//这里根据得到的权限集合来配置返回的User对象供以后使用5

最新推荐文章于 2023-03-07 14:36:12 发布
最新推荐文章于 2023-03-07 14:36:12 发布
阅读量538 收藏
点赞数
文章标签: user authentication credentials 数据库 string null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zadalwl/article/details/5323645
版权
  1.   GrantedAuthority[] arrayAuths = (GrantedAuthority[]) dbAuths.toArray(new GrantedAuthority[dbAuths.size()]);

            String returnUsername = user.getUsername();

            if (!usernameBasedPrimaryKey) {
                returnUsername = username;
            }

            return new User(returnUsername, user.getPassword(), user.isEnabled(), true, true, true, arrayAuths);
        }

        public void setAuthoritiesByUsernameQuery(String queryString) {
            authoritiesByUsernameQuery = queryString;
        }

        public void setRolePrefix(String rolePrefix) {
            this.rolePrefix = rolePrefix;
        }

        public void setUsernameBasedPrimaryKey(boolean usernameBasedPrimaryKey) {
            this.usernameBasedPrimaryKey = usernameBasedPrimaryKey;
        }

        public void setUsersByUsernameQuery(String usersByUsernameQueryString) {
            this.usersByUsernameQuery = usersByUsernameQueryString;
        }

        //~ Inner Classes ==================================================================================================

        /**
         * 这里是调用Spring JDBC的数据库操作,具体可以参考对JDBC的分析,这个类的作用是把数据库查询得到的记录集合转换为对象集合 - 一个很简单的O/R实现
         */
        protected class AuthoritiesByUsernameMapping extends MappingSqlQuery {
            protected AuthoritiesByUsernameMapping(DataSource ds) {
                super(ds, authoritiesByUsernameQuery);
                declareParameter(new SqlParameter(Types.VARCHAR));
                compile();
            }

            protected Object mapRow(ResultSet rs, int rownum)
                throws SQLException {
                String roleName = rolePrefix + rs.getString(2);
                GrantedAuthorityImpl authority = new GrantedAuthorityImpl(roleName);

                return authority;
            }
        }

        /**
         * Query object to look up a user.
         */
        protected class UsersByUsernameMapping extends MappingSqlQuery {
            protected UsersByUsernameMapping(DataSource ds) {
                super(ds, usersByUsernameQuery);
                declareParameter(new SqlParameter(Types.VARCHAR));
                compile();
            }

            protected Object mapRow(ResultSet rs, int rownum)
                throws SQLException {
                String username = rs.getString(1);
                String password = rs.getString(2);
                boolean enabled = rs.getBoolean(3);
                UserDetails user = new User(username, password, enabled, true, true, true,
                        new GrantedAuthority[] {new GrantedAuthorityImpl("HOLDER")});

                return user;
            }
        }
    }

  2. 从数据库中得到用户信息后,就是一个比对用户输入的信息和这个数据库用户信息的比对过程,这个比对过程在DaoAuthenticationProvider:
  3. Java代码
  4. //这个UserDetail是从数据库中查询到的,这个authentication是从用户输入中得到的
  5.     protected void additionalAuthenticationChecks(UserDetails userDetails,  
  6.         UsernamePasswordAuthenticationToken authentication)  
  7.         throws AuthenticationException {  
  8.         Object salt = null;  
  9.   
  10.         if (this.saltSource != null) {  
  11.             salt = this.saltSource.getSalt(userDetails);  
  12.         }  
  13.         //如果用户没有输入密码,直接抛出异常   
  14.         if (authentication.getCredentials() == null) {  
  15.             throw new BadCredentialsException(messages.getMessage(  
  16.                     "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"),  
  17.                     includeDetailsObject ? userDetails : null);  
  18.         }  
  19.         //这里取得用户输入的密码   
  20.         String presentedPassword = authentication.getCredentials() == null ? "" : authentication.getCredentials().toString();  
  21.         //这里判断用户输入的密码是不是和数据库里的密码相同,这里可以使用passwordEncoder来对数据库里的密码加解密   
  22.         // 如果不相同,抛出异常,如果相同则鉴权成功   
  23.         if (!passwordEncoder.isPasswordValid(  
  24.                 userDetails.getPassword(), presentedPassword, salt)) {  
  25.             throw new BadCredentialsException(messages.getMessage(  
  26.                     "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"),  
  27.                     includeDetailsObject ? userDetails : null);  
  28.         }  
  29.     }  
  30. //这个UserDetail是从数据库中查询到的,这个authentication是从用户输入中得到的    protected void additionalAuthenticationChecks(UserDetails userDetails,        UsernamePasswordAuthenticationToken authentication)        throws AuthenticationException {        Object salt = null;        if (this.saltSource != null) {            salt = this.saltSource.getSalt(userDetails);        }        //如果用户没有输入密码,直接抛出异常        if (authentication.getCredentials() == null) {            throw new BadCredentialsException(messages.getMessage(                    "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"),                    includeDetailsObject ? userDetails : null);        }        //这里取得用户输入的密码        String presentedPassword = authentication.getCredentials() == null ? "" : authentication.getCredentials().toString();        //这里判断用户输入的密码是不是和数据库里的密码相同,这里可以使用passwordEncoder来对数据库里的密码加解密        // 如果不相同,抛出异常,如果相同则鉴权成功        if (!passwordEncoder.isPasswordValid(                userDetails.getPassword(), presentedPassword, salt)) {            throw new BadCredentialsException(messages.getMessage(                    "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"),                    includeDetailsObject ? userDetails : null);        }    }

  31. 上面分析了整个Acegi进行验证的过程,从AuthenticationProcessingFilter中拦截Http请求得到用户输入的用户名和密码,这些用户输入的验证信息会被放到Authentication对象中持有并传递给AuthenticatioManager来对比在服务端的用户信息来完成整个鉴权。这个鉴权完成以后会把有效的用户信息放在一个Authentication中供以后的授权模块使用。在具体的鉴权过程中,使用了我们配置好的各种Provider以及对应的UserDetailService和Encoder类来完成相应的获取服务器端用户数据以及与用户输入的验证信息的
zadalwl
关注
【D3S】数据权限 - 基于Mybatis的数据权限拦截器实现
罗小爬的技术宝书
07-02 1520
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
后台向页面传的user的list集合user里有个set集合属性,里面是chengji对象,关于怎么取set集合对象的属性,记录一下
ccy8904的博客
06-12 353
    <c:forEach var="user"  items="${list}" varStatus="status">                <tr style="text-align:center;">                    <td>${user.jlid}</td>          
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 3868
loadUserByUsername携带多个参数
spring security实现限制登录次数功能
xiaokanfuchen86的博客
10-10 2988
本节是在基于注解方式进行的,后面的例子都会基于注解形式,不再实现XML配置形式,毕竟注解才是趋势嘛! 关键在于实现自定义的UserDetailsService和AuthenticationProvider 项目结构如下: 查看spring security的源代码可以发现默认security已经定义的user中的一些变量,鉴于此创建users表如下: CREATE TABLE users ( username VARCHAR(45) NOT NULL, password VARCH
Spring Security使用总结(高级)
在交流中成长
01-06 5618
前一篇文章里介绍了Spring Security的一些基础知识,相信你对SpringSecurity的工作流程已经有了一定的了解,如果你同时在读源代码,那你应该可以认识的更深刻。在这篇文章里,我们将对SpringSecurity进行一些自定义的扩展,比如自定义实现UserDetailsService,保护业务方法以及如何对用户权限等信息进行动态的配置管理。    一 自定义Use
Spring Security 3.1 自定义 authentication provider
xyzroundo的专栏
07-26 1294
来源:http://www.xeclipse.com/?p=1359 前言 在使用Spring Security的时候,遇到一个比较特殊的情况,需要根据用户名、邮箱等多个条件去验证用户或者使用第三方的验证服务来进行用户名和密码的判断,这样SS(Spring Security,一下简称SS)内置的authentication provider和user detail se
去除list 集合null对象_如何优雅地根治null值引起的bug
weixin_39968995的博客
11-04 1004
来源丨lrwinxhttps://lrwinx.github.io/Homestead博物馆,俄勒冈写在前面在笔者几年的开发经验中,经常看到项目中存在到处空值判断的情况,这些判断,会让人觉得摸不着头绪,它的出现很有可能和当前的业务逻辑并没有关系。但它会让你很头疼。有时候,更可怕的是系统因为这些空值的情况,会抛出空指针异常,导致业务系统发生问题。此篇文章,总结了几种关于空值的处理手法,...
使用Spring安全表达式控制系统功能访问权限问题
08-25
这里的 `checkUserId` 方法会根据 `Authentication` 对象和 `PathVariable`(如 `#id`)进行权限验证。 ### 3. Method 表达式安全控制 Spring Security 还支持在方法级别进行权限控制,这通常结合 `@PreAuthorize`...
SpringBoot/SpringSecurity/Mybatis/JWT实现权限控制流程
fuu123f的博客
08-26 1811
简介 目前市场主流的安全控制框架主要分为Shiro\Security\CAS等 Apache Shiro是Java的一个安全框架。功能强大,使用简单的Java安全框架,它为开发人员提一个直观而全面的认证,授权,加密及会话管理的解决方案。 实际上,Shiro的主要功能是管理应用程序中与安全相关的全部,同时尽可能支持多种实现方法。Shiro是建立在完善的接口驱动设计和面向对象原则之上的,支持各种自定义行为。Shiro提的默认实现,使其能完成与其他安全框架同样的功能,这不也是我们一直努力想要得到的吗! Apa
JAVAWEB开发之权限管理(一)——权限管理详解(权限管理原理以及方案)、不使用权限框架的原始授权方式详解
07-13 9万+
知识清单 1.了解基于资源的权限管理方式 2. 掌握权限数据模型 3. 掌握基于url的权限管理(不使用Shiro权限框架的情况下实现权限管理) 4. shiro实现用户认证 5. shiro实现用户授权 6. shiro与企业web项目整合开发的方法 权限管理原理知识 什么是权限管理 只要有用户参与的系统一般都要有权限管理,权限管理实现对用户访问系统的控制。按照安全规则或安全策
Spring Security 初识(二)
只有变秃 才能变强
12-28 2150
Spring Security 初识(二)本文我们接着Spring Security 初识(一)继续讲解上文留下的问题。首先,我们看下如何在认证的过程中配置访问用户数据的服务。针对上节演示的案例,我们需要改进的用户存储,也就是用户名、密码以及其他信息存储的地方,在进行认证决策的时候,会对其进行检索。而不是写死的用户名和随机的密码。**Spring Security非常灵活,能够基于各种数据存储来认证
SpringCloud oauth2授权(密码模式,验证码模式)
zhang_ming_xuan的博客
07-09 1万+
前言 项目基于springcloud,授权决定使用的spring-oauth2,了解了oauth2原理之后,基于业务有很多需要重写的点; 1.获取token同时需要获取客户端信息(手机型号,app版本号等) 2.除了提的password方式登录,还需要提验证码登录功能 源码理解 对spring-cloud-starter-oauth2包的源码进行了简单的了解: endpoint...
简单的Spring Security实例(自定义登录验证)
萧逸才的博客
08-28 1万+
Spring Security是一个能够为基于Spring的企业应用系统提声明式的安全访问控制解决方案的安全框架。它提了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提声明式的安全访问控制功能,减少了为企
自定义GrantedAuthority
qq_37205911的博客
07-04 1万+
自定义GrantedAuthority1.工作时需要返回角色的id,这是需要重写GrantedAuthority接口2.常用SimpleGrantedAuthority类public final class SimpleGrantedAuthority implements GrantedAuthority { private static final long serialVersion...
不是水文 ,没有人这样教过 Spring Security 和 OAuth 2.0
python6_quanzhan的博客
12-03 1394
在学习定制 Spring Security的过程中,阅读了 Spring Security 的官方文档、《Spring Security in action》和《OAuth 2 in action》后,并结合源码摸清了 Spring Security 的工作流程,把这些知识梳理成了图片和文字,花了我足足一个月,这没想到 Spring Security 也有这么多内容。 ????0 概览 0.1 流程分析 0.1.1 UserPasswordAuthentication 流程 假设要访问的接口为 /p
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题(二)
weixin_34248487的博客
01-10 6931
当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上...
小程序通过用户授权获取手机号之getPhoneNumber
热门推荐
chen_pan_pan的博客
06-07 15万+
小程序有一个获取用户很便捷的api,就是通过getPhoneNumber获取用户的已经绑定微信的手机号码。有一点要大家注意,现在微信和注重用户体验,有些方法都是需要用户主动去触发才能调用的,比如getPhoneNumber。 实现思路: 1、通过wx.login获取code,从而获取到用户的openID和sessionKey 2、通过getPhoneNumber获取encryptedData...
Collection<? extends GrantedAuthority> getAuthorities();中如何配置使用 AuthorityUtils.createAuthorityList)
最新发布
09-13
3. 配置`getAuthorities`方法:将返回类型更改为`Collection<? extends GrantedAuthority>`,并使用`AuthorityUtils.createAuthorityList`方法来初始化权限列表。具体示例如下: ```java import org.spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值