SpringSecurity用户认证设置用户名和密码的三种方式

已于 2022-06-16 23:59:08 修改
阅读量3.3k 收藏 14
点赞数 6
分类专栏: # SpringSecurity 文章标签: web安全 安全 前端 SpringSecurity java
于 2022-05-29 17:57:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43888891/article/details/125030716
版权

目录

温馨提示: 本章测试基本上都是使用的SpringSecurity提供的默认登录页和登录接口进行测试的

方式一:配置文件

spring.security.user.name=lisi
spring.security.user.password=12345

方式二:设置配置类

1)、编写一个类继承WebSecurityConfigurerAdapter抽象类
2)、重写configure(AuthenticationManagerBuilder auth) 方法设置用户名和密码

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 这段代码的意思就是将123密码进行加密
        BCryptPasswordEncoder password = password();
        String encode = password.encode("123");
        auth.inMemoryAuthentication().withUser("zhangsan").password(encode).roles("admin");
    }

    /**
     * 因为我们上面配置的密码是加密过后的
     * 所以我们一定要将BCryptPasswordEncoder注入到容器,让Security知道我们用了这个加密算法
     * (其次是只要用的上面设置用户名密码的方式,一定要注入一个加密算法,不然程序会报异常)
     * 意思就是,将登录页面收到的password参数进行加密,然后和我们配置的密码进行比较,看是否是匹配的
     *
     * @return
     */
    @Bean
    public BCryptPasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

方式三:自定义实现类设置账号密码

如果使用SpringSecurity基本都是使用这种方式。

UserDetailsService这个接口对于SpringSecurity来说非常重要,在我们开发当中项目当中只要使用了SpringSecurity,那么项目必然会存在UserDetailsService的实现类。

这个类究竟起到了什么作用?

正常我们写登录可能就是前端传过来账号密码,然后后端收到账号密码,直接通过账号密码两个条件去数据库查询,查到了就登录成功,查询不到就失败。SpringSecurity他不是这样的,流程如下:

  1. 前端将账号和密码给后端(这里直接以明文举例)
  2. 后端通过username获取用户信息(获取不到那证明连这个账号都没有)
  3. 获取到之后进行密码比对,看看是否正确(这个过程我们称之为身份认证)
  4. 假如数据库当中存入的密码存储的是BCryptPasswordEncoder加密的,那我们就需要将BCryptPasswordEncoder注入到容器,这样认证的时候Security会将前端传的明文进行使用该加密算法加密,然后和数据库当中的密文进行比较

UserDetailsService接口主要的作用就是流程的第二个步骤。

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    		
    	// 实际开发当中,这里一定是写的通过username去数据库当中查有没有该账号的用户,这里我是写死的
    	
        List<GrantedAuthority> role = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        String encode = new BCryptPasswordEncoder().encode("123");
        // 这里的user类一定不要导错包了,他是Security提供的UserDetails实现类
        return new User("zhangsan", encode, role);
    }
}

import com.gzl.cn.springsecuritypassword.service.MyUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }
    
    @Bean
    public BCryptPasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

自定义登录接口

实际开发当中往往我们不可能去使用SpringSecurity给我们提供的登录接口的。原因就是我们登录接口往往会添加验证码,而SpringSecurity提供的只是一个简单的登录,这时候就需要自己来实现登录接口,那么我们一旦使用自己的登录接口,如何让他自动去走SpringSecurity正常的认证流程呢?

这里所说的正常流程就是通过UserDetailsService 实现类的loadUserByUsername方法来获取主体(主体就是登录者用户),以及去相应的做认证。

自定义登录接口有两种途径:

  1. 基于token的(前后端分离或者是微服务都会采用token)
  2. 基于session的 (一般前后端不分离的情况,会使用session)

基于token前后端分离的示例

  1. 自定义UserDetailsService实现类
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<GrantedAuthority> role = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        String encode = new BCryptPasswordEncoder().encode("123");
        return new User("zhangsan", encode, role);
    }
}
  1. SpringSecurity配置类
import com.gzl.cn.springsecuritypassword.service.MyUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyUserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }

    @Bean
    public BCryptPasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }

	// 这个一定要注入,不然登录那块用到了AuthenticationManager,是会报错的。
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

	/**
     * 下面配置很重要,如果不添加的话,我们就算写一个登录接口,
     * 访问登录接口也会跳到security默认提供的登录页
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 基于token,所以不需要session,一旦添加这个配置就意味着不再使用security提供的登录页,开始基于token做前后端校验
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
    }
}
  1. 自定义登录接口
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.User;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.annotation.Resource;

@RestController
public class LoginController {

    @Resource
    private AuthenticationManager authenticationManager;

    @PostMapping("/login")
    public User login(String userName, String password) throws Exception {
        // 1.校验验证码(这里我就省略了)

        // 2.用户验证
        Authentication authentication = null;
        try {
            // 该方法会去调用 MyUserDetailsService.loadUserByUsername
            authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(userName, password));
        } catch (Exception e) {
            if (e instanceof BadCredentialsException) {
                throw new Exception("密码不正确");
            } else {
                // 处理UserDetailsService实现类当中抛出的自定义异常,以及系统异常
            }
        }
        User principal = (User) authentication.getPrincipal();

        // 3.一般走到这里肯定是登录成功的用户,所以这里会生成token,并接口返回token,和登录用户
        return principal;
    }
}

对于这个示例,实际上是不完整的,这个示例只是告诉我们通过这样配置,我们才能自定义登录接口,实际开发当中我们一般都是自定义登录接口,并且都是基于token校验所有的接口的,而上面示例当中并没有在登录的时候生成token,接口也没有token相关校验。

在这里插入图片描述

怪 咖@
关注
  • 6
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
spring Security 认证失败,用户名密码是正确的还是失败
y15201653575的博客
05-22 1147
第二种,查看源代码,这句是关键,presentedPassword是明文密码userDetails.getPassword()是加密后的密码,进行比较。看下这里,一般是前端传后端后进行加密了,导致这里匹配是false,!false 成true 进行了。项目用登录输入正确的用户名密码为什么还是告知,用户名密码是不正确?第一种是不是开启缓存,数据库中存储的是加密后的密码
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring security基于数据库中账户密码认证
08-24
主要介绍了Spring security基于数据库中账户密码认证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring
2401_84102759的博客
05-14 1025
这份面试题几乎包含了他在一年内遇到的所有面试题以及答案,甚至包括面试中的细节对话以及语录,可谓是细节到极致,甚至简历优化和怎么投简历更容易得到面试机会也包括在内!也包括教你怎么去获得一些大厂,比如阿里,腾讯的内推名额!某位名人说过成功是靠99%的汗水和1%的机遇得到的,而你想获得那1%的机遇你首先就得付出99%的汗水!你只有朝着你的目标一步一步坚持不懈的走下去你才能有机会获得成功!成功只会留给那些有准备的人!本文已被。
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 5838
Spring SecuritySpring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
SpringSecurity认证三种方式设置登录的用户名密码三种方式
一只文森特
01-02 4945
SpringSecurity如何自定义设置登录的用户名密码?第三种方式最常用
Spring security用户认证设置用户名密码
花&败
07-17 1143
1、通过配置文件实现设置用户名密码 重新启动我们的服务: 2、通过配置类继承接口实现设置用户名密码 2.1、创建一个SecurityConfig配置类 2.2、代码 package com.kgf.security.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; imp...
系列三、Spring Security中自定义用户名/密码
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
01-11 816
Spring Security中自定义用户名/密码
SpringSecurity认证——设置用户名密码
初栀的博客
09-11 2390
一、第一种:配置文件 spring.security.user.name=admin spring.security.user.password=123456 二、第二种:配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth)
Spring Security - 06 修改默认的用户名密码
qq_29761395的博客
02-05 2924
文章目录环境项目结构测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) 项目结构 参考:Spring Security - 05 原生的退出登录 从 Web > 4. Spring Security 文中可知,默认的用户名user
Spring Security使用数据库认证用户密码加密和解密功能
08-24
Spring Security 使用数据库认证用户密码加密和解密功能 Spring Security 是一个基于 Java安全框架,提供了强大的身份验证、授权和访问控制功能。为了提高系统安全性,Spring Security 提供了多种身份验证机制...
SpringSecurity5.7.11实现用户认证和记住我功能
01-02
用户尝试登录时,SpringSecurity会使用这个服务来验证用户名密码。 3. **密码编码**:为了安全密码通常需要进行编码处理。SpringSecurity支持多种编码器,如BCryptPasswordEncoder或PBEPasswordEncoder。 4....
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
SpringSecurity-用户认证基础之自定义用户名密码三种方式及其优缺点对比
qq_45596525的博客
11-30 702
文章目录前言一、使用配置文件定义用户名密码代码二、使用配置类三、使用配置文件加实现类的方式代码实现 前言 作为本月最后一篇文章, 想写点Web技术相关的, 浏览了本月的博客发现居然全是数据结构与算法的文章????,说实话我是有点写吐了的. 十二月的话 , 计划是不会用新文章了(不过可能会更新数据结构和JavaSE的思维导图) . 毕竟考试月到了嘛,学校的课程除了数据结构几乎没怎么学过其它的. 行了行了,话不多说, 我们进入正题 提示:以下是本篇文章正文内容,下面案例可供参考 一、使用配置文件定义用户名
SpringSecurity-用户认证-设置用户名密码
qq_43297569的博客
03-07 681
SpringSecurity-用户认证-设置用户名密码,以及实现数据库认证来完成用户登录
网络安全之扫描探测阶段攻防手段(二)
子非渔
07-24 886
扫描探测阶段是攻击者对目标网络进行深入了解的关键步骤,同时也是防御者识别潜在威胁和加强安全防护的机会。
WEB安全】 PHP基础完整教学上(超详细)
weixin_60838266的博客
07-28 751
本文为Web安全学习中需要了解的php知识提高学习,PHP:Hypertext Preprocessor,中文名:“超文本预处理器”是一种通用开源脚本语言。语法吸收了C语言、java和Perl的特点,利于学习,使用广泛,主要适用于web开发领域。用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML(标准通用标记语言下的一个应用)文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;PHP还可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。
WEB安全】 PHP基础文件知识完整教学中(超详细)
最新发布
weixin_60838266的博客
07-29 624
正则表达式是用于描述字符排列和匹配模式的一种语法规则。它主要用于字符串的模式分割、匹配、查找及替换操作。到目前为止,我们前面所用过的精确(文本)匹配也是一种正则表达式。在PHP中,正则表达式一般是由正规字符和一些特殊字符(类似于通配符)联合构成的一个文本模式的程序性描述。正则表达式较重要和较有用的角色是验证用户数据的有效性检查。PHP中,正则表达式有三个作用:匹配,也常常用于从字符串中析取信息。用新文本代替匹配文本。将一个字符串拆分为一组更小的信息块。
Spring Security基于用户名密码认证模式流程?
07-17
Spring Security基于用户名密码认证模式的流程如下: 1. 用户在登录页面输入用户名密码。 2. 用户提交登录表单后,Spring Security会拦截该请求,并将用户名密码封装到一个Authentication对象中。 3. ...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪 咖@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值