**
     * 基于Http认证 重要!!!!!!! 前后端分离好用!!!
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated() // 所有请求在认证后才能访问
                .and()
                // 设置登录方式为HttpBasic 入口为 authenticationEntryPoint
                .httpBasic().authenticationEntryPoint(authenticationEntryPoint());
    }

    /**
     * http认证需要
     *
     * @return
     */
    @Bean
    AuthenticationEntryPoint authenticationEntryPoint() {
        // BasicAuthenticationEntryPoint 将认证信息放在头部,当认证未通过时放回401
        BasicAuthenticationEntryPoint authenticationEntryPoint = new BasicAuthenticationEntryPoint();
        authenticationEntryPoint.setRealmName("test");
        return authenticationEntryPoint;
    }

  1. http认证测试方法:postman 或者 apipost

    • 在postman里面找到Authorization便签
    • 使用Basic 验证方法
    • 笔者用的是apiPost

认证成功:响应码为200

响应码为200

认证失败:响应码为401

在这里插入图片描述

AgitatorZ
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
将经过身份验证的用户注入Spring MVC @Controllers
最佳 Java 编程
06-28 1096
可以使用@AuthenticationPrincipal批注和AuthenticationPrincipalArgumentResolver这是Spring MVS MethodArgumentResolver的实现)将注入经过身份验证的用户注入Spring MVC处理程序方法。 默认情况下, AuthenticationPrincipalArgumentResolver已通过Web安全配置...
Spring Security学习笔记(一)
09-07
主要介绍了Spring Security的相关资料,帮助大家开始学习Spring Security框架,感兴趣的朋友可以了解下
认证 - Authentication
weixin_41957017的博客
11-17 229
分析 认证失败会有两种可能的返回值: 401 Unauthorized 未认证 403 Permission Denied 权限被禁止 开发借鉴例子 JWT认证机制:https://blog.csdn.net/python_nice/article/details/81474794 设置 第一种: settings.py中配置全局默认的认证方案: REST_FRAMEWORK =...
django-rest-framework源码分析2—认证(Authentication)源码解析_authentication authenticate 源码
最新发布
2401_84905010的博客
05-16 346
通俗地讲就是验证当前用户的身份,证明 “你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱 / 验证码,就默认你是账号的主人。
Authentication
Nancy 博客
12-18 1万+
认证 (Authentication) 身份验证需要可插拔。—— Jacob Kaplan-Moss, “REST worst practices” 身份验证是将传入请求与一组标识凭据 (例如请求来自的用户或其签名的令牌) 相关联的机制。然后,权限和限制策略可以使用这些凭据来确定是否应允许该请求。 REST framework 提供了一些开箱即用的身份验证方案,并且还允许您实现自定义方案。 身份验...
认证(Authentication)和授权(Authorization)
MannMann的博客
01-01 1027
认证(Authentication)和授权(Authorization)
Authentication认证方式)与 Authorization(授权)
Pursuit_li的博客
03-15 1137
认证 认证是关于验证凭据,如用户名/用户ID和密码,以验证身份。系统确定凭据是否正确。在公共和专用网络中,系统通过登录密码验证用户身份。认证通常通过用户名和密码完成,有时与认证因素结合使用,后者指的是认证的多种方式。 授权 授权发生在系统成功认证身份后,最终会授予访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。简单来说,授权决定了访问系统的能力以及达到的程度。
springsecurity学习笔记
12-13
三更springsecurity学习笔记
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security tutorial 学习笔记(一)
03-18
NULL 博文链接:https://liu-weiaa.iteye.com/blog/656990
Spring学习笔记+学习源码.zip
05-12
文件内附有学习源码及“四万多字的学习笔记”,本学习笔记中涵盖了,Spring中所学的全部知识点,以及还有一些小的知识点。(笔记很详细,笔记很详细。属于本人舍得删系列)。
Authentication接口
Nancy_0802的博客
07-06 322
它提供了一组方法和协议,用于验证用户提供的身份凭证(例如用户名和密码、API密钥、令牌等)是否有效,并确定用户是否具有访问系统或资源的权限。通常,Authentication接口与用户身份验证系统(如数据库、身份提供者或第三方服务)进行交互,以验证用户的凭证。单点登录(SSO):这是一种身份验证机制,允许用户使用一组凭证(如用户名和密码)登录到多个关联应用程序或系统中,而不需要在每个应用程序中单独进行身份验证。Authentication接口将验证令牌的有效性和合法性,以确定用户的身份和权限。
springboot集成springsecurity简单权限管理与logout退出,@AuthenticationPrincipal
老专家的博客
04-24 1万+
springsecurity主要是 认证 (密码登录) 与 授权 (角色权限管理) 下面一个简单项目例子,使用springsecurity MyUserDetailsService#loadUserByUsername 用户登录 SecurityConfig#configure 配置springsecurity行为 Controller中的@PreAuthorize就是用户权限 对照上图看,权限...
Authentication认证和Authorization授权的作用?
weixin_69620017的博客
03-14 125
授权嘛,光看意思大家应该就明白,它主要掌管我们访问系统的权限。比如有些特定资源只能具有特定权限的人才能访问比如admin,有些对系统资源操作比如删除、添加、更新只能特定人才具有。是验证您的身份的凭据(例如用户名/用户ID和密码),通过这个凭据,系统得以知道你就是你,也就是说系统存在你这个用户。所以,Authentication 被称为身份/用户验证。这两个一般在我们的系统中被结合在一起使用,目的就是为了保护我们系统的安全性。
Authentication认证和Authorization授权的作用
weixin_66107850的博客
04-11 139
身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。在您正确输入引脚后,银行会确认您的身份证明该卡真正属于您,并且您是该卡的合法所有者。通过验证您的ATM卡引脚,银行实际上会验证您的身份,这称为身份验证。另一方面,授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。- 顾名思义,它是一个两步验证过程,不仅需要用户名和密码,还需要用户知道的东西,以确保更高级别的安全性,例如ATM引脚,用户知道。授权通常在验证后确认您的权限。
WEB常识 一 什么是认证Authentication
W_H_M_2018的博客
09-22 2326
什么是认证Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 ...
spring security-@AuthenticationPrincipal注解
dijia_todey的博客
07-18 932
AuthenticationPrincipal注解是Spring Security框架提供的一个注解,用于获取当前用户的认证信息。它可以用于方法参数上,表示将当前用户的认证信息注入到该参数中。通常情况下,我们可以使用它来获取当前用户的用户名、角色、权限等信息,以便进行业务逻辑的处理。
HTTP Digest authentication
热门推荐
EIP的专栏
12-22 2万+
<br />(Digest authentication)是一个简单认证机制,最初是为HTTP协议开发的,因而也常叫做HTTP摘要,在RFC2671中描述。其身份验证机制很简单,它采用杂凑式(hash)加密方法,以避免用明文传输用户的口令。<br />摘要认证就是要核实,参与通信的双方,都知道双方共享的一个秘密(即口令)。<br /> <br />当服务器想要查证用户的身份,它产生一个摘要盘问(digest challenge),并发送给用户。典型的摘要盘问如下:<br /> <br />Digest r
Authentication—身份验证流程
微服务技术栈
01-21 6510
本篇是对Shiro体系架构的介绍,本栏目大部分内容来自于Shiro官网。翻译过程中已经尽量保证用词的准确性和易懂性,如有不准确或者不确切的地方,请联系作者加以修改。本篇内容翻译自Authentication特征与Authentication官方指南。 Authentication是身份验证的过程,即证明该用户是否合法,对于证明一个用户是否合法,用户需要提供一些身份识别信息,以及系统能信任的身份证...
springsecurity笔记
08-17
Spring Security 是一个用于实现 Web 应用程序权限管理的框架。在 Spring Security 中,有三种方式可以配置用户认证信息,一种是直接在配置文件中配置用户名和密码,例如:spring.security.user.name=beim,spring.security.user.password=123。从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护来防止 CSRF 攻击,特别是对于 PATCH、POST、PUT 和 DELETE 方法。而授权则是系统判断用户是否具有进行某些操作的权限。使用 Spring Security 的好处是可以提供强大的身份验证和授权功能,保护应用程序免受潜在的安全威胁。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值