spring boot security自定义认证

最新推荐文章于 2024-04-29 21:49:15 发布
最新推荐文章于 2024-04-29 21:49:15 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: spring全家桶 文章标签: spring boot 后端 java security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x763795151/article/details/131499404
版权

前言

前置阅读

spring boot security快速使用示例
spring boot security之前后端分离配置

说明

实际场景,我们一般是把用户信息保存在db中(也可能是调用三方接口),需要自定义用户信息加载或认证部分的逻辑,下面提供一个示例。

代码示例

定义用户bean

@AllArgsConstructor
@Data
public class User {

    private String username;

    private String password;
}

定义Mapper

示例,代码写死了,并不是实际从数据库或某个存储查询用户信息:

@Component
public class UserMapper {

   public User select(String username) {
        return new User(username, "pass");
    }
}

定义加载用户数据的类

UserDetailsService 是spring security内置的加载用户信息的接口,我们只需要实现这个接口:

@Slf4j
@Component
public class UserDetailsServiceImpl implements UserDetailsService {

    public static final UserDetails INVALID_USER =
            new org.springframework.security.core.userdetails.User("invalid_user", "invalid_password", Collections.emptyList());

    private final UserMapper userMapper;

    public UserDetailsServiceImpl(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名从数据库查询用户信息
        User user = userMapper.select(username);
        if (user == null) {
            /**
             * 如果没查询到这个用户,考虑两种选择:
             * 1. 返回一个标记无效用户的常量对象
             * 2. 返回一个不可能认证通过的用户
             */
            return INVALID_USER;
//            return new User(username, System.currentTimeMillis() + UUID.randomUUID().toString(), Collections.emptyList());
        }
        /**
         * 这里返回的用户密码是否为库里保存的密码,是明文/密文,取决于认证时密码比对部分的实现,每个人的场景不一样,
         * 因为使用的是不加密的PasswordEncoder,所以可以返回明文
         */
        return new org.springframework.security.core.userdetails.User(username, user.getPassword(), Collections.emptyList());
    }
}

自定义认证的bean配置

@Configuration
public class WebConfiguration {

    @Bean
    public PasswordEncoder passwordEncoder() {
        // 示例,不对密码进行加密处理
        return NoOpPasswordEncoder.getInstance();
    }


    @Bean
    public AuthenticationManager authenticationManager(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder) {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        // 设置加载用户信息的类
        provider.setUserDetailsService(userDetailsService);
        // 比较用户密码的时候,密码加密方式
        provider.setPasswordEncoder(passwordEncoder);
        return new ProviderManager(Arrays.asList(provider));
    }

}

注意,因为这个是示例,AuthenticationProvider使用的是spring security的DaoAuthenticationProvider ,在实际场景中,如果不满足可以自定义实现或者继承DaoAuthenticationProvider ,重写其中的:additionalAuthenticationChecks方法,主要就是认证检查的,默认实现如下:

	@Override
	@SuppressWarnings("deprecation")
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		// 就是比对下请求传过来的密码和根据该用户查询的密码是否一致,passwordEncoder是根据不同的加密算法进行加密,示例我们用的是NoOpPasswordEncoder,也就是原始明文比对
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}

定义登录接口

@RequestMapping("/login")
@RestController
public class LoginController {

    private final AuthenticationManager authenticationManager;

    public LoginController(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @PostMapping()
    public Object login(@RequestBody User user) {
        try {
            // 使用定义的AuthenticationManager进行认证处理
            Authentication authenticate = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));
            // 认证通过,设置到当前上下文,如果当前认证过程后续还有处理的逻辑需要的话。这个示例是没有必要了
            SecurityContextHolder.getContext().setAuthentication(authenticate);
            return "login success";
        }catch (Exception e) {
            return "login failed";
        }
    }

    /**
     * 获取验证码,需要的话,可以提供一个验证码获取的接口,在上面的login里把验证码传进来进行比对
     */
    @GetMapping("/captcha")
    public Object captcha() {
        return "1234";
    }
}

自定义HttpSecurity

@Component
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 在这里自定义配置
        http.authorizeRequests()
                // 登录相关接口都允许访问
                .antMatchers("/login/**").permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .exceptionHandling()
                // 认证失败返回401状态码,前端页面可以根据401状态码跳转到登录页面
                .authenticationEntryPoint((request, response, authException) ->
                        response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase()))
                .and().cors()
                // csrf是否决定禁用,请自行考量
                .and().csrf().disable()
                // 采用http 的基本认证.
                .httpBasic();
    }
}

测试

示例中,用户密码写死是:pass,
用一个错误的密码试一下,响应登录失败:
在这里插入图片描述
使用正确的密码,响应登录成功:
在这里插入图片描述

不识君的荒漠
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security (一):自定义认证
weixin_55136824的博客
07-28 589
Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架,spring security 在程序启动时,向spring中注入一个默认的filterChian,按照顺序,依次执行filter,对用户信息进行认证,授权。官网链接: Spring Security :: Spring SecurityCorsFilterCsrfFilterOpenIDSiteMinder其中,默认的认证过滤器为 UsernamePasswordAuthenticationFilter。
4、security之自定义数据源
程序三两行
07-20 453
spring security 内存认证和自定义数据源认证
Spring Boot | Spring Security ( SpringBoot安全管理 )、Spring Security中 的 “自定义用户认证
最新发布
m0_70720417的博客
04-29 1229
目录 : Spring Boot 安全管理 : 一、Spring Security 介绍 二、Spring Security 快速入门 2.1 基础环境搭建 : ① 创建Spring Boot 项目 ② 创建 html资源文件 ③ 编写Web控制层 2.2 开启安全管理效果测试 : ④ 添加 spring-boot-starter-security 启动器 ⑤ 项目启动测试 三、"MVC Security" 安全配置介绍 四、自定义 "用户认证" ......
SpringSecurity(四)【自定义认证流程详解】
Vinjcent
10-25 1206
– 在项目中,如果要覆盖默认权限、授权自动配置,需要让 DefaultWebSecurityCondition 这个类失效– 添加如下配置可以实现自定义对资源权限规则设置 4.2 自定义登录界面 根据前面分析可知,校验用户名密码是根据 UsernamePasswordAuthenticationFilter 这个过滤器执行的,要求 定义一个跳转到login.html页面的controller 在 templates 中定义登陆界面 【注意】当前login.html页面的文本输入框name参数以
Springboot+Security(一)自定义验证
weixin_43606226的博客
12-19 1029
Springboot+Security验证授权,访问资源鉴权1.数据库表:2.验证授权2.1 实体类User.Java2.2 Dao层PermissionMapper.javaPermissionMapper.xml2.3 实现UserDetailsService接口,返回用户数据给自定义AuthenticationProvider来对用户验证授权MyUserDetailsService(实现Us...
SpringSecurity认证原理及如何自定义认证结合MyBatis替换原数据源
写写平时的技术与感想
05-26 1158
对于在中自定义认证规则,也就是所有的请求都必须要通过认证才可以访问。有些时候并不满足业务需求。比如有两个资源,一个是/index还有一个是/hello打算把/index作为一个公共的资源,/hello作为一个认证的资源。默认的认证规则就做不到这一点。所以,我们需要自定义,从上个小节中发现,如果需要默认的规则失效有两个条件。如果系统中存在或者是的话,默认的就会失效。这里,我们使用第一种方式,去继承类。需要和方法有区分,一般是对静态资源放行的配置。
Spring Boot中整合Spring Security并自定义验证代码实例
08-30
本篇文章主要介绍了Spring Boot中整合Spring Security并自定义验证代码实例,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
spring boot security oauth2 并自定义数据结构
07-18
sercurity + oauth2 + durid + redis 实现用户认证和资源控制,本例子中包含对oauth2异常的统一处理格式,使用redis存储token提升访问性能等。还包含数据库建表语句。
Spring Boot集成Spring Security的Demo
11-13
本文介绍了在spring boot如何使用spring security,spring security的基本配置。如何实现自定义登录,自定义登录成功处理,自定义登录失败处理。
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
spring-webflux-security-jwt:使用Spring Reactive Webflux,Spring Boot 2和Spring Security 5的JWT授权和认证实现
01-30
使用JWT与Spring WebFlux和Spring Security Reactive进行身份验证和授权首先阅读的好文档在开始之前,我建议您先阅读下一份参考启用S​​pring WebFlux安全性在你的应用程序首先使Webflux安全@EnableWebFluxSecurity...
Spring Security 实现自定义登录和认证(1):使用自定义的用户进行认证
qq_45691577的博客
03-04 2442
这个类是用来检索用户名和密码的,该类被调用,至于是什么可以查看官方文档。//注入编写的UserRepository @Resource private UserRepository userRepository;//根据username查询user @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SpringSecurity定义用户认证
你今天真好看呀
08-24 1261
测试接口:启动项目访问// 当前登录用户的用户名 String remoteUser = request . getRemoteUser();// 判断当前用户是否具备某一个指定的角色 boolean admin = request . isUserInRole("admin");// 登录用户的用户名 System . out . println("remoteUser = " + remoteUser);} }
02 springboot-security定义用户认证
charly
05-22 518
spring security 在01中实现了默认登录功能,在项目中也可以配置自己的默认登录界面 修改webSecurityConfig @Configuration public class webSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception{ http.formL
实战2 SpringBoot Security用户认证
shieryue_2016的博客
12-16 1291
Spring Security 认证实现
waffle结合spring-security进行windows认证
jackson87的博客
08-27 1267
waffle是实现Windows & Active Directory单点登录的一种方式,它能过做一切windows认证 的事情,包括  Negotiate ,NTLM和Kerberos。其实现步骤如下: 1.下载waffle所需的jar文件,下载地址http://dblock.github.com/waffle/; 2.新建一个web项目,将waffle认证和spring-secur...
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 9243
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证
SpringSecurity(六)【自定义认证案例】
Vinjcent
11-02 1022
创建一个spring-security-03模块导入依赖 配置文件 编写实体类User、Role User Role 编写mapper、service、xml文件(这里只写接口,看接口实现方法) UserMapper RoleMapper 自定义 UserDetailsService 实现 UserDetailsService,作为数据源进行身份认证 UserDetailsService 配置类 WebMvcConfigurer、WebSecurityCon
SpringSecurity前后端分离
热门推荐
X_lsod的博客
02-13 1万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
spring boot security定义 authenticated
05-26
要自定义Spring Boot Security认证过程,您需要实现`UserDetailsService`接口来加载用户信息并验证其凭据。您可以在您的Security配置类中覆盖`configure(AuthenticationManagerBuilder auth)`方法来设置`UserDetailsService`,如下所示: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyUserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .antMatchers("/**").permitAll() .and() .formLogin() .and() .logout().logoutSuccessUrl("/login"); } } ``` 在这里,我们使用`MyUserDetailsService`类作为我们的`UserDetailsService`实现。您需要创建此类并实现`loadUserByUsername`方法,该方法将从数据库或其他存储中加载用户信息并返回一个`UserDetails`对象。在这个`UserDetails`对象中,您可以指定用户的密码,角色和权限等详细信息。 ```java @Service public class MyUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found with username: " + username); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), getAuthorities(user)); } private Collection<? extends GrantedAuthority> getAuthorities(User user) { List<GrantedAuthority> authorities = new ArrayList<>(); for (Role role : user.getRoles()) { authorities.add(new SimpleGrantedAuthority(role.getName())); for (Permission permission : role.getPermissions()) { authorities.add(new SimpleGrantedAuthority(permission.getName())); } } return authorities; } } ``` 在这里,我们使用`UserRepository`类从数据库中加载用户信息。在`loadUserByUsername`方法中,我们从数据库中获取用户信息并返回一个`UserDetails`对象。在`getAuthorities`方法中,我们为用户添加了角色和权限。 这是一个基本的示例,您可以根据您的需求进行更改和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不识君的荒漠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值