SpringSecurity默认用户名密码从哪来,为什么要写UserDetails...

最新推荐文章于 2024-10-02 10:10:26 发布
最新推荐文章于 2024-10-02 10:10:26 发布
阅读量8.6k 收藏 25
点赞数 13
分类专栏: springboot 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46827107/article/details/120215626
版权

1、创建一个普通的Spring boot项目

image-20210909203917251

image-20210909204138086

创建好项目后,直接启动,在控制台上会打印密码:

image-20210909204503353

此时在浏览器输入http://localhost:8080,会跳转到登录页面:

默认用户名为user,密码就是控制台打印的。

image-20210909204710417

这就说明spring security生效了!

2、自定义用户名密码

首先我们需要先了解,为什么会有默认的用户名和密码,这说明肯定是有一个自动配置类。

在idea中,双击shift键,输入UserDetailsServiceAutoConfiguration我们会发现:

@Bean
@ConditionalOnMissingBean(
    type = "org.springframework.security.oauth2.client.registration.ClientRegistrationRepository")
@Lazy
// InMemoryUserDetailsManager说明此时的用户信息是保存在内存中的,下次启动密码又会变化,但是我们重点不是这个
public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties,
                                                             ObjectProvider<PasswordEncoder> passwordEncoder) {
    // SecurityProperties中有一个User,在下一个代码解释中,我们看看这个User到底是个啥
    SecurityProperties.User user = properties.getUser();
    List<String> roles = user.getRoles();
    return new InMemoryUserDetailsManager(
        User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
        .roles(StringUtils.toStringArray(roles)).build());
}

private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
    String password = user.getPassword();
    if (user.isPasswordGenerated()) {
        // 还记得控制台打印的那个密码吗?
        // Using generated security password: 8e45224d-58c8-4776-ba43-d3808def675e
        logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
    }
    if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
        return password;
    }
    return NOOP_PASSWORD_PREFIX + password;
}

我们点进User看看这个User为何方神圣:

// 它是SecurityProperties的一个静态内部类
public static class User {

    /**
	 * Default user name.
	*/
    private String name = "user"; // 默认的信息

    /**
	* Password for the default user name.
	*/
    private String password = UUID.randomUUID().toString();  // 默认的密码UUID

   ......

}

目前位置我们知道了默认的账号和密码是怎么来的了,但是怎么修改呢?

我们先通过配置,因为我们知道有SecurityProperties这个配置类了,那肯定能通过配置文件进行配置

application.yml中:

spring:
  security:
    user:
      name: butcher
      password: bb123

重启项目,我们发现控制台已经没有打印密码了

重新访问http://localhost:8080

image-20210909211114575

可登录成功,但这并不是我们想要的结果,我们希望这个用户名密码是我们动态设置的,而不是在配置文件中写死的。

返回到UserDetailsServiceAutoConfiguration,在类名上有这么一段注解

@ConditionalOnMissingBean(
    value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class },
    type = { "org.springframework.security.oauth2.jwt.JwtDecoder",
            "org.springframework.security.oauth2.server.resource.introspection.OpaqueTokenIntrospector" })
// 说明如果我们自定义了UserDetailsService.class这个类并将它放置到IOC容器里面,这个默认配置就会失效,当然有其他的也会

那么我们看看UserDetailsService 是个啥?

public interface UserDetailsService {

	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

}
// 省去了注解:注解的大致内容是通过username去数据库里查出完整的用户信息,那么完整的用户信息应该就是UserDetails了

我们在我们的service 层创建一个UserDetailsService的实现类。

/**
 * 实现了这个接口,默认的用户名密码自动配置就失效啦!
 */
@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return null;
    }
}

这时我们的问题又冒出来了,那么完整的用户信息应该包含什么呢?

我们点开UserDetails这个类

// 首先它是个接口
// 类上注解的大意为:
// 出于安全目的,Spring Security不直接使用实现。它们只存储用户信息,这些信息随后被封装到Authentication对象中。
// 这允许将非安全相关的用户信息(如电子邮件地址、电话号码等)存储在方便的位置。
public interface UserDetails extends Serializable {

	/**
	 * 返回授予用户的权限集合,不能返回null
	 */
	Collection<? extends GrantedAuthority> getAuthorities();

	/**
	 * 用户的密码
	 */
	String getPassword();

	/**
	 * 返回用户名,用户名也不能为空
	 */
	String getUsername();

	/**
	 * 用户是否过期,没有过期就返回true
	 */
	boolean isAccountNonExpired();

	/**
	 * 用户是否被锁定,锁定返回true。
	 */
	boolean isAccountNonLocked();

	/**
	 * 用户凭证是否可用,可用返回true
	 */
	boolean isCredentialsNonExpired();

	/**
	 * 用户是否启用了,启用了返回true
	 */
	boolean isEnabled();

}

既然和我们安全有关,那么我们在我们security包创建UserDetails的实现类。

public class MyUserDetails implements UserDetails {

    // 添加一些自己的属性,以便从外部设置值
    private String username;
    private String password;
    private Collection<? extends GrantedAuthority> Authorities;
    // 默认都为true 过期了咱再改,同时也方便测试
    private boolean isAccountNonExpired = true;
    private boolean isAccountNonLocked = true;
    private boolean isCredentialsNonExpired = true;
    private boolean isEnabled = true;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.Authorities;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return this.isAccountNonExpired;
    }

    @Override
    public boolean isAccountNonLocked() {
        return this.isAccountNonLocked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return this.isCredentialsNonExpired;
    }

    @Override
    public boolean isEnabled() {
        return this.isEnabled;
    }

	省略了setter方法,请手动生成,或使用lombok生成
}

然后我们就可以在MyUserDetailsService中使用了!

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    // 假设这个MyUserDetails是我们从数据库中查出来的
    MyUserDetails myUserDetails = new MyUserDetails();
    myUserDetails.setUsername("tanxi");
    myUserDetails.setPassword("tx1234");
    return myUserDetails;
}

将之前我们再配置文件中配置的用户名和密码删除!

再重新运行项目!

这时候会报一个异常:There is no PasswordEncoder mapped for the id "null"

sercurity要求我们的密码一定是经过加密的,所以我们需要将密码进行加密。

我们需要一个PasswordEncoder类,双击shift查找:

public interface PasswordEncoder {

	/**
	 * 对原始密码进行编码。通常,一个好的编码算法应用SHA-1或更大的哈希值与一个8字节或更大的随机生成的salt相结合。
	 * 其中CharSequence是一个可读的字符序列,是个接口,很多类都实现了这个接口,例如String、CharArray等
	 */
	String encode(CharSequence rawPassword);

	/**
	 * 验证从存储器获得的编码密码在编码后是否与提交的原始密码匹配。如果密码匹配,则返回true;如果密码不匹配,则返回false。
	 * rawPassword是需要匹配的密码,encodedPassword是数据库中的密码
	 */
	boolean matches(CharSequence rawPassword, String encodedPassword);

	/**
	 * 如果为了更好的安全性,应再次对编码的密码进行编码,则返回true,否则返回false。默认实现总是返回false。
	 */
	default boolean upgradeEncoding(String encodedPassword) {
		return false;
	}

}

上面是一个接口,我们可以自定义加密的方式,自己实现一个加密!

// 不是必须加@Component注解,只是为了可以方便使用
@Component
public class MyPasswordEncoder implements PasswordEncoder {

    // 这是盐推荐8字节或更大的,这是我们从源码里知道的
    final String salt = "butchersoyoung";

    @Override
    public String encode(CharSequence rawPassword) {

        try {
            // 使用JDk自带的MD5加密
            MessageDigest md5 = MessageDigest.getInstance("MD5");
            // CharSequence转为String,才能获取到字节数组,StandardCharsets.UTF_8是标准的字符集
            byte[] bytes = md5.digest((rawPassword.toString() + salt).getBytes(StandardCharsets.UTF_8));

            return new String(bytes,StandardCharsets.UTF_8);
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return null;
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        // rawPassword是我们要验证的原密码 ,encodedPassword这是我们加密后的数据库中的密码
        // 这个方法并不需要我们手动调用,而是由SpringSecurity来调用,我们写好规则就可以了~

        // 这里就没有做过多的验证了,只是为了说明密码是可以自己加密的,自己定匹配规则的
        if (rawPassword != null && encodedPassword != null){
            return encode(rawPassword).equals(encodedPassword);
        }else {
            return false;
        }
    }
}

注意:关于PasswordEncoder的实现类,Spring推荐我们使用BCryptPasswordEncoder,它使用了强哈希算法,怎么说都比我们自定义的加密要安全多~

自定义加密只是为了方便我们理解,原来就这么回事儿~

MyUserDetailsService中修改一下,解决我们上面遇到的密码未加密问题。

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    MyPasswordEncoder myPasswordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 假设这个MyUserDetails是我们从数据库中查出来的
        MyUserDetails myUserDetails = new MyUserDetails();
        myUserDetails.setUsername("tanxi");
        String encodePassword = myPasswordEncoder.encode("tx1234");
        myUserDetails.setPassword(encodePassword);
        return myUserDetails;
    }
}

此时就可以测试成功啦!

butcher2000
关注
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring Security 手把手带你入门到精通
用针戳左手中指指头的博客
06-18 2144
本文作为第一篇,会用实例来说明SpringSecurity在生产中的用法,扩展它的功能,每个方案都会有一个完整的实例代码,代码仓库于文末贴出。该篇所涉及理论较少,以实例为主。这个版本在数据库版本上呢,升级了登录的自定义功能,可以根据项目设置自己的登录页、首页、登录处理的api,和登录成功与失败的回调处理;题外话:前后不分离的方式好处就是快速开发,方便部署,但其缺点也是显而易见的,随着迭代项目也会越来越大,主流还是分布式的,单体项目现在也很少见了。
【第三章】Spring Security自动配置之登录用户
最新发布
单纯的小孩的博客
10-02 809
spring security配置登录用户
SpringSecurity初体验之手动配置用户名密码
01-07
此文章是记录博主在学习springsecurity时的笔记 第一步 创建一个SpringBoot工程,勾选上需要的依赖。 第二步 创建一个名为securityconfig的配置类,该类基础了父类WebSecurityConfigurerAdapter(提供用于创建WebSecurityConfigurer实例的便捷基类。 该实现允许通过覆盖方法进行自定义。),并在该类中重了参数为AuthenticationManagerBuilder(作用:用于创建AuthenticationManagerSecurityBuilder。 允许轻松构建内存身份验证,LDAP身份验证,基于JDBC的身份验证
SpringBootSecurity默认用户名密码
koko创作
12-01 1万+
创建SpringBoot项目时勾选了SpringSecurity. pom.xml的配置 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <de.
springsecurity默认用户名密码_学习学习SpringSecurity
weixin_39689347的博客
11-26 1105
Spring Security 思维导图添加描述简介SpringSecuritySpring下的一个安全框架,与shiro 类似,一般用于用户认证(Authentication)和用户授权(Authorization)两个部分,常与与SpringBoot相整合。初阶 Spring Security添加maven依赖<dependency> <groupI...
一分钟带你了解下Spring Security
Java碎碎念
11-19 395
点击上方“Java碎碎念”,关注公众号优质文章,第一时间送达本文目录 一、什么是Spring Security?二、Spring Security的主要功能三、快速入门案例1:接口不添加保护案例2:接口添加保护四、自定义认证和授权一、什么是Spring SecuritySpring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它是用于保护基于Spring的应用程序的实际...
springsecurity默认用户名密码_Spring Security概述
weixin_39981681的博客
11-26 1353
简介Spring Security是一个功能强大、高度可定制的身份验证和访问控制框架。它实际上是保护基于Spring的应用程序的标准。Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全的真正威力在于它可以很容易地被扩展以满足定制需求。SpringSecurity 过滤器链SpringSecurity 采用的是责任链的设...
springsecurity默认用户名密码
09-19
Spring Security 默认不提供用户名密码,而是通过配置文件进行自定义设置。在Spring Security的配置文件中,可以通过使用`UserDetailsService`接口的实现类来创建用户,并配置他们的用户名密码。下面是一个示例...
Spring Security UserDetails实现原理详解
09-07
`UserDetails`是Spring Security提供的一个接口,它包含了关于用户的所有关键信息,如用户名密码、权限等。在实际应用中,你需要实现这个接口来存储和检索应用程序的用户数据。`UserDetails`接口的主要方法有: 1...
SpringSecurity用户名密码登录
single_cong的博客
01-07 2441
开始进行实际的Security的代码编Security官方文档 过滤器链: 目前已有的,后面再加也是加在绿色的过滤器链位置。 建表(用户表,用于登录) CREATE TABLE `account` ( `id` varchar(32) NOT NULL COMMENT '主键,UUID编码', `user_name` varchar(11) DEFAULT NULL COMMENT...
Spring Security: 自定义用户名密码认证
dengdeying的博客
12-17 1177
1. 实现多用户访问 2. 从指定数据源中检索用户数据。 3. 使用自定义的登陆页面。
SpringSecurity学习笔记(1)用户名密码设置
OriSu
06-09 732
准备工作 SpringBootSpringSecurity的整合十分方便,只要导入依赖即可,导入后就会自动保护所有的Controller <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 账
spring security默认用户名密码以及在配置文件配置一个账号和密码
weixin_42471170的博客
06-08 1万+
1. spring security默认用户名密码 spring security默认用户名:user spring security默认密码: 在控制台打印出来,如下: Using generated security password: 1dfdgki3-q234-76hj-6h7l-1re87f546r646 2.spring security在yml文件配置用户名密码 spring: security: user: name: nba password:
springsecurity默认用户名密码_看完这一篇,你就对 Spring Security 略窥门径了 | 原力计划...
weixin_39593469的博客
11-26 797
作者 | BoCong-Deng来源 | CSDN 博客,责编 | 夕颜头图 | CSDN 下载自东方 IC出品 | CSDN(ID:CSDNnews)在前面开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。我...
Spring Security】5.SecurityProperties:配置默认用户名密码
qq_39921135的博客
04-08 860
默认情况下Spring Security将初始的用户名密码存在了SecurityProperties类中。这个类中有一个静态内部类User,配置了默认用户名(name = “user”)和密码(password = uuid)我们也可以将用户名密码配置在SpringBoot的配置文件中:在application.properties中配置自定义用户名密码
Spring Security - 06 修改默认用户名密码
qq_29761395的博客
02-05 3049
文章目录环境项目结构测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) 项目结构 参考:Spring Security - 05 原生的退出登录 从 Web > 4. Spring Security 文中可知,默认用户名是 user
SpringSecurity配置了账号,密码,命令行依旧显示默认密码
质量不太好的博客
03-11 758
SpringSecurity配置了账号,密码,命令行依旧显示默认密码
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
热门推荐
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
SpringSecurity用户认证设置用户名密码的三种方式
xzy的博客
12-20 6643
文章目录SpringSecurity用户认证设置用户名密码的三种方式首先明白几个单词的意思:SpringSecurity默认的用户认证1.通过配置文件进行用户认证2.通过配置类进行用户认证There is no PasswordEcoder mapped for the id "null"异常异常出现原因解决办法在内存中存取密码方式PasswordEncoder接口3.通过自定义编用户细节实现类(需要查询数据库)进行用户认证 SpringSecurity用户认证设置用户名密码的三种方式 首先明白几个单
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值