spring security 自定义登录校验

最新推荐文章于 2024-07-24 21:56:35 发布
最新推荐文章于 2024-07-24 21:56:35 发布
阅读量1.3k 收藏 3
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzx19930928/article/details/122036229
版权
  1. 实现 UserDetailsService,定义用户查询的方法
@Service
public class UserDetailsServiceImpl implements UserDetailsService
{
    private static final Logger log = LoggerFactory.getLogger(UserDetailsServiceImpl.class);

    @Autowired
    private ISysUserService userService;

    @Autowired
    private SysPermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
    {
        SysUser user = userService.selectUserByUserName(username);
        if (StringUtils.isNull(user))
        {
            log.info("登录用户:{} 不存在.", username);
            throw new ServiceException("登录用户:" + username + " 不存在");
        }
        else if (UserStatus.DELETED.getCode().equals(user.getDelFlag()))
        {
            log.info("登录用户:{} 已被删除.", username);
            throw new ServiceException("对不起,您的账号:" + username + " 已被删除");
        }
        else if (UserStatus.DISABLE.getCode().equals(user.getStatus()))
        {
            log.info("登录用户:{} 已被停用.", username);
            throw new ServiceException("对不起,您的账号:" + username + " 已停用");
        }

        return createLoginUser(user);
    }

    public UserDetails createLoginUser(SysUser user)
    {
        return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user));
    }
}
  1. 创建自己的AuthenticationToken 继承 AbstractAuthenticationToken
public class MyLoginAuthenticationToken extends AbstractAuthenticationToken{
    private final Object principal;
    private Object credentials;

    public MyLoginAuthenticationToken(Object principal, Object credentials) {
        super((Collection)null);
        this.principal = principal;
        this.credentials = credentials;
        this.setAuthenticated(false);
    }

    public MyLoginAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        this.credentials = credentials;
        super.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return this.credentials;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }

    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException("Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        } else {
            super.setAuthenticated(false);
        }
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
        this.credentials = null;
    }
}
  1. 接口调用
	@Resource
    private AuthenticationManager authenticationManager;
	// 用户验证
    Authentication authentication = null;
    try
    {
        // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
        //这里 把用户校验从密码校验改成了身份证校验
        authentication = authenticationManager
                .authenticate(new MyLoginAuthenticationToken(username, idCard));
    }
    catch (Exception e)
    {
        if (e instanceof BadCredentialsException)
        {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
            throw new UserPasswordNotMatchException();
        }
        else
        {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
            throw new ServiceException(e.getMessage());
        }
  1. 配置类
/**
 * spring security配置
 * 
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;
    
    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    @Autowired
    private JwtAuthenticationTokenFilter authenticationTokenFilter;
    
    /**
     * 跨域过滤器
     */
    @Autowired
    private CorsFilter corsFilter;

    /**
     * 自定义密码验证
     */
    @Autowired
    private MyAuthenticationProvider myAuthenticationProvider;


    /**
     * 解决 无法直接注入 AuthenticationManager
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception
    {
        return super.authenticationManagerBean();
    }

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception
    {
        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/register", "/captchaImage","/out/hunan/login","/shengchan/test","/shengchan/test2","/noLogin/**").anonymous()
                .antMatchers(
                        HttpMethod.GET,
                        "/",
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/profile/**"
                        , "/accident/accident/**"
                ).permitAll()
                .antMatchers("/swagger-ui.html").anonymous()
                .antMatchers("/swagger-resources/**").anonymous()
                .antMatchers("/webjars/**").anonymous()
                .antMatchers("/*/api-docs").anonymous()
                .antMatchers("/druid/**").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder()
    {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.authenticationProvider(myAuthenticationProvider);
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}
  1. 自定义密码校验
**
 * 自定义密码验证
 * @author xzx
 * @date 2021/10/12 8:54
 */
@Component
public class MyAuthenticationProvider implements AuthenticationProvider{

    private static final Logger log = LoggerFactory.getLogger(MyAuthenticationProvider.class);

    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private SysUserMapper sysUserMapper;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        System.out.println("第三方登录认证开始...");
        String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED" : authentication.getName();
        String idCard = (String) authentication.getCredentials();
        SysUser user = sysUserMapper.selectUserByIdCard(idCard);
        if (Objects.isNull(user)){
            log.info("链接登录用户身份证号:{} 不存在.", idCard);
            throw new ServiceException("登录用户身份证号:" + idCard + " 不存在");
        }
        UserDetails details = userDetailsService.loadUserByUsername(username);
        MyLoginAuthenticationToken result = new MyLoginAuthenticationToken(username, idCard);
        result.setDetails(details);
        System.out.println("第三方登录认证成功...");
        return result;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        // 如果是第三方登录方式,则在该处理器做登录认证
        System.out.println("第三方登录验证");
        return MyLoginAuthenticationToken.class.isAssignableFrom(aClass);
    }
}
会跑的葫芦怪
关注
Spring Cloud 集成OAuth2实现身份认证和单点登录
07-20
Spring Cloud 安全:集成OAuth2实现身份认证和单点登录 示例代码
基于RuoYi学习SpringSecurity集成
m0_37246056的博客
10-23 958
基于RuoYi学习SpringSecurity集成 集成maven坐标 <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 启用配置类 package
Spring Security认证授权流程
最新发布
qq_52464274的博客
07-24 819
然后还需要指定401和403的失败情况的处理器,401异常进入AuthenticationEntryPoint进行处理,403鉴权失败异常进入AccessDeniedHandler进行处理,因此我们只需手动声明这两个Bean对象到IOC容器中,发生异常时就会自动进入到相应Bean中进行处理。4.使用认证管理器把上一步产生的TOKEN对象进行登录认证。这里是查询数据库获取用户信息的地方,通过Mapper编写SQL查询用户的角色和权限信息,用户和角色是一对多(我这里写的是一对一),角色和权限也是一对多。
spring security 测试自定义logout,发生重定向
s_tupid的博客
02-24 650
spring security自定义logout,NONE_PROVIDED(String),重定向
如何理解SpringSecurity的用户登录所需信息以及配置原理——源码学习——从0到1教会方法自行学习
Alascanfu的博客
02-18 524
本篇内容:如何理解SpringSecurity的用户登录所需信息以及配置原理——源码学习——从0到1教会方法自行学习 文章专栏:前后端分离项目(Vue + SpringBoot) 最近更新:2022年 2月 17 日 如何理解学习SpringSecurity的自动配置原理以及其拓展——举例进行学习——从0到1教会方法自行学习 个人简介:一只二本院校在读的大三程序猿,本着注重基础,打卡算法,分享技术作为个人的经验总结性的博文博主,虽然可能有时会犯懒,但是还是会坚持下去的,如果
spring security 用户认证原理
swadian2008的博客
08-27 1233
在程序的调用链中,找到一个 StandardWrapperValve 的记录,StandardWrapperValve.class 类位于 tomcat 核心包中,跟踪到这个调用位置(StandardWrapperValve#invoke),可以看到过滤器链的调用。用户名和密码认证过滤器继承了 AbstractAuthenticationProcessingFilter.calss,该过滤器的 #doFilter 方法中,调用了用户名和密码认证过滤器中用户认证的逻辑。调用认证管理器的具体实现进行权限验证。.
自定义Spring Security的身份验证失败处理方法
08-25
自定义Spring Security的身份验证失败处理方法 在 Spring Security 中,身份验证失败处理方法是一个非常重要的组件,它能够帮助我们处理身份验证失败的情况。然而,默认的身份验证失败处理方法并不总是能够满足我们...
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 实现短信验证码登录示例 本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例,具有一定的参考价值。下面是该示例的详细知识点解释: 一、Spring Security Oauth2.0 ...
Spring Security验证流程剖析及自定义验证方法
08-27
下面我们将深入探讨Spring Security的验证流程以及如何自定义验证方法。 首先,Spring Security的验证流程主要包括以下几个步骤: 1. 用户尝试登录,输入用户名和密码。 2. Spring Security将这些信息封装成一个...
springsecurity验证码登录.rar
12-09
这个压缩包“springsecurity验证码登录.rar”显然是为了演示如何在SpringSecurity中集成验证码功能,以增强用户登录的安全性。验证码是防止恶意自动登录尝试(如机器人或脚本)的有效手段,它要求用户在登录时输入...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
IDEA maven provided依赖报错解决
shengpli′s blog
08-13 1356
问题 maven添加provided依赖,idea运行时会报错找不到相关类 解决 在Run|Run Configurations选择如下勾选框 Include dependencies with “Provided” scope。注意此选项框在IDEA 2018.1版本才添加,详见:https://www.jetbrains.com/idea/whatsnew/2018-1/,版本过低需要安装高...
深入理解SpringSecurity的执行原理
cj1561435010的博客
04-28 384
看下过滤器链的原理: 首先分析web.xml中的如下配置: <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</f...
后端分离 spring security实现多认证功能
Liu_black的博客
08-05 1268
后端分离 spring security实现多认证功能 spring security简说 spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Filter(UsernamePasswordAuthenticationFilter)之类的,Filter再交由其他组件完成细分的功能,例如最常用的UsernamePasswordAuthenticationFilter会持有一
Spring Security Oauth2 单点登录案例实现和执行流程剖析
朝雨忆轻尘
12-07 960
在线演示 演示地址:http://139.196.87.48:9002/kitty 用户名:admin 密码:admin Spring Security Oauth2 OAuth是一个关于授权的开放网络标准,在全世界得到的广泛的应用,目前是2.0的版本。OAuth2在“客户端”与“服务提供商”之间,设置了一个授权层(authorization layer)。“客户端”不能直接登录“服务提供...
Spring Security默认用户生成分析
Littewood的博客
07-15 958
Spring Security默认用户生成源码分析
SpringSecurity系列 - 08 oauth2认证:ClientCredentialsTokenEndpointFilter 过滤器
你今天真好看呀
09-14 1941
Spring Seourity 中,允许系统同时⽀持多种不同的认证⽅式,例如同时⽀持⽤户名/密码认证、 ReremberMe 认证、⼿机号码动态认证等,⽽不同的认证⽅式对应了不同的 AuthenticationProvider,所以⼀个完整的认证流程可能由多个AuthenticationProvider 来提供。到这儿认证流程就结束了,但是我们可以继续往下看一下,底层如何根据username获取客户端用户信息的。
Spring Security 解析(二) —— 认证过程
chu9764的博客
08-22 1161
Spring Security 解析(二) —— 认证过程 >   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习...
// 这里取得用户输入的用户名3
zadalwl的专栏
02-24 641
      // 这里取得用户输入的用户名        String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED" : authentication.getName();        // 如果配置了缓存,从缓存中去取以前存入的用户验证信息 - 这里是UserDetail,是服务器端存在数据库里的用户信
springsecurity 自定义校验
05-19
自定义校验时,我们也可以通过实现`UserDetailsService`接口来获取用户信息,该接口中有一个`loadUserByUsername()`方法,我们可以在该方法中根据用户名查询数据库中的用户信息,并将其转换成Spring Security内部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

会跑的葫芦怪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值