spring security登录接口鉴权原理

最新推荐文章于 2024-06-14 00:38:20 发布
最新推荐文章于 2024-06-14 00:38:20 发布
阅读量245 收藏
点赞数
文章标签: spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48835367/article/details/131475825
版权
文章讲述了在使用SpringSecurity和Gateway进行统一鉴权时遇到的密码加密问题。登录接口调用findByUsername方法验证账号密码,但发现数据库存储明文密码,而代码中进行了加密处理。通过IDEA调试,作者找到了密码加密的方式,并发现登录参数的密码也需要经过相同方式加密后与数据库密码对比。当使用错误的密码时,生成的密文不同,而正确密码则能匹配成功。
摘要由CSDN通过智能技术生成

使用了gateway+spring security,项目当初打算使用gateway统一鉴权的,整合步骤点击此处
当时没有深入security,今天偶然看代码发现验证密码的时候加密了,但是登录表单提交的密码没有加密。看下代码吧

登录接口验证账号密码是否正确

  1. postman登录接口调用
    在这里插入图片描述

  2. findByUsername方法是登录接口验证密码,我们需要实现此方法来读取数据库账号密码。数据库存储的是明文密码,代码中封装返回值的时候进行加密了,那么内部怎么验证密码一致的呢?
    在这里插入图片描述

  3. 使用idea打断点查看是谁调用的findByUsername这个方法:
    在这里插入图片描述
    在这里插入图片描述
    这样就找到是谁调用的了,然后继续执行,发现这个方法是比对密码的
    在这里插入图片描述
    在这里插入图片描述

  4. 发现是加密后的数据库密码前缀代表了加密类型方式
    在这里插入图片描述
    支持的加密类型:在这里插入图片描述

  5. 到此获取到了加密方式,继续下一步
    在这里插入图片描述

  6. 发现是把登录接口入参的账号给加密了,然后判断加密后的密码和数据库表的密码是否一致 在这里插入图片描述
    这个加密逻辑很复杂,就是把密码加密
    在这里插入图片描述
    在这里插入图片描述

  7. 这是错误的密码,生成的密文不一致
    在这里插入图片描述

  8. 使用正确的密码调用登录接口,生成的密文一致在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

想花
关注
springSecurity实现接口鉴权
剪刀手何金银的技术博客
12-28 4188
定义认证处理 认证filter指对当前的请求进行判断,如果含有登录凭证,判断凭证是否正确,如果正确加载用户的基本信息和权限信息到上下文对象中,如果不正确则不加载,在过滤器的最后springsecurity会判断有没有加载正确的认证对象,没有则走未认证处理器。 定义filter 这里只写了一个最简单的例子,判断内存中是否存有请求头中带的token,有则将基本信息添加到上下文中 public class AuthFilter extends OncePerRequestFilter { @O
SpringSecurity-授权验证原理
陈海龙的格物之路
09-14 492
本文介绍SpringSecurity授权验证的原理。如果你还不了解原理,快来看看吧。
SpringSecurity接口资源鉴权
weixin_35749796的博客
01-08 378
Spring Security是一个用于为Java应用程序提供身份认证和访问控制的安全框架。 在Spring Security中,接口资源的访问权限通常是通过在接口上使用注解来实现的。 例如,使用@PreAuthorize注解可以在接口调用之前进行权限验证,只有当认证用户具有指定权限时,才能访问该接口。 例如: @PreAuthorize("hasAuthority('ROLE_ADMIN')")...
Spring Security账号密码认证 + 自定义鉴权(示例)
JustryDeng
04-09 4258
声明: 本文先演示效果,然后再给出几个相对关键的类;完整测试项目,可详见文末链接。 效果演示: 说明: 张三属于普通用户,能访问一些普通的页面以及/user页。 李四属于数据库管理员,能访问一些普通的页面以及/user页、/dba页。 王五属于超级管理员,能访问一些普通的页面以及/user页、/dba页、/admin页。 演示: 普通用户张三: 数据库管理员李四: 超级管理员王五...
Springsecurity的认证流程及鉴权流程(流程绝对清晰)
qq_60264381的博客
06-14 2355
我们知道在SpringSecurity中,usernamePassword会拦截登录请求,同时调用ProviderManager。ProviderManager内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制内部管理了多个AuthenticationProvider(接口)来实现灵活的认证机制也就是说,ProviderManager会决定调用具体AuthenticationProvider实现类来进行认证。
Spring Security 接口认证鉴权入门实践指南
互联网从业者/大数据架构师/全栈开发者
01-11 3114
Web API 接口服务场景里,用户的认证和鉴权是很常见的需求,Spring Security 据说是这个领域里事实上的标准,实践下来整体设计上确实有不少可圈可点之处,也在一定程度上印证了小伙们经常提到的 “太复杂了” 的说法也是很有道理的。 本文以一个简单的 SpringBoot Web 应用为例,重点介绍以下内容: 演示 Spring Security 接口认证和鉴权的配置方法; 以内存和数据库为例,介绍认证和鉴权数据的存储和读取机制; 若干模块的自定义实现,包括:认证过滤器、认证或鉴权失败处理器等
spring sercurity之鉴权
知我饭否
10-06 1207
在上一篇博客登录用户,我们需要对资源 url进行保护,这个就用到了鉴权。 我个人理解,spring sercurity 的鉴权的类 主要有这两个类。当然 我们也可以自定义类来完成相同的功能。 FilterSecurityInterceptor 这个类和我们配置文件的authorizeRequests息息相关,例如 那个url 需要登录,哪个url 不需要登录 就可以访问。 MethodSecur...
关于SpringSecurity动态鉴权流程的详细解析
Java技术攻略的博客
04-20 567
上文配置中放入了两个投票器,其中第二个投票器就是我们需要创建的投票器,我起名为。投票其也是有一个接口规范的,我们只需要实现这个接口就行了,然后实现它的方法。= null;// 拿到当前请求urilog.debug("进入自定义鉴权投票器,URI : {} {}", method, requestUrl);// 如果没有缓存中没有此权限也就是未保护此API,弃权// 拿到当前用户所具有的权限}else{
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
SpringSecurity动态鉴权流程的深度解析
2301_76607156的博客
04-20 265
上文配置中放入了两个投票器,其中第二个投票器就是我们需要创建的投票器,我起名为。投票其也是有一个接口规范的,我们只需要实现这个接口就行了,然后实现它的方法。= null;// 拿到当前请求urilog.debug("进入自定义鉴权投票器,URI : {} {}", method, requestUrl);// 如果没有缓存中没有此权限也就是未保护此API,弃权// 拿到当前用户所具有的权限}else{
springboot+jjwt+security完美解决restful接口无状态鉴权
weixin_33862041的博客
08-19 449
微服务大行其道的现在,如果我们还在用wsdl之类的提供接口,给人的感觉就会很low,虽然说不能为了炫技而炫技,但是既然restful接口已经越来越流行,必然有它的道理。 本文我们不讨论restful接口的好处,旨在解决使用restful时候的权限控制问题。 springboot本身已经提供了很好的spri...
使用SpringSecurity为API接口添加鉴权token
WiLL_XS的博客
03-16 5362
当我们使用SpringBoot实现了一个简单的API接口之后,我们如何去保证我们的API接口只让我们运行的人调用呢。这时候就需要对我们的API接口进行保护。在别人访问这些接口的时候,我们对访问者进行身份的验证,从而对接口的保护。 基本流程如下图: 当然我们需要一个接口给用户请求Token,要不然用户拿不到token怎么去请求其他资源呢。流程图如下: 接下来我们按照流程一步一步实现。 ...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Spring Security的认证与鉴权
sinat_38705282的博客
11-08 2469
一、前言 该文只是自己在学习微人事时,对Spring Security的初步了解。仅记录一下,供自己温习。 二、认证 spring security登录认证的流程----以用户名/密码验证为准 request:http请求 UsernamePaawordAuthenticationFilter:此处可以使用一个类来继承该类实现自定义的认证逻辑,如果需要从数据库读取用户名及密码,则需要自己实现一个UserDetailService的类,重loadUserByUsername方法,返回一个UserDetail
spring security如何添加无需鉴权接口
开发者导航
05-12 1万+
1、在项目中找到spring security的配置文件2、修改配置文件找到configure()方法,添加不需要鉴权接口请求:.antMatchers("/demo/**").anonymous()packagecom.ryi.rpcs.framework.config; importcom.ryi.rpcs.framework.security.filt...
山东交通学院在江西2020-2024各专业最低录取分数及位次表.pdf
10-02
那些年,与你同分同位次的同学都去了哪里?全国各大学在江西2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
西京学院在江西2020-2024各专业最低录取分数及位次表.pdf
10-02
那些年,与你同分同位次的同学都去了哪里?全国各大学在江西2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
山西师范大学在江西2020-2024各专业最低录取分数及位次表.pdf
最新发布
10-02
那些年,与你同分同位次的同学都去了哪里?全国各大学在江西2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
沈阳工业大学在江西2020-2024各专业最低录取分数及位次表.pdf
10-02
那些年,与你同分同位次的同学都去了哪里?全国各大学在江西2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
Spring框架源码深度解析
9. **Spring Acegi框架鉴权的实现**:Spring Acegi(现已被Spring Security替代)提供了一套安全框架。这部分可能涉及用户认证、权限检查的源码实现。 10. **Spring Acegi框架授权的实现**:授权是系统安全的重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值