Spring Security自定义用户认证过程(2)

最新推荐文章于 2023-06-19 23:58:39 发布
最新推荐文章于 2023-06-19 23:58:39 发布
阅读量124 收藏
点赞数
文章标签: java spring spring boot Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44612246/article/details/129456067
版权

我的实例是Spring Boot项目,随便一个SpringBoot项目都可以,先不启用SpringSecurity。

创建一个demoController,加方法:

```

@ResponseBody

@RequestMapping("wtf")

public String wtf(){

return "WTF";

}

```

运行项目,浏览器测试一下:

![image.png](/img/bVc40GG)

然后,pom文件加入SpringSecurity的依赖后就启用SpringSecurity了。

```

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-security</artifactId>

</dependency>

```

重新启动项目,访问wtf测试一下:

![image.png](/img/bVc40GJ)

说明SpringSecurity起作用了,由于Spring Security的默认安全策略是对所有请求都必须通过安全验证,所以请求wtf需要首先通过身份认证才能访问。这个时候他用的是默认的叫InMemoryUserDetailsManager的用户信息管理器来完成我们上篇文章所说的用户管理工作的,他的默认用户为user,密码在启动的过程中打印在了控制台:

![image.png](/img/bVc40HB)

用这个用户名、密码试一下:

![image.png](/img/bVc40HC)

可以访问:

![image.png](/img/bVc40HD)

好的,我们开始干活。

#### 用户对象Userdetails

首先需要有用户对象,用户对象需要有用户名、密码,SpringSecurity要求用户对象实现接口:

org.springframework.security.core.userdetails。

代码如下,简单一点:

```

@Component

public class User implements UserDetails {

private String name;

private String password;

@Override

public Collection<? extends GrantedAuthority> getAuthorities() {

return null;

}

@Override

public String getPassword() {

return password;

}

@Override

public String getUsername() {

return name;

}

@Override

public boolean isAccountNonExpired() {

return true;

}

@Override

public boolean isAccountNonLocked() {

return true;

}

@Override

public boolean isCredentialsNonExpired() {

return true;

}

@Override

public boolean isEnabled() {

return true;

}

}

```

#### UserDetailsService

然后需要有我们自己的UserDetailsService。

创建一个用户service类、实现UserDetailsService接口的loadUserByUsername方法即可。

我们创建一个用户名 user,密码:123456的用户,表示当前系统用户只有一个user用户、密码为123456.

```

@Service

@Slf4j

public class MyUserDetailsService implements UserDetailsService {

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

log.info("Here we are in MyUserDetailsService====");

User user=new User();

user.setName("user");

user.setPassword("123456");

return user;

}

}

```

#### PasswordEncoder

实现密码解析器PasswordEncoder的encode、matches方法,这两个方法很好理解,encode是对密码明文进行加密的,返回加密后的密码密文,matches方法是用来验密的。

我们不研究加密算法,所以也就不加密了,实际应用的时候,项目中可以替换encode方法为加密算法即可。

```

@Service

public class MyPasswordEncoder implements PasswordEncoder {

@Override

public String encode(CharSequence rawPassword) {

return rawPassword.toString();

}

@Override

public boolean matches(CharSequence rawPassword, String encodedPassword) {

return encode(rawPassword).equals(encodedPassword);

}

}

```

强调一下,UserDetailsService和PasswordEncoder需要加注解@Service,目的是注入Spring Ioc容器。

重新启动项目,这个时候控制台不会再打印上面的那个随机密码串了。

访问wtf,要求登录:

![image.png](/img/bVc40HR)

录入user/123456:

![image.png](/img/bVc40HS)

登录成功了!

说明上面我们自己创建的UserDetailsService和PasswordEncoder已经开始工作了!!!

***目标已经实现,任务完成了!!!***

***会不会觉得太简单了点?***

简单分析一下我们自己实现的这两个类的生效原因。

Spring Security在初始化UsernamePasswordAuthenticationFilter的过程中会通过一个叫 InitializeUserDetailsManagerConfigurer的配置类来初始化我们上一篇文章说过的AuthenticationProvider,通过上一篇文章我们知道绝大部分的用户验证工作都是这个AuthenticationProvider完成的。

我们简单看一下InitializeUserDetailsManagerConfigurer的configure方法:

```

@Override

public void configure(AuthenticationManagerBuilder auth) throws Exception {

if (auth.isConfigured()) {

return;

}

UserDetailsService userDetailsService = getBeanOrNull(UserDetailsService.class);

if (userDetailsService == null) {

return;

}

PasswordEncoder passwordEncoder = getBeanOrNull(PasswordEncoder.class);

UserDetailsPasswordService passwordManager = getBeanOrNull(UserDetailsPasswordService.class);

DaoAuthenticationProvider provider = new DaoAuthenticationProvider();

provider.setUserDetailsService(userDetailsService);

if (passwordEncoder != null) {

provider.setPasswordEncoder(passwordEncoder);

}

if (passwordManager != null) {

provider.setUserDetailsPasswordService(passwordManager);

}

provider.afterPropertiesSet();

auth.authenticationProvider(provider);

}

```

方法不长,可以看到首先要到Spring Ioc容器中去获取UserDetailsService和PasswordEncoder,如果能获取到的话,就赋值给初始化好的AuthenticationProvider。

***由于我们创建的UserDetailsService和PasswordEncoder都已经通过注解注入到SpringIoc容器中了,所以,这里就能获取到。后续AuthenticationProvider在用户认证干活的时候能调用到我们创建的这两个对象就不奇怪了!***

上一篇 [Spring Security自定义用户认证过程(1)](https://segmentfault.com/a/1190000043101053)

下一篇 [Spring Security + JWT](https://segmentfault.com/a/1190000043129636)

weixin_44612246
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 自定义授权服务器实践
Java_ttcd的博客
08-20 895
还需要多多完善,Spring Security也不例外,不久前我还提了一个PR,把一个持续数个版本的bug给修复了藍(过了,只是文档中的错误罢了,被标记为文档中的bug),看多了外国人的产品,其实也没有太比国内的开源项目好,坑也很多,而我们某些大厂的开源项目其实很好,却被网友门各种喷。另外授权服务器如果发生异常,是不会打印堆栈的,而是把错误信息放入到response中,是打算要在页面上显示,然而demo的默认错误页并不会显示错误详情,只有错误编号400,如图。
Spring security自定义用户认证流程详解
08-24
主要介绍了Spring security自定义用户认证流程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity学习(二)自定义资源认证规则、自定义登录页面、自定义登录(成功/失败)处理、用户信息获取
Huathy的博客
03-02 755
index 公共资源/hello 受保护资源在项目中添加如下配置就可以实现对资源权限规则的设定:// 注意:这里放行的内容必须在验证之前 // mvcMatchers匹配资源,permitAll放行该资源,无需认证授权,直接访问 req . mvcMatchers("/index") . permitAll();// anyRequest所有请求,都需要认证才可访问 req . anyRequest() . authenticated();
Spring Security渐入佳境(二) -- 自定义用户认证逻辑
分享技术,共同进步!
12-12 314
(一)用户信息获取 <1>UserDetailsService 这是SpringSecurity提供的一个接口,用于根据登录名获取用户信息(从内存,数据库中…)。 <2>实现接口UserDetailsService 详解UserDetails请参考附录。 @Component public class MyUserDetailsService implements User...
Spring Security账号密码认证 + 自定义鉴权(示例)
JustryDeng
04-09 4189
声明: 本文先演示效果,然后再给出几个相对关键的类;完整测试项目,可详见文末链接。 效果演示: 说明: 张三属于普通用户,能访问一些普通的页面以及/user页。 李四属于数据库管理员,能访问一些普通的页面以及/user页、/dba页。 王五属于超级管理员,能访问一些普通的页面以及/user页、/dba页、/admin页。 演示: 普通用户张三: 数据库管理员李四: 超级管理员王五...
Spring Security自定义用户认证
艾华生的博客
08-19 4063
Spring Security自定义用户认证Spring Boot中开启Spring Security一节中我们简单地搭建了一个Spring Boot + Spring Security的项目,其中登录页、用户名和密码都是由Spring Security自动生成的。Spring Security支持我们自定义认证过程,如使用自定义的登录页替换默认的登录页,用户信息的获取逻辑、登录成功或失败后的处理逻辑等。这里将在上一节的源码基础上进行改造。 配置自定义登录页 为了方便起见,我们直接在src/main/
spring Security自定义用户认证过程详解
08-25
主要介绍了spring Security自定义用户认证过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security自定义认证登录的全过程记录
08-28
主要给大家介绍了关于spring security自定义认证登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
spring-security实现自定义登录认证.rar
05-21
springboot集成spring-security,实现自定义登录认证,代码亲测,同时附带jwt+security集成的代码,亲测可用
Java课程实验 Spring Security 实现用户认证和授权管理
最新发布
07-07
要在Spring Boot中实现用户认证和授权管理,你可以使用Spring Security框架。Spring Security提供了一套强大的功能来处理用户身份验证和...根据具体需求,你可以配置认证和授权规则,以及自定义认证方式和登录页面等。
Spring Authorization Server入门 (十一) 自定义grant_type(短信认证登录)获取token
云逸的博客
06-19 3199
在本系列的第一篇文章“初识SpringAuthorizationServer和OAuth2.1协议”中说过,密码模式已经在OAuth2.1中被废除,但是有很多老项目也依赖于密码模式,比如自己公司内部的app、小程序等都会用到密码模式,虽然框架不支持,但是也提供了自定义grant_type的扩展方式,今天就来实现一下自定义的短信验证登录;哈哈,皮一下,看过前边文章的读者应该明白短信验证登录和密码登录区别不大,最多就是一个校验的问题,所以文章中主打的是短信验证码登录。
Spring Security 实现自定义登录和认证(1):使用自定义用户进行认证
qq_45691577的博客
03-04 2441
这个类是用来检索用户名和密码的,该类被调用,至于是什么可以查看官方文档。//注入编写的UserRepository @Resource private UserRepository userRepository;//根据username查询user @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SpringSecurity------InitializeUserDetailsBeanManagerConfigurer类
豢龙先生
12-25 336
SpringSecurity------InitializeUserDetailsBeanManagerConfigurer类一、作用二、源码分析 一、作用 二、源码分析 package org.springframework.security.config.annotation.authentication.configuration; import org.springframework.context.ApplicationContext; import org.springframework.co
Spring-Security源码分析】AuthenticationManagerBuilder
通往神秘的道路的专栏
02-20 1万+
1、继承结构类图 AuthenticationManagerBuilder用于创建AuthenticationManager。 允许轻松构建内存身份验证,LDAP身份验证,基于JDBC的身份验证,添加UserDetailsService以及添加AuthenticationProvider。 public interface SecurityBuilder<O> { /*...
记录一次spring boot+spring security整合Mybatis过程中用PageHelper分页Users查询报空指针异常的错误
m0_47576928的博客
07-30 508
实体Users实现了UserDetails接口,重写方法 getAuthorities()时报了空指针异常,原因:未做判空,正确写法如下 @Override public Collection<? extends GrantedAuthority> getAuthorities() { List<SimpleGrantedAuthority> authorities = new ArrayList<>(); if (roles
超完整的springSecurity用户登录和权限认证自定义
热门推荐
m0_51238796的博客
05-02 1万+
SpringSecurity用户认证和权限
spring security 学习总结
zwjapple的专栏
07-02 354
spring security 学习
Spring Security Config : UserDetailsManagerConfigurer
Details Inside Spring
06-02 625
概述 介绍 UserDetailsManagerConfigurer是Spring Security Config提供的一个安全配置器基类,用于配置安全构建器ProviderManagerBuilder,它继承自UserDetailsServiceConfigurer。UserDetailsManagerConfigurer对来自基类的能力作了如下定义 : 改造定义 : 约定所使用的UserDe...
我即将出生的儿子的爸爸是我即将出生的儿子?(记一次Security的无限递归错误)
qq_41032824的博客
07-23 364
spring security的默认设置已经足够强大,可以完成绝大部分的需求了。但是仍有许多细微的地方无法使用默认设置或者是简单设置来修改。这次我就在自定义设置的时候遇到了一个比较有趣的问题。 首先说我的需求,使用security做授权的时候,直接设置一个UserDetailsService到容器中就可以实现用户名/密码方式的授权了。但是有个问题,当用户不存在时,在UserDetailsService#loadUserByUsername中抛出UsernameNotFoundException的异常,但是返
springsecurity自定义权限认证
05-25
Spring Security提供了很多默认的权限认证方式,但是我们也可以...以上就是一个简单的Spring Security自定义权限认证的示例。通过自定义UserDetailsService和AuthenticationProvider,我们可以实现自己的认证逻辑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值