自定义Spring Security的用户认证逻辑

最新推荐文章于 2024-07-31 14:45:28 发布
最新推荐文章于 2024-07-31 14:45:28 发布
阅读量314 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zejava/article/details/107039556
版权

微信公众号:Java患者

专注Java领域技术分享

前言

        在我们上篇中,用户的用户名是固定的,密码也是由框架为我们生成的,那么我们实际场景中,用户的登录信息应该是从数据库中读取的。

        Spring Security中自定义用户认证的相关逻辑包含三部分,如何处理用户信息获取、如何处理用户校验、如何处理密码加密解密。

如何处理用户信息获取

在Spring Security中获取用户信息是被封装在一个叫UserDetailsService的接口里面的,他只有一个方法,这个方法会根据用户名去我们的存储中读取用户信息,并封装成UserDetails的类返回。Spring Security就会拿到这个用户信息去做认证处理。

下面我们来实现这个接口,来看一下效果。

@Component
public class MyUserDetailsService implements UserDetailsService {


    private Logger logger = LoggerFactory.getLogger(getClass());


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名查找用户信息
        logger.info("登录用户名:"+username);
        // 返回Spring Security提供的user对象
        return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

在我们实际开发中,这个操作是读取数据库的,这里我们就简写一下即可。返回的User对象构造方法要提供三个参数。第一个参数和第二个参数是用来做认证的,第三个参数就是我们给这个用户的授权用的。

我们来启动服务,在登录页面上随便输一个用户名和密码。由于我们前面返回的UserDetails对象密码是设置“123456”,这个时候登录操作是失败的,只有输入正确的密码才能访问问我们的服务。

如何处理用户校验逻辑

        用户的校验逻辑包括密码是否匹配和其他一些校验,比如用户是否被冻结,下面我们来模拟用户被冻结。

        UserDetails接口封装了Security登录的所有信息以及提供一些校验逻辑的方法。由于我们为了方便,使用Spring Security提供的User对象模拟,在我们实际开发中也可以自定义用于实体,去实现这个接口,根据业务来做出不同的校验。

    boolean isAccountNonExpired();  // 账号没有过期
    boolean isAccountNonLocked();  // 账户是不是锁定的,返回false也就是冻结
    boolean isCredentialsNonExpired();  // 密码是不是过期
    boolean isEnabled();  // 账号是不是可用,也就是账户是否被删除了

        只要把这4个方法其中的一个返回值设置成为false,我们的登录就不会过了。

// 根据查找的用户信息判断用户是否被冻结
  // 使用7个工作参数的函数
    return new User(username, "123456",
      true, true, true, false,
        AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));

如何处理密码的加密与解密

在我们实际中,我们不会把密码直接存进数据库中,而是先把密码进行加密操作在存入。Spring Security来加密与解密是由PasswordEncoder接口提供的,在这个接口里面有2个方法,encode和matches。encode是在用户注册的时候,往数据库存数据之前,由我们来调用的,可以对密码进行加密。matches是Spring Security自己调用的,他可以把拿到返回的UserDetails里面的password跟用户在登录时候输入的密码进行匹配,如果匹配上是返回true,匹配不上就会抛出异常,在页面显示错误信息。

下面我们在配置类中来配置一个PasswordEncoder,为了方便,我们就直接返回有框架提供的PasswordEncoder,我们也可以自己去自定义。

  @Bean
  public PasswordEncoder passwordEncoder() {
      return new BCryptPasswordEncoder();
  }
wo'm

并且在UserDetailsService返回加密后的密码

  @Autowired
  private PasswordEncoder passwordEncoder;


  @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      // 返回加密后的密码
      return new User(username, passwordEncoder.encode("123456"),
              true, true, true, false,
              AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
  }

此外,同一个密码,使用Spring Security提供的PasswordEncoder加密得到的密文是不同的,他会随机生成salt,并且混在加密后的结果中。在判断时候会拿到密文中的salt,反推出明文。这样可以避免多个相同的密码时候,有一个密码被破解了,其他的相同密码也会跟着泄露的问题。主要是它的强大之处。

小结

到这里自定义Spring Security的用户认证逻辑已经讲完了,实际上就是三个接口来完成的

  • 处理用户信息获取逻辑:UserDetailsService

  • 处理i用户校验逻辑:UserDetails

  • 处理密码加密解密:PasswordEncoder

查看

新时代Java农民工
关注
SpringSecurity 自定义认证逻辑
qq_34136709的博客
05-08 572
SpringSecurity 自定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
Spring Security 自定义认证逻辑
wdjnb的博客
01-21 610
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义逻辑,主要包括以下内容: 一个自定义的Authentication实现类,与UsernamePasswordAuthen...
SpringSecurity(二)自定义用户认证逻辑
加州暖阳的博客
02-25 434
SpringSecurity自定义用户认证逻辑 1.处理用户信息获取逻辑 用户信息获取逻辑是被封装到UserDetailsService接口中,loadUserByUsername方法作用是用户输入的username从存储去读取用户信息,然后封装到UserDetails这个实例中去,SpringSecurity会拿着这个用户信息进行处理,校验,如果校验通过了,就会把这个用户放到session中去,说明用户登录成功了,如果找不到,则会抛出UsernameNotFoundException用户名不存在这个异常,
SpringSecurity授权功能的实现
最新发布
m0_63624484的博客
07-31 1059
Security:认证 (判断你是平台合法用户)授权(有没有权限访问这个资源)a:b:c我们使用的是自定义的权限表达式 ,也就是说我们的权限用的是a:b:c这种格式来定义权限的,我们在判断权限的时候也是用这种格式来查询是否有对用的权限。SpringSecurity支持表达式:@PreAuthorize 注解的常用参数有:。。。。。。。。。用于判断接口需要的访问权限登录的用户是否拥有/***自定义权限实现,ss取自SpringSecurity首字母*/
Spring Security自定义认证逻辑(防暴力破解)
qq_32238611的博客
06-11 1785
项目开发时,需要对服务接口进行防暴力破解的防护,项目中使用的Spring Security没有对放暴力破解的支持,所以需要自己重写Spring Security中的认证逻辑实现防暴力破解的能力。本次使用的软件版本如下:Spring Boot 2.6.7 (配套的Spring Security版本是5.6.3)下面是具体的实现案例,先简单梳理下实现方案。基于servlet的应用和基于webflux的应用实现有点不太一样,这边都整理一下,不过差别也不大。新增Spring Security配置类,继承WebSe
安全框架Spring Security(二)——自定义用户认证逻辑
Marvin Mai的博客
06-04 612
安全框架Spring Security(二)——自定义用户认证逻辑 简介 上一篇文章中,我们可以看到Spring Boot只需要配置spring-cloud-starter-oauth2依赖,就自动帮我们把资源保护起来。Spring Security 5以后默认使用formLogin的方式登陆。但是之前使用的默认配置中,用户名和密码都是Spring Security默认提供给我们的。那么我们如何自...
Spring Security --- 自定义登录逻辑
汤键的博客
06-15 1140
目录UserDetailsService详解返回值方法参数异常PasswordEncoder密码解析器详解接口介绍内置解析器介绍BCryptPasswordEncoder简介代码演示自定义登录逻辑编写配置类自定义逻辑
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文中,我们将深入探讨如何在Java项目中自定义Spring Security的权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证和鉴权。这通常涉及到`@PreAuthorize`和`@Secured`等注解的使用,以控制对特定路由的访问权限。...
SpringBoot 集成 Spring Security 自定义认证逻辑备忘
热门推荐
nangongyanya的专栏
08-28 1万+
引入 Spring Security 之后(Spring Security 的引入请浏览《SpringBoot 引入 Spring Security 备忘》),Spring Security 将会通过其内置的拦截器对URL进行拦截,以此来管理登录验证和用户权限验证。 当用户登陆时,会被 AuthenticationProcessingFilter 拦截,调用 AuthenticationMana...
SpringSecurity的内部执行流程
weixin_39618279的博客
03-10 283
SpringSecurity是用来保护网页或者接口不被所有用户随意访问,因此它包含两个功能,认证和授权,认证就是登录,授权就是根据登录的用户的角色而给与不同的系统权限,比如你们的校园网,一般氛围管理员、教师和学生,你登录和老师登录系统后,得到的权限是不一样的,这就是权限管理。 在不用SpringSecurity等权限管理框架的情况下,我们设计的登录系统的基本逻辑就是: 前端表单输入用户名和密码——>通过用户名在数据库中查找该用户(queryByUsername)——>通过对比表单接收的密码和
springSecurity自定义认证逻辑
qiuxinfa123的博客
04-14 733
springSecurity入门demo 中,用户信息是放在内存中的,而在真实的项目中,肯定是不会是这样的,一般是都是放在数据库中存储的。示例代码在GitHub中:https://github.com/qiuxinfa/springSecurity-study 。实现如下功能: (1)自定义用户信息的获取 (2)自定义认证成功以及失败后的回调 (3)实现记住我的功能 ...
SpringSecurity基本原理以及自定义用户认证逻辑
不清不慎的博客
04-14 9173
对于网站,安全问题是不容忽视的,在用户登录时我们需要对用户密码进行校验,我们可以自己来编写逻辑,不过Spring Security框架给我提供了一套很强大安全框架,本文是一篇SpringSecurity入门级的文章,主要介绍其基本原理与认证流程以及使用。 Spring Security 1.搭建Spring Security框架 这里在搭建Spring Security框架之前你需要搭建...
SpringSecurity如何自定义用户认证逻辑
java永无止境!
06-11 655
Spring Security 用于从数据库、LDAP 或其他任何地方检索用户信息的策略接口。你可以通过实现此接口来定义如何检索用户信息。实现首先,创建一个实现接口的类。你需要重写方法来定义加载用户逻辑
手把手教你Spring Security Oauth2自定义授权模式
qq_36551991的博客
12-01 2641
Spring Security Oauth2自定义授权模式
Spring Security渐入佳境(二) -- 自定义用户认证逻辑
分享技术,共同进步!
12-12 347
(一)用户信息获取 <1>UserDetailsService 这是SpringSecurity提供的一个接口,用于根据登录名获取用户信息(从内存,数据库中…)。 <2>实现接口UserDetailsService 详解UserDetails请参考附录。 @Component public class MyUserDetailsService implements User...
springSecurity自定义用户认证逻辑
足迹人生的博客
01-06 163
springSecruity自定义用户认证逻辑
Spring Security自定义用户认证逻辑
taojin12的博客
05-06 297
Spring Security中,用户的校验逻辑是不需要自己是实现的。但是我们需要通过页面用户输入的信息和数据库的用户信息进行比较。 Spring Security中提供了一个 接口UserDetailsService, 在他的loadUserByUsername方法中,对从数据库获取的用户信息进行封装。 自定义实现UserDetailsService @Component public class MyUserDetailService implements UserDetailsService {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值