SpringSecurity中文文档(UsernamePassword Authentication)

于 2024-06-26 16:55:30 发布
阅读量1k 收藏 10
点赞数 7
分类专栏: SpirngSecurity中文文档 文章标签: spring boot java 后端 spring cloud servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/znjy111/article/details/139993589
版权

Username/Password Authentication

验证用户的最常见方法之一是验证用户名和密码。SpringSecurity 为使用用户名和密码进行身份验证提供了全面的支持。

您可以使用以下方法配置用户名和密码身份验证:

Simple Username/Password Example

@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			.authorizeHttpRequests((authorize) -> authorize
				.anyRequest().authenticated()
			)
			.httpBasic(Customizer.withDefaults())
			.formLogin(Customizer.withDefaults());

		return http.build();
	}

	@Bean
	public UserDetailsService userDetailsService() {
		UserDetails userDetails = User.withDefaultPasswordEncoder()
			.username("user")
			.password("password")
			.roles("USER")
			.build();

		return new InMemoryUserDetailsManager(userDetails);
	}

}

前面的配置自动在 SecurityFilterChain 中注册了一个内存中的 UserDetailsService,将 DaoAuthenticationProvider 注册到默认的 AuthenticationManager,并启用了表单登录和 HTTP 基本认证。

要了解更多关于用户名/密码身份验证的信息,请考虑以下用例:

Publish an AuthenticationManager bean

一个相当常见的需求是发布一个 AuthenticationManager bean,以允许进行自定义认证,例如在 @Service 或 Spring MVC @Controller 中。例如,您可能希望通过 REST API 认证用户,而不是使用表单登录。

您可以使用以下配置为自定义身份验证方案发布这样的 AuthenticationManager:

Publish AuthenticationManager bean for Custom Authentication

@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			.authorizeHttpRequests((authorize) -> authorize
				.requestMatchers("/login").permitAll()
				.anyRequest().authenticated()
			);

		return http.build();
	}

	@Bean
	public AuthenticationManager authenticationManager(
			UserDetailsService userDetailsService,
			PasswordEncoder passwordEncoder) {
		DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
		authenticationProvider.setUserDetailsService(userDetailsService);
		authenticationProvider.setPasswordEncoder(passwordEncoder);

		return new ProviderManager(authenticationProvider);
	}

	@Bean
	public UserDetailsService userDetailsService() {
		UserDetails userDetails = User.withDefaultPasswordEncoder()
			.username("user")
			.password("password")
			.roles("USER")
			.build();

		return new InMemoryUserDetailsManager(userDetails);
	}

	@Bean
	public PasswordEncoder passwordEncoder() {
		return PasswordEncoderFactories.createDelegatingPasswordEncoder();
	}

}

有了前面的配置,您可以创建一个@RestController,它使用 AuthenticationManager,如下所示:

Create a @RestController for Authentication

@RestController
public class LoginController {

	private final AuthenticationManager authenticationManager;

	public LoginController(AuthenticationManager authenticationManager) {
		this.authenticationManager = authenticationManager;
	}

	@PostMapping("/login")
	public ResponseEntity<Void> login(@RequestBody LoginRequest loginRequest) {
		Authentication authenticationRequest =
			UsernamePasswordAuthenticationToken.unauthenticated(loginRequest.username(), loginRequest.password());
		Authentication authenticationResponse =
			this.authenticationManager.authenticate(authenticationRequest);
		// ...
	}

	public record LoginRequest(String username, String password) {
	}

}

在本例中,如果需要,您有责任将经过身份验证的用户保存在 SecurityContextRepository 中。例如,如果使用 HttpSession 在请求之间保持 SecurityContext,则可以使用 HttpSessionSecurityContextRepository。

Customize the AuthenticationManager

通常,Spring Security 内部构建一个由 DaoAuthenticationProvider 组成的 AuthenticationManager,用于用户名/密码认证。在某些情况下,可能仍然需要自定义 Spring Security 使用的 AuthenticationManager 实例。例如,您可能需要简单地禁用缓存用户的凭据擦除。

推荐的方法是简单地发布您自己的 AuthenticationManagerbean,SpringSecurity 将使用它。您可以使用以下配置发布 AuthenticationManager:

Publish AuthenticationManager bean for Spring Security

@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			.authorizeHttpRequests((authorize) -> authorize
				.requestMatchers("/login").permitAll()
				.anyRequest().authenticated()
			)
			.httpBasic(Customizer.withDefaults())
			.formLogin(Customizer.withDefaults());

		return http.build();
	}

	@Bean
	public AuthenticationManager authenticationManager(
			UserDetailsService userDetailsService,
			PasswordEncoder passwordEncoder) {
		DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
		authenticationProvider.setUserDetailsService(userDetailsService);
		authenticationProvider.setPasswordEncoder(passwordEncoder);

		ProviderManager providerManager = new ProviderManager(authenticationProvider);
		providerManager.setEraseCredentialsAfterAuthentication(false);

		return providerManager;
	}

	@Bean
	public UserDetailsService userDetailsService() {
		UserDetails userDetails = User.withDefaultPasswordEncoder()
			.username("user")
			.password("password")
			.roles("USER")
			.build();

		return new InMemoryUserDetailsManager(userDetails);
	}

	@Bean
	public PasswordEncoder passwordEncoder() {
		return PasswordEncoderFactories.createDelegatingPasswordEncoder();
	}

}

或者,您可以利用这样一个事实,即用于构建 Spring Security 的全局 AuthenticationManager 的 AuthenticationManagerBuilder 是作为 bean 发布的。可以按以下方式配置生成器:

Configure global AuthenticationManagerBuilder

@Configuration
@EnableWebSecurity
public class SecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		// ...
		return http.build();
	}

	@Bean
	public UserDetailsService userDetailsService() {
		// Return a UserDetailsService that caches users
		// ...
	}

	@Autowired
	public void configure(AuthenticationManagerBuilder builder) {
		builder.eraseCredentials(false);
	}

}
嗨!陌生人
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IdentityServer4.SetupSample:IdentityServer4,ASP.NET Core API和具有usernamepassword的第一方客户端
02-01
IdentityServer4,ASP.NET Core API和具有用户名/密码的第一方客户端该存储库是博客文章的一部分: : 使用 nuget包向IdentityServer4受保护的资源发出经过身份验证的请求... 它是上的开源代码,只需按照这些“ 或检查!
glocaltokens:Python 3软件包可使用google usernamepassword或google master令牌获取google home本地身份验证令牌和IP
04-02
Google Home本地身份验证令牌提取 Python 3软件包可从Google服务器提取Google家用设备本地身份验证令牌。 这些本地身份验证令牌是控制Google Home设备所必需的(请参阅@rithvikvibhu的 )。 请注意:一旦您拥有本地...
SpringSecurity(05)——会话管理
最新发布
peng_gx的博客
01-15 1240
SpringSecurity会话管理
putty PasswordAuthentication
北极
01-05 365
这两天,香港服务器登陆不了,总是提示“No Supported authentication methods available”; 一看就知道是认证方式出错! 但是为什么之前的验证会出错呢?我现在还搞不清楚,那算了吧!工程很急还是先能连上去做事情再说!可是问题就出来,这个服务器的ssh的Authentication 的验证是前一位同事装的,而且香港的服务器又没有专门处理,香港的那边的同事都是...
/etc/ssh/sshd_config的 PasswordAuthentication PermitRootLogin ClientAliveCountMax ClientAliveInterval
kfepiza的博客
11-10 7251
与远程登陆相关 , #PasswordAuthentication yes 这个选项允许远程登陆用密码来认证, 但加了号, 不会起作用 将前面的去掉, 变为 可以允许远程用密码登录认证#PermitRootLogin prohibit-password 设为 允许root远程登陆与远程连接保持相关 , 不直接修改, 而是在 下建立一个 Mysshd.conf 配置文件 并重启sshd.service服务 因为 的默认值就是 , 所以可以不设置 来个进入 文件夹 的命令, 方便复制 查看 文
/etc/ssh/sshd_config 配置文件中的 PasswordAuthentication & PermitRootLogin 参数作用
qq_50247813的博客
09-04 4600
是一种身份验证方式,通常用于远程服务器的登录。当用户连接到远程服务器并进行身份验证时,服务器会根据。用户名进行验证,如果验证成功允许用户访问服务器。用户使用密码远程访问,但是可以用其他方式访问,比如公钥。,则必须使用其他的身份验证方式,如公钥身份验证。表示 不允许 root 用户远程访问,,以指示是否允许密码身份验证。允许 root 用户远程访问,表示 不允许 root。测试结果: 可以远程访问。#可以看出密码被拒绝了。
SSH服务中参数PasswordAuthentication的默认值为yes
xbeethoven的博客
08-12 3万+
问题描述 当您通过SSH客户端登录Linux系统的ECS实例时,输入正确的账号密码,也会出现类似如下错误信息。 · Permission denied (publickey,gssapi-keyex,gssapi-with-mic). · sshd[10826]: Connection closed by XX.XX.XX.XX. · Disconnected: No supported authentication methods available. 图片1.png 问题原因 SSH服务中参数Passw
[已解决]SSH远程登录失败,提示“Password authentication failed”
全名工作狂的小城堡
08-20 5万+
使用linux下ssh登陆, ssh root@xxx.xxx.xxx.xxx 提示“Permission denied, please try again.” 然而我的密码都是对的啊啊啊啊啊。 排查点一: 查看防火墙设置:电脑->控制中心->防火墙 (Computer -> Control Center-> Firewall) sshd的22端口已经勾选上了。
Delphi_3_recive_send_batch_simple_sms_
10-04
function SendSimpleSMS(const usernamepassword:string;to_: ArrayOfString;fromtext: string; const isflash: Boolean): ArrayOfString;function SendSimpleSMS2(const usernamepasswordto_fromtext:string;is...
配置为代码秘密管理器插件:Jenkins插件可从AWS Secrets Manager中将配置作为代码秘密提取
02-17
Jenkins配置为Code AWS Secrets Manager插件Jenkins插件... 以下示例将尝试从部署Jenkins的同一AWS账户的同一区域解析称为password的秘密credentials: system: domainCredentials: - credentials: - usernamePassword:
Spring Security 5.1 中文 参考手册 中文文档
06-25
Spring Security 5.1 中文 参考手册 中文文档 中文文档都是由软件翻译,翻译内容未检查校对,文档内容仅供参考。
spring5 官方文档 中文版 带目录
01-08
spring5官方参考指南,中文版本,可以对照原版查看,英文不好同学的福音
调用API
03-30
然后进入新浪微博开放平台查看相关文档,在文档中(使用Basic Auth进行用户验证)发现新浪微博开发团队推荐了园子里的Q.Lee.lulu写的一篇博文:访问需要HTTP Basic Authentication认证的资源的各种语言的实现。...
Password authentication failed
JAVADuZiTeng的博客
08-13 339
杜子腾 今天同事使用navcat15版本导出链接 然后给我发了一份 我使用得是navcat11版本 导入结果失败 然后把这个文件分别发给俩个人 一个同事navcat15版本得成功了 一个同事和我一个版本navcat11结果也提示同意错误 最后我也下载个navcat15 把navcat11中导入得链接先删除 再使用navcat15版本导入成功了! 最终使用不好使得同事电脑验证了一下 是因为版本不同 您也可以尝试一下我得套路 1:先尝试别得同事导入之后是否好使 2:更换同一版本(我手...
密码正确,SSH无法登陆 Password authentication failed /Permission denied, please try again.
热门推荐
migee的博客
01-17 11万+
密码正确,SSH无法登陆 使用SecureCRT登陆,提示“Password authentication failed” 使用linux下ssh登陆,提示“Permission denied,please try again.” 参考网上经验,一一实验: 方法一: vi  /etc/ssh/sshd_config 找到#Per
SecureCRT出现Password authentication failed,也可能是用户名错误
weixin_41965446的博客
01-30 1万+
第一次写博,记载一下碰到的错误 使用SecureCRT登录虚拟机,发现出现“Password authentication failed” 在网上找了一堆方法,都试了一下,发现都没用   网上的方法: 方法一: vi服务器端的/etc/ssh/sshd_config 把PasswordAuthentication设成yes 重启service 方法二: 1...
Spring Security 源码解读 :Username/Password认证
weixin_41866717的博客
02-04 1504
Spring Security 关于username/password方式登录
Spring Security 登录流程
灵熙云工作室
03-11 6661
目录 1.无处不在的 Authentication 2.登录流程 3.用户信息保存 以下文章来源于微信公众号:江南一点雨 为什么想和大家捋一捋 Spring Security 登录流程呢?这是因为之前小伙伴们的一个提问:如何在 Spring Security 中动态修改用户信息? 如果你搞清楚了 Spring Security 登录流程,这其实不是问题。但是在很多新手小伙伴多次询问...
linux基础第3节 ----配置和管理SSH服务器
m0_60981735的博客
02-16 3072
配置远程连接(sshd)服务
如何在springboot配置文件中设置UsernamePasswordAuthenticationFilter下的postOnly为false
05-25
在Spring Boot中,可以通过在application.properties或application.yml配置文件中设置spring.security.filter.order属性来控制过滤器链的顺序。要将UsernamePasswordAuthenticationFilter的postOnly属性设置为false,可以在配置文件中添加以下内容: ``` spring.security.filter.order=UsernamePasswordAuthenticationFilter spring.security.filter.usernamePassword.postOnly=false ``` 这将使Spring Security在过滤器链中将UsernamePasswordAuthenticationFilter的顺序设置为第一位,并且将postOnly属性设置为false,即允许使用GET请求进行身份验证。注意,这只是一个示例,你需要根据你的实际情况进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值