认证篇:Spring Security 基于表单登录的认证模式

已于 2022-02-15 20:29:14 修改
阅读量605 收藏 5
点赞数 3
分类专栏: SpringSecurity 文章标签: java spring spring boot
于 2020-09-13 16:44:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46920376/article/details/108561551
版权

图1-3 总结图

原理探讨

当我们在项目中引入 Spring Security的相关依赖后,默认的就是表单登录形式;俗话说:“听人劝,吃饱饭”,既然 Spring Security已经给我们安排的明明白白了,我们就从表单登录开始吧。

在开始之前,我们可以站在 Spring Security的角度上思考:如果我自己来实现表单登录的功能,那么我需要做哪些工作呢?

就我个人而言,我可能会考虑以下几点:

  • 配置用户信息,存储如账号、密码等;密码不能以明文传输,需要加密功能

  • 执行校验

  • 认证成功或者失败的处理方案

可以简单的制作成如下流程图:

图1-1 表单登录简单流程图

上方属于我们自己设想的实现方案,属于"低配版"模式,下面我们来看看 Spring Security是怎么做的。 Spring Security的思路和我们大同小异,优点在于其提供了很好的封装,提高了框架本身的可扩展性。

Spring Security的实现步骤如下:

  1. UsernamePasswordAuthenticationFilter拦截器拦截前端传递的表单登录请求,将登录信息(username、password)封装成 UsernamePasswordAuthenticationToken,传递给 AuthenticationManager认证管理器

  2. AuthenticationManager认证管理器根据Token的类型遍历获取对应的Provider,也即是 DaoAuthenticationProvider,执行认证流程

  3. DaoAuthenticationProvider依靠 PasswordEncoderUserDetailsService对登录请求进行验证

  4. 验证通过,由AuthenticationSuccessHandler认证成功处理器进行处理

  5. 验证失败,由AuthenticationFailureHandler认证失败处理器进行处理

制作成流程图如示:

图1-2 Spring Security表单登录认证流程图

这时你可能会一脸懵逼:这咋和刚刚我们自己设想的完全不一样呀~ 又是Manager又是Provider的;莫慌,且听我慢慢道来。

上面出现了很多新的概念,我们目前不需要十分细致的了解它们是怎么发挥作用的,只需要大概知道它们有什么用的即可;具体的介绍会在下篇《认证(二):表单登录认证流程源码解析》娓娓道来。

  • UsernamePasswordAuthenticationFilter表单登录拦截器,用以捕获前端传递的登录信息(username、password),并将登录信息封装成某些Token

  • AuthenticationManager认证管理器,可简单的理解为分配工作的领导。DaoAuthenticationProviderDAO认证处理器,相当于被安排干活的童鞋;从名字DAO也可以简单的推测出:它与数据库中的用户信息密不可分。

  • PasswordEncoder密码加密器,密码不能铭文传输,需要加密。UserDetailsService用户信息Service层,这个也很好理解,前端传递的登录信息肯定是有对应的数据库实体存储。

  • AuthenticationSuccessHandler认证成功处理器 AuthenticationFailureHandler认证失败处理器。

经过上述的原理探讨,我们大体上能弄懂了整个表单登录有哪几个模块需要处理;可简单的总结为3个模块:

  1. 登录前置处理: 用户信息的封装、密码加密器的设置

  2. 登录中处理: 登录的校验

  3. 登录后置处理: 登录失败、登录成功的处理方案

小试牛刀

俗话说:“光说不练假把式”,那么就让我们来实战一番吧。

登录前置处理

作为一个Java Web项目,第一步当然是引入相关依赖;直接引入Spring Boot封装好的starter即可。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
Step-1 配置用户信息

Spring Security提供了UserDetails接口,用于获取用户的基本信息(账号密码、权限集合、是否锁定等等),我们只需要根据自身的业务场景,实现该接口即可。

Spring Security提供的UserDetails.class接口

public interface UserDetails extends Serializable {
   

    /**
     * 用户权限集,默认需要添加ROLE_作为前缀
     */
    Collection<? extends GrantedAuthority> getAuthorities();

    /**
     * 获取用户密码
     */
    String getPassword();

    /**
     * UserDetails的接口
     * 获取用户名
     */
    String getUsername();

     /**
     * 账户是否未过期  --true则为未过期
     */
    boolean isAccountNonExpired();

    /**
     * 账户是否未被锁定
     */
    boolean isAccountNonLocked();

    /**
     * 账户凭证是否未过期
     */
    boolean isCredentialsNonExpired();

    /**
     * 账户是否可用
     */
    boolean isEnabled();
}

自定义业务相关的用户信息类,业务定义的UserInfo.class必须带有usernamepassword相关的信息,用于做用户验证;项目根据自身需求来判断是否需要使用下

最低0.47元/天 解锁文章
小奇学编程
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security中的表单登录
白小纯的博客
06-08 607
前言 本文将介绍,在spring security中最基本的form表单登录,以及一些相关的配置。 自定义表单登录 如果我们不进行配置的话,spring security默认的登录页和登录接口都是/login,只不过一个是get请求一个是post请求而已。 get http://localhost:8080/login.html 访问页面 post http://localhost:8080/login.html 提交form数据 我们也可以把它们单独定义出来如下图中: @Configurati
Spring Security 表单登录
weixin_34297300的博客
06-18 158
1. 简介 本文将重点介绍使用Spring Security登录。 本文将构建在之前简单的Spring MVC示例之上,因为这是设置Web应用程序和登录机制的必不可少的。 2. Maven 依赖 要将Maven依赖项添加到项目中,请参阅Spring Security with Maven一文。 标准的spring-security-web和spring-security-config都是必需的。 ...
Spring Security表单登录
​​
05-25 1229
登录接口 很多初学者分不清登录接口和登录页面,这个我也很郁闷。我还是在这里稍微说一下。 登录页面就是你看到的浏览器展示出来的页面,像下面这个: 登录接口则是提交登录数据的地方,就是登录页面里边的 form 表单的 action 属性对应的值。 在 Spring Security 中,如果我们不做任何配置,默认的登录页面和登录接口的地址都是 /login,也就是说,默认会存在如下两个请求: GET http://localhost:8080/login POST http://localhost:8080
Spring Security - 04 使用表单登录认证方式
qq_29761395的博客
02-05 2079
文章目录环境项目结构测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) 项目结构 参考:Spring Security - 03 使用 Basic HTTP 认证方式 修改 WebSecurityConfigurer 配置类,使用表单登录
springsecurity 表单登录
sdaujsj1的博客
07-01 629
表单登录 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated()
SpringSecurity 自定义表单登录的实现
08-25
SpringSecurity 自定义表单登录的实现 SpringSecurity 是一个功能强大且灵活的安全框架...通过这文章,我们学习了如何在 SpringSecurity 中实现自定义表单登录。这个功能非常实用,能够满足我们在实际项目中的需求。
Spring Security 表单登录功能的实现方法
08-25
本文将详细介绍 Spring Security 表单登录功能的实现方法,并提供了一个基于 Spring MVC 的示例应用程序。 1. 简介 在本文中,我们将重点介绍使用 Spring Security 实现表单登录的方法。Spring Security 提供了一...
Java开发之spring security实现基于MongoDB的认证功能
08-28
在传统的JDBC环境中,Spring Security提供了内置的支持来处理基于数据库的用户认证。然而,随着NoSQL数据库的广泛应用,例如MongoDB,我们可能需要在非JDBC环境下自定义认证服务。本文将详细介绍如何在Spring ...
基于spring security实现登录注销功能过程解析
08-25
基于Spring Security实现登录注销功能过程解析 基于Spring Security实现登录注销功能过程解析是指使用Spring Security框架来实现登录和注销功能的过程。该过程主要涉及到security配置、登录页面、登录成功和失败...
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
Spring Security4 SSO和Form两种认证配置
07-09
前一遍讲的是SSO的简单配置,项目中有时会用到SSO+LoginFrom 两种登录方式的情况, spring security同样可以实现,在之前SSO的基础上加入FORM_LOGIN_FILTER过滤器即可 http://blog.csdn.net/crazystone4/article/details/51864802
[Spring Security] Spring Security基于表单登录认证
ShotMoon的博客
05-13 1444
1.基本原理SpringSecurity 最核心的部分是由一系列的过滤器组成的过滤器链,每个过滤器都负责处理一种认证方式,请求经过任何一个过滤器过滤后,都会在请求上做一个标记,来记录认证是否成功,最后由FilterSecurityInterceptor根据我们配置的权限来决定是否能通过认证,从而访问我们的服务。今天我们主要使用的是用来处理表单登录的UsernamePasswordAuthentic...
入门SpringSecurity——第一节、表单登录
weixin_44083561的博客
08-28 207
文章目录SpringSecurity初体验1.新建一个SpringBoot项目,添加Web和SpringSecurity依赖2.写一个接口进行测试2.1.在application.yml中进行配置2.2增加一个配置类![在这里插入图片描述](https://img-blog.csdnimg.cn/0abe5f3b02c649a8b3d4698147b5a8d3.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,t
Spring Security自定义表单登录详解
qq_40548741的博客
07-29 2326
前面我们简单使用Spring Security 的基本用法Spring Security使用 我们使用的是默认的登录页面,这个登录页面我们是可以自定义的。 接下来我们继续完善前面的 SecurityConfig 类,继续重写它的 configure(WebSecurity web) 和 configure(HttpSecurity http) 方法 import org.springframework.context.annotation.Bean; import org.springframewor
SpringSecurity学习总结-3 使用SpringSecurity开发基于表单登录
Mr_XiMu的博客
02-15 1407
SpringSecurity学习总结-3 使用SpringSecurity开发基于表单登录
Security 表单登陆二
qq_42126105的博客
08-23 220
Spring security自定义表单登陆
SpringSecurity(一)表单登录登录认证
黄沙客栈
08-17 558
SpringSecurity(一)表单登录登录认证 springsecurityspring推荐的安全权限框架,今天我们来看看它的原理,后面会放github地址 springsecurity包含了两部分:登录认证和访问授权 1.登录认证 –首先我们来看看表单登录表单登录需要在security配置类里面配置HttpSecurity 的 formLogin @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnable
SpringSecurity一:开发基于表单登录
w1lgy的博客
09-10 275
文章目录一、SpringSecurity基本原理:1、基本原理2、基本代码二、自定义用户认证逻辑1、根据用户名获取用户信息2、处理用户校验逻辑3、处理密码加密解密三、个性化用户认证流程1、自定义登录2、自定义登录成功和失败处理四、认证流程原理详解1、认证流程源码级详解2、认证结果如何在多个请求之间共享3、获取认证用户信息 前言:SpringSecurity系列是比较高级的内容,需要有一定的基础才能学得懂,例如需要熟悉spring系列,熟悉filter和interceptor,还得有实际的开发经验;这个系列的
使用SpringSecurity开发基于表单认证
m0_37208669的博客
03-26 717
文章目录SpringSecurity核心功能SpringSecurity基本原理案例演示默认HttpBasic验证行为覆盖掉HttpBasic行为:跳转表单认证坑原理说明源代码导读用户名+密码认证自定义用户认证逻辑获取用户信息:UserDetailsService校验用户:UserDetails密码处理:PasswordEncoder自定义用户认证流程自定义登陆页坑处理不同类型的请求:html o...
Spring Security基于用户名和密码的认证模式流程?
最新发布
07-17
Spring Security基于用户名和密码的认证模式的流程如下: 1. 用户在登录页面输入用户名和密码。 2. 用户提交登录表单后,Spring Security会拦截该请求,并将用户名和密码封装到一个Authentication对象中。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值