SpringSecurity使用数据库的用户数据做认证

已于 2023-03-13 15:30:50 修改
阅读量574 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: 数据库 java servlet Powered by 金山文档
于 2023-03-13 15:28:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsgnzb/article/details/129495389
版权

SpringSecurity使用UserDetailsService 接口来获取用户信息UserDetails ,根据UserDetails 的 getPassword() 方法,判断用户名密码是否正确。大致流程如下:

框架默认情况使用InMemoryUserDetailsManager ,即把用户信息存到内存里,一般在开发阶段使用。通过以下配置添加默认测试用户:

spring:
  security:
    user:
      name: "user"
      password: "123"

要使用自己的用户数据源,有三个地方要改,也就是上图标绿的部分:

  1. 自定义UserDetailsService替换掉 InMemoryUserDetailsManager,实现UserDetails loadUserByUsername(String username)方法。

  1. 如果要额外保存用户信息,例如手机号、生日等,就自定义UserDetails 在loadUserByUsername 中返回。

  1. 提供一个PasswordEncoder Bean。

自定义UserDetailsService

InMemoryUserDetailsManager 初始化的位置是在UserDetailsServiceAutoConfiguration 配置文件里。这个配置有一些生效条件:

@ConditionalOnMissingBean(
		value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class,
				AuthenticationManagerResolver.class },
		...
public class UserDetailsServiceAutoConfiguration {
	@Bean
	public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties,
			ObjectProvider<PasswordEncoder> passwordEncoder) {
		SecurityProperties.User user = properties.getUser();
		List<String> roles = user.getRoles();
		return new InMemoryUserDetailsManager(User.withUsername(user.getName())
			.password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
			.roles(StringUtils.toStringArray(roles))
			.build());
	}
}

所以,我们提供UserDetailsService Bean之后,配置就会自动失效。这是实例,要注意接口约定loadUserByUsername方法不能返回null,所以找不到用户时要抛UsernameNotFoundException 异常。

public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    UserRepository repository;

		/**
     * Returns: a fully populated user record (never null)
     * Throws: UsernameNotFoundException – if the user could not be found or the user has no GrantedAuthority
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Optional<User> userOptional = repository.findOne((root, query, criteriaBuilder) -> criteriaBuilder.equal(root.get("username"), username));
        if (userOptional.isEmpty()) {
            throw new UsernameNotFoundException(username);
        }
        User user = userOptional.get();
        return new CustomUser(user.getUsername(), user.getPassword(), List.of());
    }
}

自定义UserDetails

UserDetails 用来存放身份认证和权限认证的信息,也可以额外存我们需要的信息。我这里直接继承SpringSecurity自带给JDBC用的User类型。

public class CustomUser extends User {
    public DoitUser(String username, String password, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
    }

    public DoitUser(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);
    }
}

自定义PasswordEncoder

由于DaoAuthenticationProvider 使用PasswordEncoder 对用户密码进行校验。

if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
   this.logger.debug("Failed to authenticate since password does not match stored value");
   throw new BadCredentialsException(this.messages
         .getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
}

所以我们要提供一个PasswordEncoder 实现,可以用BCryptPasswordEncoder 。

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

另外,使用PasswordEncoder 别忘了在用户注册的时候,把用户密码先加密再保存!

public User register(@RequestBody User user) {
    user.setPassword(passwordEncoder.encode(user.getPassword()));
    ...
}
李昂的数字之旅
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 2980
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
Spring Security 6.x 系列【2】认证篇之使用数据库存储用户
记录知识、锤炼自我
03-23 4733
用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,支持多种存储机制:内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储本篇文档主要学习使用数据库存储用户信息。
Spring Security使用数据库登录认证授权
Charge8的博客
01-03 4632
Spring Security使用数据库登录认证授权
Spring Security实现用户认证三:结合MySql数据库用户进行认证
不做菜虚困的博客
05-16 1040
在[Spring Security实现用户认证一](https://blog.csdn.net/weixin_45248370/article/details/138870258)中说到,请求被过滤器`UsernamePasswordAuthenticationFilter`处理生成`UsernamePasswordAuthenticationToken`,实际上这里的token只是临时的,并没有进行认证,需要一个`AuthenticationProvider`提供认证方式。
spring security 基于数据库用户认证
qq_41860765的博客
03-06 864
配合前面几篇文章一起看 Spring Security 认证 OAuth2 SpringBoot +oAuth2+JWT+Spring Security认证配置 我们了解了使用Spring Security进行认证授权的过程,目前各大网站的认证方式非常丰富:账号密码认证、手机验证码认证、扫码登录等。 连接用户中心数据库进行认证 基于的认证流程在研究Spring Security过程中已经测试通过,到目前为止用户认证流程如下: 认证所需要的用户信息存储在用户中心数据库,现在需要将认证服务连接数据库查询用户
SpringSecurity认证使用数据库数据
beginnerdzz的博客
05-15 759
SpringSecurity认证使用数据库数据1.实现原理2.怎么使用(1)环境(2)测试代码 在SpringSecurity使用数据库代替原本的内存查询 1.实现原理 ​ SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。这里是入门案例中的过滤器。 UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。 然后
SpringSecurity连接数据库使用
qq_44796093的博客
02-17 5050
一、简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。 (1)用户
SpringSecurity连接数据库实现登录认证
Thinking_Liang的博客
03-22 1426
SpringSecurity连接数据库实现登录认证 首先,使用SpringSecurity前需要知道的一点是:要想使用SpringSecurity必须继承WebSecurityConfigurerAdapter父类(重写两个configure方法),SpringSecurity中进行认证需要实现UserdetailService接口,把用户名和密码写死的内存中认证为以下写法: @EnableWebSecurity public class SecurityConfig extends WebSecurity
SpringSecurity系列之基于数据库认证
kenewstar的博客
01-21 2243
SpringSecurity系列之基于数据库认证 本文中所使用的技术栈如下: SpringBoot 2.6.2 MyBatis Plus 3.5.0 SpringSecurity 5.6.1 一、创建数据库表 如下图所示,创建一个简单的用户数据表,实际开发中应当使用密文存储密码,而不是如下当中的明文存储。 二、创建SpringBoot应用 1.配置application.properties文件 主要是配置数据库连接信息 # 指定端口号 server: port: 8888 # 配置数据库连接信息
Spring Boot整合Spring Security(八)基于数据库用户认证
时雨吹雪的博客
02-11 474
Spring Security基于数据库用户认证
Spring Security 将用户数据存入数据库
09-07
本篇主要讨论如何使用Spring Security 将用户数据存入数据库,以便更好地理解和应用这个框架。 首先,Spring Security 提供了 `UserDetailsService` 接口,该接口是连接数据源与安全机制的关键。它允许我们从不同的...
SpringSecurity-数据库认证-简单授权
06-03
在这个“SpringSecurity-数据库认证-简单授权”的主题中,我们将深入探讨如何结合SpringSecurity数据库来实现用户身份验证和权限管理。 首先,我们需要理解SpringSecurity的核心组件。`Authentication`代表认证,...
spring-security使用数据库用户认证
12-10
在本主题中,我们将深入探讨如何使用Spring Security与数据库配合,实现用户认证。这一过程涉及多个步骤,包括配置、数据库模型、用户DetailsService 和权限控制。 1. **配置Spring Security** 在Spring Security...
spring security 使用数据库管理资源
03-19
6. **Security Configuration**:在Spring Security配置中,需要声明使用数据库进行认证和授权的设置,例如使用`@EnableWebSecurity`和`WebSecurityConfigurerAdapter`的子类,覆盖其方法来配置相应的安全规则。...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 346
数据库查询与操作指南-以Nebula图数据库为例
二进制部署k8s集群之master节点和etcd数据库集群(上)
zx52306的博客
07-30 713
【代码】二进制部署k8s集群之master节点和etcd数据库集群(上)
互联网医院系统源码与医保购药APP开发的完整技术指南
最新发布
meihusdk的博客
07-30 173
开发过程中需注重数据安全、系统性能、用户体验等多个方面,确保系统的高效稳定运行和良好用户体验。希望这篇技术指南能为开发者提供有益的参考,助力互联网医疗健康行业的发展。
SpringSecurity基于数据库认证
08-31
- *2* [SpringSecurity 基于数据库的验证](https://blog.csdn.net/qq_41723615/article/details/89512333)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值