spring security登录接口鉴权原理

于 2023-06-30 14:59:22 发布
阅读量191 收藏
点赞数
文章标签: spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48835367/article/details/131475825
版权

使用了gateway+spring security,项目当初打算使用gateway统一鉴权的,整合步骤点击此处
当时没有深入security,今天偶然看代码发现验证密码的时候加密了,但是登录表单提交的密码没有加密。看下代码吧

登录接口验证账号密码是否正确

  1. postman登录接口调用
    在这里插入图片描述

  2. findByUsername方法是登录接口验证密码,我们需要实现此方法来读取数据库账号密码。数据库存储的是明文密码,代码中封装返回值的时候进行加密了,那么内部怎么验证密码一致的呢?
    在这里插入图片描述

  3. 使用idea打断点查看是谁调用的findByUsername这个方法:
    在这里插入图片描述
    在这里插入图片描述
    这样就找到是谁调用的了,然后继续执行,发现这个方法是比对密码的
    在这里插入图片描述
    在这里插入图片描述

  4. 发现是加密后的数据库密码前缀代表了加密类型方式
    在这里插入图片描述
    支持的加密类型:在这里插入图片描述

  5. 到此获取到了加密方式,继续下一步
    在这里插入图片描述

  6. 发现是把登录接口入参的账号给加密了,然后判断加密后的密码和数据库表的密码是否一致 在这里插入图片描述
    这个加密逻辑很复杂,就是把密码加密
    在这里插入图片描述
    在这里插入图片描述

  7. 这是错误的密码,生成的密文不一致
    在这里插入图片描述

  8. 使用正确的密码调用登录接口,生成的密文一致在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

想花
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于SpringSecurity动态鉴权流程的详细解析
Java技术攻略的博客
04-20 529
上文配置中放入了两个投票器,其中第二个投票器就是我们需要创建的投票器,我起名为。投票其也是有一个接口规范的,我们只需要实现这个接口就行了,然后实现它的方法。= null;// 拿到当前请求urilog.debug("进入自定义鉴权投票器,URI : {} {}", method, requestUrl);// 如果没有缓存中没有此权限也就是未保护此API,弃权// 拿到当前用户所具有的权限}else{
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring Security账号密码认证 + 自定义鉴权(示例)
JustryDeng
04-09 4161
声明: 本文先演示效果,然后再给出几个相对关键的类;完整测试项目,可详见文末链接。 效果演示: 说明: 张三属于普通用户,能访问一些普通的页面以及/user页。 李四属于数据库管理员,能访问一些普通的页面以及/user页、/dba页。 王五属于超级管理员,能访问一些普通的页面以及/user页、/dba页、/admin页。 演示: 普通用户张三: 数据库管理员李四: 超级管理员王五...
springSecurity源码之鉴权原理
kaige8312的博客
03-13 480
上文配置中放入了两个投票器,其中第二个投票器就是需要创建的投票器,起名为 AccessDecisionProcessor。投票其也是有一个接口规范的,只需要实现这个 AccessDecisionVoter 接口就行了,然后实现它的方法。具体的实现返回 int,可能的值反映在 AccessDecisionVoter 静态字段如果投票实施对授权决定没有意见,则将返回 ACCESS_ABSTAIN。如果确实有意见,则必须返回 ACCESS_DENIED 或 ACCESS_GRANTED@Slf4j。
SpringSecurity-授权验证原理
陈海龙的格物之路
09-14 446
本文介绍SpringSecurity授权验证的原理。如果你还不了解原理,快来看看吧。
Spring Boot整合Spring Security实现认证鉴权
weixin_57392053的博客
06-24 1963
Spring Security是一个基于Spring框架的安全性框架,可以为Web应用程序提供身份验证(Authentication)、授权(Authorization)、攻击防御等安全功能。Spring Security框架提供了一整套的身份验证、授权、ACL(访问控制列表)等模块和类库,还提供了一系列的安全过滤器、安全标签等,可以方便地实现常见的安全性控制。
SpringSecurity实现动态鉴权
weixin_42943586的博客
06-25 1039
SpringSecurity鉴权原理 整个认证的过程其实一直在围绕图中过滤链的绿色部分,而我们今天要说的动态鉴权主要是围绕其橙色部分,也就是图上标的:FilterSecurityInterceptor。 FilterSecurityInterceptor 想知道怎么动态鉴权首先我们要搞明白SpringSecurity鉴权逻辑,从上图中我们也可以看出:FilterSecurityInterceptor是这个过滤链的最后一环,而认证之后就是鉴权,所以我们的FilterSecurityInterceptor
springcloud — 微服务鉴权管理Spring Security OAuth2原理解析(三)
qq_38658567的博客
01-26 1369
回顾之前文章: 1. 微服务鉴权管理之OAuth2原理解析(一), 2. 微服务鉴权管理Spring Security原理解析(二) 前面的部分,我们关注了Spring Security是如何完成认证工作的,接下来将继续讲解接口对接中常使用的密码模式(以下简称password模式)和客户端模式(以下简称client模式)。授权码模式使用到了回调地址,是最为复杂的方式,通常网站中经常出现的微博,qq第三方登录,都会采用这个形式。简化模式不常用。 1、概述 使用oauth2保护你的应用,可以分为简易的分为三个步
springcloud — 微服务鉴权管理Spring Security原理解析(二)
qq_38658567的博客
01-24 809
回顾之前介绍的OAuth2简单分析与介绍,微服务鉴权管理之OAuth2原理解析(一),本文将进一步对OAuth2的原理和使用做进一步的分析;
springcloud — 微服务鉴权管理Spring Security OAuth2原理解析(四)
qq_38658567的博客
01-27 824
回顾之前文章: 1. 微服务鉴权管理之OAuth2原理解析(一) 2. 微服务鉴权管理Spring Security原理解析(二) 3. 微服务鉴权管理Spring Security OAuth2原理解析(三) 本文开始从源码的层面,讲解一些Spring Security Oauth2的认证流程。 1、AuthorizationServerConfigurerAdapter 上一篇博客中我们尝试使用了password模式和client模式,有一个比较关键的endpoint:/oauth/token。从这个入
spring security http接口鉴权使用示范项目
03-01
spring security http接口鉴权使用示范项目
SpringSecurity动态加载用户角色权限实现登录鉴权功能
08-25
主要介绍了SpringSecurity动态加载用户角色权限实现登录鉴权功能,很多朋友感觉这个功能很难,今天小编通过实例代码给大家讲解,需要的朋友可以参考下
Spring Security自定义登录原理及实现详解
09-07
主要介绍了Spring Security自定义登录原理及实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springsecurity源码(鉴权有缺陷)
05-20
springsecurity源码(鉴权有缺陷)
前18大旋转修整器企业占据全球87%的市场份额.docx
05-06
前18大旋转修整器企业占据全球87%的市场份额
Planet-SkySat-Imagery-Product-Specification-Jan2020.pdf
05-06
SKYSAT IMAGERY PRODUCT SPECIFICATION PLANET.COM VIDEO Full motion videos are collected between 30 and 120 seconds by a single camera from any of the active SkySats. Videos are collected using only the Panchromatic half of the camera, hence all videos are PAN only. Videos are packaged and delivered with a video mpeg-4 file, plus all image frames with accompanying video metadata and a frame index file (reference Product Types below)
Screenshot_20240506_133458_com.netease.yhtj.vivo.jpg
05-06
Screenshot_20240506_133458_com.netease.yhtj.vivo.jpg
2019年A~F题特等奖论文合集.pdf
最新发布
05-06
大学生,数学建模,美国大学生数学建模竞赛,MCM/ICM,历年美赛特等奖O奖论文
SpringSecurity接口资源鉴权
09-06
### 回答1: Spring Security是一个用于为Java应用程序提供身份认证和访问控制的安全框架。 在Spring Security中,接口资源的访问权限通常是通过在接口上使用注解来实现的。 例如,使用`@PreAuthorize`注解可以在接口调用之前进行权限验证,只有当认证用户具有指定权限时,才能访问该接口。 例如: ``` @PreAuthorize("hasAuthority('ROLE_ADMIN')") @GetMapping("/api/admin/users") public List<User> getAllUsers() { // implementation } ``` 在这个例子中,只有具有`ROLE_ADMIN`角色的用户才能访问`/api/admin/users`接口。 ### 回答2: Spring Security是一个功能强大的开源框架,主要用于实现应用程序的身份认证和授权功能。其中,接口资源鉴权Spring Security的一个重要功能。 Spring Security提供了丰富的API和配置选项,可以灵活地定义接口资源的访问权限。下面是使用Spring Security进行接口资源鉴权的一般步骤: 1. 引入Spring Security依赖:在项目的配置文件中添加Spring Security的依赖项,以便使用Spring Security相关的类和接口。 2. 配置SecurityConfig类:创建一个SecurityConfig类并继承自WebSecurityConfigurerAdapter,用于配置鉴权相关的信息。在该类中可以定义认证方式、授权规则等。 3. 实现UserDetailsService接口:创建一个类实现UserDetailsService接口,并重写loadUserByUsername方法来自定义用户的认证方式。在该方法中可以根据用户名从数据库或其他数据源中获取用户的详细信息,并返回一个UserDetails对象。 4. 定义授权规则:通过SecurityConfig类的configure方法,使用antMatchers等方法来定义接口的访问权限。可以根据URL、请求方法等多个条件来进行配置,如将某些接口限制为只有管理员角色可以访问。 5. 启用Spring Security:在项目的配置文件中启用Spring Security,可以通过注解@EnableWebSecurity来启用Spring Security功能。 通过以上步骤的配置,Spring Security会在请求接口时对用户进行身份认证,并根据配置的授权规则判断用户是否有访问该接口的权限。如果用户没有权限,则会返回相应的错误信息或跳转到指定的页面。 总结来说,Spring Security接口资源鉴权功能可以通过配置SecurityConfig类和实现UserDetailsService接口来自定义认证和授权规则,从而保证应用程序的接口访问权限的安全性。 ### 回答3: Spring Security是一个用于处理认证和授权的框架,接口资源鉴权是其中的一个重要功能。 首先,Spring Security提供了一种灵活的方式去定义和管理用户的认证信息。它支持多种认证方式,包括基于表单、基于HTTP Basic Auth、基于JSON Web Token(JWT)等。用户在访问接口资源前,需要进行身份认证,通过用户名密码等信息进行验证。 其次,Spring Security还提供了一套丰富的授权机制,可以细粒度地控制用户对接口资源的访问权限。可以通过注解、配置文件或者自定义实现的方式,来定义接口资源的访问规则。例如,可以在控制器的方法上添加`@PreAuthorize`注解,指定需要具备的角色或权限才能访问该接口。 在接口资源鉴权过程中,Spring Security还提供了一些常用的特性,例如CSRF(跨站请求伪造)防护、Session管理,以及日志记录等。这些功能可以帮助开发者更好地保护接口资源的安全性和完整性。 总结来说,Spring Security接口资源鉴权是通过认证和授权来保护接口资源的安全性。它提供了灵活的认证方式和丰富的授权机制,可以根据应用的需求进行定制化配置。通过使用Spring Security,我们能够更好地确保接口资源只被合法用户访问,并保护用户数据的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值