SpringSecurity之两个重要接口

已于 2023-04-28 16:33:37 修改
阅读量510 收藏
点赞数 1
分类专栏: SpringSecurity安全框架 文章标签: spring java 后端
于 2023-04-13 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybb_ymm/article/details/130109894
版权

目录

前言

U s e r D e t a i l s S e r v i c e

PasswordEncoder

前言

前面讲解了关于S p r i n g S e c u r i t y的基本原理,其中介绍了过滤器链以及过滤器加载的过程。我们在前面入门案例中的用户名和密码是系统自动生成的,在真实应用环境中,是需要查询数据库获取用户名密码是否匹配的,那么如何实现呢?这就涉及到了今天我们要讲解的两个比较重要的接口了。

接下来,我们一起看一下这两个接口吧。

U s e r D e t a i l s S e r v i c e

什么都没有配置的前提下,账号和密码是有Spring Security 定义的,并且由他来完成。但是实际的应用中,我们是需要自定义认证控制逻辑的。

自定义认证逻辑,就是需要我们去实现U s e r D e t a i l s S e r v i c e接口。

这里我们可以看到根据用户名加载用户信息的接口返回了UserDetails 。

他就是我们系统默认的登录用户主体。

package org.springframework.security.core.userdetails;

import java.io.Serializable;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;

public interface UserDetails extends Serializable {
    // 获取登录用户所有权限
    Collection<? extends GrantedAuthority> getAuthorities();
    // 获取用户的密码
    String getPassword();
    // 获取用户名
    String getUsername();
    // 判断账号是否过期了
    boolean isAccountNonExpired();
    // 判断账号是否已经被锁定
    boolean isAccountNonLocked();
    // 凭证(密码)是否过期
    boolean isCredentialsNonExpired();
    // 当前用户是否可用状态
    boolean isEnabled();
}

方法参数中的username标识用户名,此值是客户端表单传递过来的数据。默认必须交username,否则无法接收请求参数。

PasswordEncoder

它是Spr ing Sec urity的 密 码 编 码 器,Pas sword En co der有很多实现类,也有被标记了@Deprecated注解的实现类,一般是被标记了@Deprecated则表示该类的 密 码 编 码 器(加密算法)不安全,比如可以在能接受的时间内被破解,例如彩虹表攻击。

// 表示把参数按照特定的解析规则进行解析

String encode(CharSequence rawPassword);

// 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹 配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个 参数表示存储的密码。

boolean matches(CharSequence rawPassword, String encodedPassword);

// 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true,否则返回 false。默认返回 false。

default boolean upgradeEncoding(String encodedPassword) { return false; }

BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析器。 BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,默认 10。

关于U s e r D e t a i l s S e r v i c e和PasswordEncoder的说明就到这里。

欢迎大家点击下方卡片,关注《coder练习生》

ybb_ymm
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
三、使用Spring Security拦截所有的Actuator(监控)请求,同时放行其他请求
panchang199266的博客
03-27 8952
问题:   Springboot通过与Actuator(监控)集成,我们可以全面的监控生产服务器的状况。本来我的本意是分别设置项目的端口和Actuator(监控)的端口,但是报错,不让分别设置端口,那只能用项目的端口。这样就带来一个问题:如何确保Actuator(监控)只能被我访问,而不会被别人恶意访问? 解决办法:   这里我直接使用Spring Security组件帮助我们拦截所有对Actu...
BCryptPasswordEncoder加密
热门推荐
superxmh的博客
07-05 3万+
一. BCryptPasswordEncoder介绍 BCryptPasswordEncoder是Spring Security中的一个加密方法。BCryptPasswordEncoder方法采用了SHA-256+随机盐+密钥对密码进行加密。 SHA:安全Hash函数(SHA)是使用最广泛的Hash函数 加密算法与hash算法的区别: 加密算法是可逆的,加密算法的基本过程是对原来为明文的数据按某种算法进行处理,使其成为不可读的一段代码为“密文”,但在用相应的密钥进行操作之后就可以得到原来的内容。..
Java高阶—深入学习Spring Security(三)——Spring Security两个重要接口
御承扬的博客
02-13 679
Spring Security两个重要接口一、概述二、UserDetailsService1、源码2、自定义实现类3、默认实现类4、UserDetailsManager5、UserDetailsServiceDelegator三、PasswordEncode1、接口源码2、BCryptPasswordEncoder使用示例 一、概述 Spring Security两个重要接口:UserDetailsService和PasswordEncode。 二、UserDetailsService 1、源码
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
SpringSecurity-基本原理实现必要的两个接口UserDetailsService 和 AuthenticationProvider。
程序员阿皓的博客
04-30 417
Spring Security中,有两个非常重要接口,分别是UserDetailsService 和 AuthenticationProvider。
Spring Security 之密码存储
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
10-11 983
Spring Security接口用于执行密码的单向转换,以便可以安全的存储密码。通常用于在认证时将用户提供的密码与存储的密码的比较。
SpringSecurity】五、UserDetails接口和UserDetailsService接口(原理、流程)
llg___的博客
08-23 4053
接下来自己定义一个用户类SecurityUser类,也去实现UserDetails接口,重写UserDetails接口方法时,直接写死一个用户信息,一会儿new这个自定义的SecurityUser类,也就和上面的User.builder一个意思。重写loadUserByUsernam方法,并当用户名等于自定义的SecurityUser对象中的用户名时,返回SecurityUser对象。查看User类的源码,其实现了UserDetails接口,因此上面才可以直接创建User对象。重启服务,登录下,一切正常。
springboot springsecurity动态权限控制
09-18
在IT行业中,Spring Boot和Spring Security两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。Spring Boot简化了Spring应用的初始搭建以及开发过程,而Spring Security则提供了全面的安全管理解决...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
总结来说,本项目展示了如何利用SpringBoot、SpringSecurity和JPA在IntelliJ IDEA环境下构建一个完整的用户角色权限管理系统,通过security.sql和security-jpa这两个关键组件,实现了数据初始化和核心业务逻辑的构建...
基于JavaWeb开发的Java+SpringMvc+vue+element实现驾校管理系统详细设计
央顺科技官方博客
09-24 544
机遇与挑战始终并存。在开放的互联网平台面前,驾校预约管理系统的信息管理面临着巨大的挑战。传统的管理模式局限于简单数据的管理,无法适应不断变化的市场格局。在早期阶段,在将计算机技术和网络技术融入驾校预约管理系统数据管理方法之前,所有管理方式都通过人工操作完成了管理信息的。系统管理也都将通过计算机进行整体智能化操作,对于驾校预约管理系统所牵扯的管理及数据保存都是非常多的,举例像所有详细信息包括,管理员;首页、个人中心、学员管理、驾校教练管理、驾校车辆管理、预约管理、取消预约管理、驾校公告管理、系统管理。
k8s部署springboot项目
wyb666123的博客
09-19 475
【代码】k8s部署springboot项目。
springboot acuturator
pscool的博客
09-21 205
基础使用步骤 - 系统学习。
SpringBoot+Thymeleaf图书管理系统
qq_61863348的博客
09-20 391
这是一个基于SpringBoot+Thymeleaf实现的图书管理系统。> 包含图书管理、作者管理、分类管理、出版社管理等功能。> 界面简洁美观,代码结构清晰,完成度比较高,适用于JAVA初学者作为参考项目。
Spring IoC 配置类 总结
持续学习和分享感兴趣的技术
09-19 282
Spring中可以使用配置类完全代替xml来配置IoC容器。
SpringCloud从零开始简单搭建 - JDK17
qq_43657722的博客
09-20 826
博客讲述 SpringCloud + Nacos 从零搭建,基于 JDK17。内容包括创建父项目、子项目,集成 Nacos 及其配置中心,是简易搭建的步骤指南。
springboot接入emqx的mqtt
最新发布
renkai721的专栏
09-24 223
springboot+mqtt,springboot+emqx,java+mqtt,java+emqx
Spring Boot与Spring Security整合实战
同时,Spring Security提供了`AuthenticationFailureHandler`和`AuthenticationSuccessHandler`接口,用于处理认证失败或成功后的逻辑,开发者可以根据业务需求实现这两个接口。 权限控制是Spring Security重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ybb_ymm

你的鼓励会是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值