Spring Security 自定义认证管理器和讲解(二)

最新推荐文章于 2023-08-31 18:41:00 发布
最新推荐文章于 2023-08-31 18:41:00 发布
阅读量871 收藏 3
点赞数 1
分类专栏: java code Spring 文章标签: Spring Security 认证 权限管理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zouliping123456/article/details/114687938
版权

目录

一、概述

二、自定义认证管理器

小结

三、Spring Security 核心组件

小结

Spring Security 学习专栏

 

1. Spring Security 入门学习(一)

2. Spring Security 自定义认证管理器和讲解 (二)

3. Spring Security 接口详解 (三)

4. Spring Security 工作原理 (四)

 

 

一、概述

上一篇Spring Security 入门学习带大家搭建一个简单Demo,认识SpringSecurity,这篇文章讲自定义认证管理器和讲解

 

二、自定义认证管理器

Spring Security为我们提供了一个「httpBasic」模式的简单登陆页面,并在控制台输出了密码(这个密码每次启动都是不一样的)。如果我们想用自己的定义的账号密码,则需要改配置。如下:

1. SecurityConfig

并加入一些代码,如下所示:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    /** 
     * 认证管理器配置
     * @param auth
     * @date: 2021/3/11 17:39
     * @return: void 
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.
                // 使用内存中的 InMemoryUserDetailsManager
                        inMemoryAuthentication()
                // 不使用 PasswordEncoder 密码编码器
                .passwordEncoder(NoOpPasswordEncoder.getInstance())
                .withUser("root").password("root").roles("ADMIN","NORMAL")
                // 配置 admin 用户
                .and().withUser("admin").password("admin").roles("ADMIN")
                // 配置 normal 用户
                .and().withUser("normal").password("normal").roles("NORMAL");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
                // 配置请求地址的权限
                .authorizeRequests()
                // 所有用户可访问,不需要登入
                .antMatchers("/test/echo").permitAll()
                // 需要 ADMIN 角色
                .antMatchers("/test/admin","/test/getUserInfo").hasRole("ADMIN")
                // 需要 NORMAL 角色
                .antMatchers("/test/normal","/test/getUserInfo").access("hasRole('NORMAL')") // 需要 NORMAL 角色。
                // 任何请求,访问的用户都需要经过认证
                .anyRequest()
                .authenticated()
                .and()
                // 设置 Form 表单登陆
                .formLogin()
                //.loginPage("/login") // 登陆 URL 地址
                .permitAll() // 所有用户可访问
                .and().logout()
                // .logoutUrl("/logout") // 退出 URL 地址
                // 所有用户可访问
                .permitAll()
                // 禁用跨域
                .and().csrf().disable();
    }
}

上面的配置其实和默认情况的配置几乎一样,只是这里定义了三个用户root、admin、normal 。(说明:passwordEncoder(NoOpPasswordEncoder.getInstance())  不使用 PasswordEncoder 密码编码器)此时我们启动项目,便可以使用root、admin、normal 都可以登入,不同的用户拥有不同角色所看的资源也不一样。

用户-角色-资源 访问控制

  • root 用户可以看到所有的资源
  • admin 用户可以看到 "/test/echo","/test/admin","/test/getUserInfo" 资源
  • normal 用户可以看到 "/test/echo","/test/normal","/test/getUserInfo" 资源

2. TestController

@Slf4j
@RestController
@RequestMapping(value = "/test")
public class TestController {

    @GetMapping("/echo")
    public String demo() {
        return "示例返回";
    }

    @GetMapping("/home")
    public String home() {
        return "我是首页";
    }

    @GetMapping("/admin")
    public String admin() {
        return "我是管理员";
    }

    @GetMapping("/normal")
    public String normal() {
        return "我是普通用户";
    }

    @GetMapping("/getUserInfo")
    public String getUserInfo(){

        String currentUser ;
        Object principl = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if(principl instanceof UserDetails) {
            currentUser = ((UserDetails)principl).getUsername();
        }else {
            currentUser = principl.toString();
        }
        log.info("getUserInfo.resp currentUser is:{}",currentUser);
        return " currentUser is ===>: " +currentUser;
    }

}

3. 测试验证

下面来验证一下普通用户登录,重启项目,在浏览器中输入:http://127.0.0.1:8080/test/admin同样,我们会到达登录页面,我们输入用户名 normal,密码也为normal结果错误页面了,拒绝访问了,信息为:

我们把浏览器中的uri修改成:/test/normal,结果访问成功。可以看到 我是普通用户。说明 normal这个USER角色只能访问 "/test/echo","/test/normal","/test/userInfo" ,这个结果与我们预期一致。

再来验证一下超级管理员用户登录,重启浏览器之后,输入http://127.0.0.1:8080/test/admin。在登录页面中输入用户名root,密码root,提交之后,可以看到 我是管理员 ,说明访问管理员资源了。我们再将浏览器uri修改成 /test/normal,刷新之后,也能看到我是普通用户,说明 root用户可以访问所有资源,这个也和我们的预期一致。

 

4. 获取当前登录用户信息

上面我们实现了“资源 - 角色”的访问控制,效果和我们预期的一致,但是并不直观,我们不妨尝试在控制器中获取“当前登录用户”的信息,直接输出,看看效果。

/test/userInfo为例,我们修改其代码,如下:

@GetMapping("/getUserInfo")
    public String getUserInfo(){

        String currentUser ;
        Object principl = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if(principl instanceof UserDetails) {
            currentUser = ((UserDetails)principl).getUsername();
        }else {
            currentUser = principl.toString();
        }
        log.info("getUserInfo.resp currentUser is:{}",currentUser);
        return " currentUser is ===>: " +currentUser;
    }

这里,我们通过SecurityContextHolder 来获取了用户信息,并拼接成字符串输出。重启项目,在浏览器访问http://127.0.0.1:8080/test/getUserInfo. 使用 admin的身份登入,可以看到浏览器显示 currentUser is: admin。使用 root 的身份登入,可以看到浏览器显示 currentUser is: root

 

小结

至此,我们已经对Spring Security有了一个基本的认识了。了解了如何在项目中加入spring security,以及如何控制资源的角色访问控制。spring security原不止这么简单,我们才刚刚开始。为了能够更好的在实战中使用spring security 我们需要更深入的了解。下面我们先来了解spring security的一些核心概念。

 

三、Spring Security 核心组件

Spring Security 核心组件有:SecurityContextSecurityContextHolderAuthenticationUserdetailsAuthenticationManager,下面分别介绍。


1. SecurityContext

安全上下文,用户通过Spring Security 的校验之后,验证信息存储在SecurityContext中,SecurityContext的接口定义如下:

public interface SecurityContext extends Serializable {
    /**
     * Obtains the currently authenticated principal, or an authentication request token.
     *
     * @return the <code>Authentication</code> or <code>null</code> if no authentication
     * information is available
     */
    Authentication getAuthentication();
 
    /**
     * Changes the currently authenticated principal, or removes the authentication
     * information.
     *
     * @param authentication the new <code>Authentication</code> token, or
     * <code>null</code> if no further authentication information should be stored
     */
    void setAuthentication(Authentication authentication);

}

可以看到 SecurityContext 接口只定义了两个方法,实际上其主要作用就是获取 Authentication 对象。

2. SecurityContextHolder

SecurityContextHolder 看名知义,是一个holder,用来hold住SecurityContext实例的。在典型的web应用程序中,用户登录一次,然后由其会话ID标识。服务器缓存持续时间会话的主体信息。在Spring Security中,在请求之间存储SecurityContext的责任落在SecurityContextPersistenceFilter上,默认情况下,该上下文将上下文存储为HTTP请求之间的HttpSession属性。它会为每个请求恢复上下文SecurityContextHolder,并且最重要的是,在请求完成时清除SecurityContextHolder。SecurityContextHolder是一个类,他的功能方法都是静态的(static)。

SecurityContextHolder可以设置指定JVM策略(SecurityContext的存储策略),这个策略有三种:

  •     MODE_THREADLOCAL:SecurityContext 存储在线程中。
  •     MODE_INHERITABLETHREADLOCAL:SecurityContext 存储在线程中,但子线程可以获取到父线程中的 SecurityContext。
  •     MODE_GLOBAL:SecurityContext 在所有线程中都相同。

SecurityContextHolder默认使用MODE_THREADLOCAL模式,即存储在当前线程中。在spring security应用中,我们通常能看到类似如下的代码:

 SecurityContextHolder.getContext().setAuthentication(token);

其作用就是存储当前认证信息。


3. Authentication

authentication 直译过来是“认证”的意思,在Spring Security 中Authentication用来表示当前用户是谁,一般来讲你可以理解为authentication就是一组用户名密码信息。Authentication也是一个接口,其定义如下:

public interface Authentication extends Principal, Serializable {
 
    Collection<? extends GrantedAuthority> getAuthorities();
    Object getCredentials();
    Object getDetails();
    Object getPrincipal();
    boolean isAuthenticated();
    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

接口有4个get方法,分别获取

  •     Authorities, 填充的是用户角色信息。
  •     Credentials,直译,证书。填充的是密码。
  •     Details ,用户信息。
  •     Principal 直译,形容词是“主要的,最重要的”,名词是“负责人,资本,本金”。感觉很别扭,所以,还是不翻译了,直接用原词principal来表示这个概念,其填充的是用户名。

因此可以推断其实现类有这4个属性。这几个方法作用如下:

  •     getAuthorities: 获取用户权限,一般情况下获取到的是用户的角色信息。
  •     getCredentials: 获取证明用户认证的信息,通常情况下获取到的是密码等信息。
  •     getDetails: 获取用户的额外信息,(这部分信息可以是我们的用户表中的信息)
  •     getPrincipal: 获取用户身份信息,在未认证的情况下获取到的是用户名,在已认证的情况下获取到的是 UserDetails (UserDetails也是一个接口,里边的方法有getUsername,getPassword等)。
  •     isAuthenticated: 获取当前 Authentication 是否已认证。
  •     setAuthenticated: 设置当前 Authentication 是否已认证(true or false)。

4. UserDetails

UserDetails,看命知义,是用户信息的意思。其存储的就是用户信息,其定义如下:

public interface UserDetails extends Serializable {
 
    Collection<? extends GrantedAuthority> getAuthorities();
    String getPassword();
    String getUsername();
    boolean isAccountNonExpired();
    boolean isAccountNonLocked();
    boolean isCredentialsNonExpired();
    boolean isEnabled();

}

方法含义如下:

  •     getAuthorites:获取用户权限,本质上是用户的角色信息。
  •     getPassword: 获取密码。
  •     getUserName: 获取用户名。
  •     isAccountNonExpired: 账户是否过期。
  •     isAccountNonLocked: 账户是否被锁定。
  •     isCredentialsNonExpired: 密码是否过期。
  •     isEnabled: 账户是否可用。

5. UserDetailsService

提到了UserDetails就必须得提到UserDetailsService, UserDetailsService也是一个接口,且只有一个方法loadUserByUsername,他可以用来获取UserDetails

通常在spring security应用中,我们会自定义一个CustomUserDetailsService来实现UserDetailsService接口,并实现其public UserDetails loadUserByUsername(final String login);方法。我们在实现loadUserByUsername方法的时候,就可以通过查询数据库(或者是缓存、或者是其他的存储形式)来获取用户信息,然后组装成一个UserDetails,(通常是一个org.springframework.security.core.userdetails.User,它继承自UserDetails) 并返回。

在实现loadUserByUsername方法的时候,如果我们通过查库没有查到相关记录,需要抛出一个异常来告诉spring security来“善后”。这个异常是org.springframework.security.core.userdetails.UsernameNotFoundException。


6. AuthenticationManager

AuthenticationManager 是一个接口,它只有一个方法,接收参数为Authentication,其定义如下:

public interface AuthenticationManager {
    Authentication authenticate(Authentication authentication)
            throws AuthenticationException;

}

AuthenticationManager 的作用就是校验Authentication,如果验证失败会抛出AuthenticationException 异常。AuthenticationException是一个抽象类,因此代码逻辑并不能实例化一个AuthenticationException异常并抛出,实际上抛出的异常通常是其实现类,如DisabledException,LockedException,BadCredentialsException等。BadCredentialsException可能会比较常见,即密码错误的时候

 

项目代码

https://gitee.com/gaibianzlp/spring-security-demo.git


小结

这里,我们只是简单的了解了spring security中有哪些东西,先混个脸熟。这里并不需要我们一下子全记住这些名词和概念。先大概看看,有个印象。

给自己一个 smile
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity认证器 配置 多模式登录自定义认证
这个柠檬有丶酸的博客
04-09 2453
首先说下项目使用背景 A服务 和B服务 都在项目中 认证服务是一个公共模块 需要多个认证器 第一步我们先说说 登录过滤器 WebSecurityConfigBugVip.class /** * @Author: Mr_xk * @Description: 配置类 * @Date: 2021/8/1 **/ @Configuration @EnableWebSecurity public class WebSecurityConfigBugVip extends WebSecurityConf
Spring Security 04 自定义认证
weixin_46058921的博客
04-22 1457
发起认证请求,请求中携带⽤户名、密码,该请求会被 UsernamePasswordAuthenticationFilter 拦截在 UsernamePasswordAuthenticationFilter 的 attemptAuthentication ⽅法中将请求中⽤户名和密码,封装为Authentication 对象,并交给 AuthenticationManager 进⾏认证
Spring Security 中多个身份验证
最新发布
canduecho的专栏
08-31 615
通过这种方式,`ProviderManager` 在实现多个身份验证方式时,能够确保只要有一个验证通过,就停止后续的验证尝试,从而实现了只要一个验证通过就不继续运行下一个的效果。4. **验证中止:** 如果任何一个提供者成功验证,`ProviderManager` 将立即停止后续提供者的验证尝试,并将成功的 `Authentication` 对象返回给调用者。5. **全部验证失败:** 如果所有的提供者都无法验证身份,`ProviderManager` 将抛出适当的异常,表示身份验证失败。
springsecurity_Spring Security
weixin_39639514的博客
11-26 239
Spring Security一、 Spring Security 简介 1 概括Spring Security 是一个高度自定义的安全框架。利用 Spring IoC/DI 和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中...
SpringSecurity--权限管理架构介绍
qq_53868937的博客
07-13 1536
也有很多公司选择⾃定义权限,即⾃⼰开发权限管理。但是⼀个系统的安全,不仅 仅是登录和权限控制这么简单,我们还要考虑种各样可能存在的⽹络政击以及防彻 策略,从这个⻆度来说,开发者自己实现安全管理也并⾮是⼀件容易的事情,只有 ⼤公司才有⾜够的⼈⼒物⼒去⽀持这件事情。
解析SpringSecurity自定义登录验证成功与失败的结果处理问题
08-25
主要介绍了SpringSecurity系列之自定义登录验证成功与失败的结果处理问题,本文通过实例给大家讲解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity企业及认证全套开发资源.docx
02-25
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
spring_security.txt
03-05
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。
SpringSecurity进阶DEMO
12-23
demo详细讲解springsecurity自定义UserDetailsService实现方式及security功能模块的配置
Spring Security 认证流程
qq_44131750的博客
04-17 1067
参考资料 官方指引 官方文档 白话让你理解什么是oAuth2协议 最简单易懂的Spring Security 身份认证流程讲解 Spring Security零基础入门之一 SpringSecurity+JWT认证流程解析 How Spring Security Authentication works - Java Brains(这个视频教程讲的超级详细!!!整个流程的理解可以看它) Spring Security 采用 AOP,基于 Servlet 过滤器实现的安全框架。它提供了完善的认证机构和授权功能
SpringSecurity - 简单前后端分离 - 自定义认证
铠の魂博客
07-21 1558
终于到了我们关心的第一个问题,认证篇。此篇我们将结合前面的认证架构来详细讲解如何实现自定义认证处理,会简单的讲解一些原理,不会太过深入。要想玩转SpringSecurity认证,就必须先看懂其认证架构。我们要自定义认证类,只需要继承其抽象认证基类即可,完全可以根据其它的默认实现进行复制粘贴。我们知道在前后端交互中,都是JSON交互,所以我们自定义一个JSON的认证类。项目包路径可以自定义,我的关于Security的都在security包下,自定义token放在token包下。自定义认证类。......
SpringSecurity多个AuthenticationManager登录验证
Jeremz的博客
06-13 1140
**** 1.根据百度一些demo,多番尝试以后能够使用。 2.仅做记录,便于以后更好的改进和研究。
spring security 中配置多个 AuthenticationManager
qq:489366879
11-08 3309
基于spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的时候需要多个authenticationManager来管理来自不同方向的认证管理,比如一个clientAuthenticationManager用来认证client_id和client_secret,配置另外一个authenticationManager来认证use...
Spring Security 之多AuthenticationProvider认证模式实现
xiaokanfuchen86的博客
09-23 1033
多AuthenticationProvider认证模式实现原理及源码分析可参考:https://github.com/mingyang66/spring-parent/blob/master/spring-security-oauth2-server-redis-service/providermanager.md 多AuthenticationProvider实现ProviderManager会按照添加入认证请求链中的顺序来验证,上面的源码分析及实现原理已经说的很清楚了, 这一片就直接看代码实现;
spring security支持多个认证方法
Love_Long的博客
08-24 3989
spring security通过定义多个AuthenticationProvider来实现不同的认证方式。 1、自定义认证自定义认证器可以通过实现AuthenticationProvider接口来实现,这个接口,一共有两个方法 public interface AuthenticationProvider { /** * Performs authenti...
Spring security 进行认证和授权(本质是过滤器(多个))
m0_68884224的博客
07-30 519
Spring security
Spring security认证方式
chijiansong的博客
12-02 365
我是这样使用SpringBoot(多认证方式) - 简书
前后端分离 spring security实现多认证功能
Liu_black的博客
08-05 1170
前后端分离 spring security实现多认证功能 spring security简说 spring security大体上是由一堆Filter(所以才能在spring mvc前拦截请求)实现的,Filter有几个,登出Filter(LogoutFilter),用户名密码验证Filter(UsernamePasswordAuthenticationFilter)之类的,Filter再交由其他组件完成细分的功能,例如最常用的UsernamePasswordAuthenticationFilter会持有一
springsecurity自定义认证
07-28
Spring Security提供了自定义认证的功能,可以通过以下步骤实现: 1. 创建一个自定义的用户密码校验过滤器,例如AdminAuthenticationProcessingFilter,并在Spring Security核心配置类中进行配置\[1\]。 2. 在自定义的用户密码校验过滤器中配置认证管理器,例如CusAuthenticationManager,以及认证成功处理和认证失败处理等\[1\]。 3. 创建一个自定义认证处理类,例如AdminAuthenticationProvider,实现自己的相应业务逻辑,并在认证管理器中进行配置\[1\]。 4. 可以根据需要,创建一个自定义认证对象,例如EmailCodeAuthenticationToken,继承AbstractAuthenticationToken,并定义相应的构造器\[2\]\[3\]。 通过以上步骤,可以实现Spring Security自定义认证功能。 #### 引用[.reference_title] - *1* [Spring Security(2) 自定义登录认证](https://blog.csdn.net/qq_38225558/article/details/102542072)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [SpringSecurity自定义认证](https://blog.csdn.net/chisuisi5702/article/details/126282074)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值