解密Spring Security:多用户类型认证授权、刷新Token,助您构建安全完备的应用

最新推荐文章于 2023-12-13 16:41:13 发布
最新推荐文章于 2023-12-13 16:41:13 发布
阅读量423 收藏
点赞数
文章标签: spring cloud spring boot spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45784983/article/details/134138226
版权

前言

对于spring secutiry 来讲,其默认是只支持一种数据类型进行认证的,因为最后组件的方法仅为:loadUserByUsername(String username) 方法。

如果有多个系统来使用这个认证模块,会导致查询问题。这也就是不支持多用户类型认证的原因。

因为是多个系统,所以不同系统需要到自己的系统或者表中查询自己的数据,而单单一个参数username显然是不能满足需求的,这里至少还需一个参数来区别不同系统才行。

尽管对于不同系统可以通过增加自定义类型的方法来清醒请求access_token,即调用接口

oauth/token 来获取认证信息。

即如下:

aebea7285e224634f30bec7f23b93d1c.jpeg

但是,在使用 刷新token接口的时候,根据spring security 的机制和上面所说,还是会调用默认的loadUserByUsername 方法,导致程序报错。

这里就需要从程序的角度进行修改。这就是这里介绍的多用户数据类型的情况。

即都是刷新接口,都是调用/oauth/token接口,对应grant_type类型都是password_code类型,

对应在接口中增加一个userType即可。


刚才讲到,自定义授权类型的情况,对于兼容其他系统认证的情况,个人感觉还是不合适的,也就是为了兼容其他系统登录认证最合适的做法是稍后下面的做法,而不是增加授权类型这种这种的方式。

因为,即使获取access_token通过增加授权类型解决了,同样,刷新token还是需要更改,而2者内部其实是使用的同一套东西。

整个过程核心机制是通过接口中增加一个参数如userType来进行识别不同的系统类型,

后台逻辑中通过这个类型而进行判断。

1 登陆获取token

1.1 新增ZltUserDetailsService extends UserDetailsService,

新增自定义的方法。

因直接使用项目中内容,类方法就没有改,自定义适配的可以叫做:

CustomUserDetailsService

36a177a70039c46948713bdc84b7e2e2.jpeg

具体的实现逻辑,后续即可根据userType的值进行不同的执行逻辑:

6a9b7c9ebd1ccc27c5ce03a85eb25bc4.jpeg

需要注意:这里的userType 是接口传过来的。

后面的所有需要用到userDetailsService的,全部都要替换成自定义ZltUserDetailsService

1.2 复制org.springframework.security.authentication.dao.DaoAuthenticationProvider的代码,自定义 CustomAuthenticationProvider(注意写法,是实现AbstractUserDetailsAuthenticationProvider并将DaoAuthenticationProvider内容复制到此类里面),然后进行修改retrieveUser()方法,其他不需要动.

如下:

eb422f6b56b71fbb46024ce06ba31bfa.jpeg

1.修改 retrieveUser 方法:

可以根据实际逻辑进行编码即可,这里是调用上面逻辑中自定义方法的逻辑:

05ca9f110ed08707c60a5f1bb63b5fe9.jpeg

2.修改成员变量:

将 UserDetailsService 变量替换成 ZltUserDetailsService

6a9e288256ca4f91661b145ca1e6882c.jpeg

同理修改相关的get和set方法:

724cff498237499902139c14b7198149.jpeg

1.3 到WebSecurityConfigurerAdapter上配置CustomAuthenticationProvider内容。

在目前系统中是 SecurityConfig 类继承了CustomAuthenticationProvider类,故在此类中配置

需注释掉原来的内容:全局用户信息部分。

47fc7c76ad3ceb9611786a2faed0ce25.jpeg

同步修改成员变量:

495c7bc05a85e5abc7b69a8df5cda60d.jpeg

配置完成后,可以请求接口进行

对应请求参数中增加userType即可。

2be0928eeb45239667d0b9be68dc2337.jpeg

2 刷新Token

对应逻辑需要同步修改,否则刷新token逻辑会调用原始loadUserByUsername

2.1 复制org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper 自定义 CustomUserDetailsByNameServiceWrapper 在 loadUserDetails() 方法添加自定义的userType

这里依然是复制整个内容,并不是继承UserDetailsByNameServiceWrapper

c66e9360918af5c87ba5ebfcc854004c.jpeg

(1)自定义loadUserDetails() 逻辑

通过相关方法,拿到userType后,即可以根据实际情况进行编码。

最后也是会调用 userDetailsService.loadUserByUsername(userName,userType);

85cd10fde3a31c5cac62eb088100e05e.jpeg

(2)修改成员变量

1926e61bef93ff0b717c01cc341f832b.jpeg

将UserDetailsService内容改为ZltUserDetailsService

(3)同理修改构造体

8c22319977aa2f1d2bfece68e1ffa938.jpeg

2.2 复制 org.springframework.security.oauth2.provider.token.DefaultTokenServices 到自定义的 CustomTokenServices 然后修改refreshAccessToken() 方法

复制整个内容:

82b8bf46379a4825f6c7af2b6b9cc2a4.jpeg

修改 refreshAccessToken 方法:

其实只改了if (this.authenticationManager != null && !authentication.isClientOnly()) 这里面的内容

主要是下面内容:

ae23c08252f6814f4f301dd4cac18804.jpeg

2.3 往认证服务器中配置刚刚自定义的两个类 CustomUserDetailsByNameServiceWrapper 和 CustomTokenServices。

这个可能有2种方式,一种是对应页面中展示的这种。

另一种是目前项目实现的这种方式。

2者的背后机制是一样的,因为最后都是将内容实例化后交给spring容器。

这里举例的是后者,因为是经过实际的验证通过的。个人感觉实际项目中这种方式也比较合理这种方式是依赖了自定义授权的基础。

在 TokenGranterConfig.java 类中:

实例化自定义的CustomTokenServices,创建createDefaultTokenServicesCustomer 方法

9dc0effb1f9c7a0bdfc4e591ec679a64.jpeg

声明CustomUserDetailsByNameServiceWrapper 类

因为这里只有声明了新增的CustomUserDetailsByNameServiceWrapper类才会调用对用的类。

c16f97f5e9070dd9aeb2e965a41cf0d7.jpeg

成员变量修改

edaa491595c5cd3621d72dc00d90cce6.jpeg

调用接口验证:

这个是在body里面:

877522c9320bb6849c97a9426b01d393.jpeg

认证内容也需要配置

c5344907025c9b8e20809bd8206429fa.jpeg

配置完进行接口即可:

d5e3b4a18add2656378ca4bc96e9b05b.jpeg
程序码喽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 3多用户登录实现一
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1722261
Springsecurity安全框架案例+多页面登录+redis+token
12-08
Springsecurity安全框架案例+多页面登录+redis+token
SpringSecurity Jwt Token 自动刷新的实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springSecurity-jwt:JWT access_token和refresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessToken和RefreshToken) version1太复杂,无法优化。 accessToken refreshToken安全登录处理流程 详细说明转到博客文章 JWT异常处理 安全异常处理(AuthenticationEntryPoint,AccessDeniedHandler) 仅使用AccessToken时 如果将AccessToken的有效时间设置得较长,则很方便,因为用户不需要频繁登录,但是只要有效时间长,恶意用户就可以窃取AccessToken,从而降低了安全性。 相反,如果将AccessToken的有效时间设置为较短时间,则安全性将提高,但由于用户频繁登录,其便利性将降低。 您可能会认为使JWT无效将不起作用,但是JWT只能在设置的到期时间过去之后才到期。 我不能强迫它在那之前过期。 同时使用
springsecuritySpring安全学习总结
01-29
Spring安全学习总结 关于 spring security 学习总结暑假的时候在学习了Spring安全并成功运用到了项目中。在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 生成jwt 解析jwt 根据1,2实现对访问路径的权限拦截 使用 spring security 学习总结总结是逐步进行重建的,逐步版本我都使用了git tag来管理。例如,最开始的tag是step1 ,那么可以使用 git checkout step1 来获得这一版本。版本历史见 。
jwt的token自动续约_SpringSecurity Jwt Token 自动刷新的实现
weixin_39954569的博客
12-21 1601
功能需求最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期时间。功能分析1、token 的生成使用现在比较流行的 jwt 来生成。2、token 的自动延长要实现 token 的自动延...
Spring Security OAuth2实现多用户类型认证与多用户类型token刷新(新)
weixin_42552016的博客
05-13 622
此方法基于覆盖源码路径实现,以最少的配置完成Spring Security OAuth2实现多用户类型认证与多用户类型token刷新
Spring security 多端多用户实战、认证鉴权扩展深入
Hades_iphone的博客
07-25 2449
Spring security 多端多用户实战、认证鉴权扩展深入 前言从配置开始搭建从实战场景开始从基础的账号密码开始如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 当你阅读这篇文章的时候,我们假设你已经对Spring security有所了解,并且懂得如何初步使用。 前
Spring Security实现多种方式认证
luoxuhuan_的博客
10-15 341
Spring Security的多种认证方式
Spring Security】实现多种认证方式
最新发布
hui_ss的博客
12-13 1091
首先针对每一种登录方式,我们可以定义其对应的认证器AuthenticationProvider,以及对应的认证信息Authentication实际场景中这两个一般是配套使用。认证器AuthenticationProvider有一个认证方法authenticate(),我们需要实现该认证方法,认证成功之后返回认证信息Authentication。
SpringSecurity之JWT实现token认证授权.zip
08-09
在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security OAuth2.0(二)-----简化模式/密码模式/客户端模式/刷新 token
qq_42264638的博客
04-21 1322
新增“implicit” 和修改回调地址为本次地址。
Spring Security OAuth2实现多用户类型认证刷新Token
susu1083018911的博客
03-07 3635
loadUserByUsername携带多个参数
避坑指南(一):Spring Security Oauth2中refresh_token刷新access_token异常
热门推荐
银河架构师的博客
12-30 1万+
问题 Spring Security Oauth2中,当access_token即将过期时,需要调用/oauth/token,使用refresh_token刷新access_token,此时会存在一个坑: 即如果使用Spring Security框架默认生成的AuthenticationManager时,接口调用异常。 具体报错信息为如下: No AuthenticationProvid...
Spring security认证方式
chijiansong的博客
12-02 364
我是这样使用SpringBoot(多认证方式) - 简书
spring security支持多个认证方法
Love_Long的博客
08-24 3983
spring security通过定义多个AuthenticationProvider来实现不同的认证方式。 1、自定义认证器 自定义认证器可以通过实现AuthenticationProvider接口来实现,这个接口,一共有两个方法 public interface AuthenticationProvider { /** * Performs authenti...
Spring Security】身份认证的多种方式
qq_36525300的博客
09-02 770
配置文件 通过配置文件设置登录的用户名和密码 spring: security: user: name: mary password: 123 roles: admins 启动项目,控制台默认生成的密码消失,说明 Spring Security 账号密码已经由默认生成变化为读取配置文件 访问接口,进入认证页面,输入配置文件中配置的账号密码,正常访问接口 配置类 通过配置类的方式,配置登录的账号密码,这里是采用基于内存的方式 @Configuration @E
Spring Security 多因素认证(MFA)
new_ord的博客
02-27 2090
在本文中,我们将使用Spring Security 实现多因素认证,使用 TOTP(基于时间的一次性密码)作为第二种身份识别形式。此 TOTP 由用户移动设备上的应用程序生成,例如 Google 身份验证器。
springsecurity加密与解密
06-08
Spring Security提供了多种加密和解密的方式,下面是...4. JwtToken:使用JWT(JSON Web Token)加密和解密用户身份信息,常用于前后端分离的应用中。 具体使用方式可以参考Spring Security官方文档或者相关的教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值