首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >自定义Spring Security的用户认证逻辑

自定义Spring Security的用户认证逻辑

作者头像
用户7386338
发布于 2020-05-29 03:05:15
发布于 2020-05-29 03:05:15
1.2K00
代码可运行
举报
文章被收录于专栏:Java患者Java患者
运行总次数:0
代码可运行

前言

在我们上篇中,用户的用户名是固定的,密码也是由框架为我们生成的,那么我们实际场景中,用户的登录信息应该是从数据库中读取的。

Spring Security中自定义用户认证的相关逻辑包含三部分,如何处理用户信息获取、如何处理用户校验、如何处理密码加密解密。

如何处理用户信息获取

在Spring Security中获取用户信息是被封装在一个叫UserDetailsService的接口里面的,他只有一个方法,这个方法会根据用户名去我们的存储中读取用户信息,并封装成UserDetails的类返回。Spring Security就会拿到这个用户信息去做认证处理。

下面我们来实现这个接口,来看一下效果。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
@Componentpublic class MyUserDetailsService implements UserDetailsService {
    private Logger logger = LoggerFactory.getLogger(getClass());
    @Override    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {        // 根据用户名查找用户信息        logger.info("登录用户名:"+username);        // 返回Spring Security提供的user对象        return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));    }}

在我们实际开发中,这个操作是读取数据库的,这里我们就简写一下即可。返回的User对象构造方法要提供三个参数。第一个参数和第二个参数是用来做认证的,第三个参数就是我们给这个用户的授权用的。

我们来启动服务,在登录页面上随便输一个用户名和密码。由于我们前面返回的UserDetails对象密码是设置“123456”,这个时候登录操作是失败的,只有输入正确的密码才能访问问我们的服务。

如何处理用户校验逻辑

用户的校验逻辑包括密码是否匹配和其他一些校验,比如用户是否被冻结,下面我们来模拟用户被冻结。

UserDetails接口封装了Security登录的所有信息以及提供一些校验逻辑的方法。由于我们为了方便,使用Spring Security提供的User对象模拟,在我们实际开发中也可以自定义用于实体,去实现这个接口,根据业务来做出不同的校验。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
    boolean isAccountNonExpired();  // 账号没有过期    boolean isAccountNonLocked();  // 账户是不是锁定的,返回false也就是冻结    boolean isCredentialsNonExpired();  // 密码是不是过期    boolean isEnabled();  // 账号是不是可用,也就是账户是否被删除了

只要把这4个方法其中的一个返回值设置成为false,我们的登录就不会过了。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
// 根据查找的用户信息判断用户是否被冻结  // 使用7个工作参数的函数    return new User(username, "123456",      true, true, true, false,        AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));

如何处理密码的加密与解密

在我们实际中,我们不会把密码直接存进数据库中,而是先把密码进行加密操作在存入。Spring Security来加密与解密是由PasswordEncoder接口提供的,在这个接口里面有2个方法,encode和matches。encode是在用户注册的时候,往数据库存数据之前,由我们来调用的,可以对密码进行加密。matches是Spring Security自己调用的,他可以把拿到返回的UserDetails里面的password跟用户在登录时候输入的密码进行匹配,如果匹配上是返回true,匹配不上就会抛出异常,在页面显示错误信息。

下面我们在配置类中来配置一个PasswordEncoder,为了方便,我们就直接返回有框架提供的PasswordEncoder,我们也可以自己去自定义。

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
  @Bean  public PasswordEncoder passwordEncoder() {      return new BCryptPasswordEncoder();  }wo'm

并且在UserDetailsService返回加密后的密码

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
  @Autowired  private PasswordEncoder passwordEncoder;
  @Override  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {      // 返回加密后的密码      return new User(username, passwordEncoder.encode("123456"),              true, true, true, false,              AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));  }

此外,同一个密码,使用Spring Security提供的PasswordEncoder加密得到的密文是不同的,他会随机生成salt,并且混在加密后的结果中。在判断时候会拿到密文中的salt,反推出明文。这样可以避免多个相同的密码时候,有一个密码被破解了,其他的相同密码也会跟着泄露的问题。主要是它的强大之处。

小结

到这里自定义Spring Security的用户认证逻辑已经讲完了,实际上就是三个接口来完成的

  • 处理用户信息获取逻辑:UserDetailsService
  • 处理i用户校验逻辑:UserDetails
  • 处理密码加密解密:PasswordEncoder
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-04-07,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Java患者 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
Spring Security 自定义用户认证
在 Spring Boot 集成 Spring Security 这篇文章中,我们介绍了如何在 Spring Boot 项目中快速集成 Spring Security,同时也介绍了如何更改系统默认生成的用户名和密码。接下来本文将基于 Spring Boot 集成 Spring Security 这篇文章中所创建的项目,进一步介绍在 Spring Security 中如何实现自定义用户认证。
阿宝哥
2019/11/15
1.5K0
SpringSecurity自定义用户登录
根据上一节的配置,默认在服务开启的时候会被要求自动的进行表单登陆。用到的用户名只能是一个固定的用户名user,它的密码是每次启动的时候服务器自动生成的。最常见的场景是我们的用户是从数据库中获取的。
Dream城堡
2018/09/10
2.8K0
SpringSecurity自定义用户登录
Spring Security 上
FilterSecurityInterceptor:是一个方法级的 权限过滤器 ,基本位于过滤链的最底部
张小驰出没
2021/05/08
6880
Spring Security  上
【Spring Security】003-Spring Security web权限方案(1):用户认证
在resources目录下创建static目录,并创建login.html,name必须是username和password;
訾博ZiBo
2025/01/06
1470
【Spring Security】003-Spring Security web权限方案(1):用户认证
Spring security笔记2/4: 自定义用户信息
重命名 Case1Application.java 为 Case2Application.java
tonglei0429
2019/09/09
8310
Spring Security入门(基于SSM环境配置)
4. 配置成功和失败的处理器 通过实现AuthenticationSuccessHandler接口和AuthenticationFailureHandler实现 public class FailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException { response.getWriter().write(WriteStatusJson.loginStatus("status","Failure")); } } public class SuccessHandler implements AuthenticationSuccessHandler { @Override public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException { response.getWriter().write(WriteStatusJson.loginStatus("status","success")); } }
石的三次方
2021/01/05
1.3K0
Spring Security学习(二)
被LogoutFilter在成功注销后调用,用来进行重定向或者转发相应的目的地。注意这个接口与LogoutHandler几乎一样,但是可以抛出异常。
allsmallpig
2021/02/25
8830
分布式--Spring Security入门
Spring Security是Spring推出的一个安全框架,说白了就是争对用户登录和权限的框架,所以主要功能为两块:“认证”和“授权”,对应用户登录和是否有权限去访问一些功能
aruba
2022/09/19
7620
分布式--Spring Security入门
Spring Security详解 顶
2020-01-05 01:57:16.482 INFO 3932 --- [ main] .s.s.UserDetailsServiceAutoConfiguration :
算法之名
2020/01/15
2.5K0
Spring Security详解
                                                                            顶
【SpringSecurity】快速入门—通俗易懂
创建一个WebSecurityConfig类,继承WebSecurityConfigurerAdapter:
陶然同学
2023/10/30
9660
【SpringSecurity】快速入门—通俗易懂
Spring Security----RBAC权限控制模型,和权限相关知识点整理
我们开发一个系统,必然面临权限控制的问题,即不同的用户具有不同的访问、操作、数据权限。形成理论的权限控制模型有:自主访问控制(DAC: Discretionary Access Control)、强制访问控制(MAC: Mandatory Access Control)、基于属性的权限验证(ABAC: Attribute-Based Access Control)等。最常被开发者使用也是相对易用、通用的就是RBAC权限模型(Role-Based Access Control),本文就将向大家介绍该权限模型。
大忽悠爱学习
2021/12/07
4.5K0
Spring Security----RBAC权限控制模型,和权限相关知识点整理
Spring Security认证和授权(二)
假设在/admin/test/下的内容是系统后台管理相关的 API,在/web/test下的内容是面向客户端公开访 问的API,在/user/test/下的内容是用户操作自身数据相关的API;显然,/admin/test必须拥有管理员权限才能进行操作,而/user/test必须在用户登录后才能进行操作。
Java技术债务
2022/08/09
6410
Spring Security认证和授权(二)
Spring Security技术栈开发企业级认证与授权(八)Spring Security的基本运行原理与个性化登录实现
其中绿色部分的每一种过滤器代表着一种认证方式,主要工作检查当前请求有没有关于用户信息,如果当前的没有,就会跳入到下一个绿色的过滤器中,请求成功会打标记。绿色认证方式可以配置,比如短信认证,微信。比如如果我们不配置BasicAuthenticationFilter的话,那么它就不会生效。
itlemon
2020/04/03
7940
Spring Security技术栈开发企业级认证与授权(八)Spring Security的基本运行原理与个性化登录实现
Spring Security 实战干货——搞清楚UserDetails
前一篇介绍了 Spring Security 入门的基础准备。从今天开始我们来一步步窥探它是如何工作的。我们又该如何驾驭它。请多多关注公众号: Felordcn 。本篇将通过 Spring Boot 2.x 来讲解 Spring Security 中的用户主体UserDetails。以及从中找点乐子。
码农小胖哥
2019/12/05
1.9K0
SpringSecurity笔记之helloworld
(1)核心就是继承WebSecurityConfigurerAdapter实现类里的configure(HttpSecurity http) 方法
CBeann
2023/12/25
1680
SpringSecurity笔记之helloworld
springboot系列学习(二十九): springsecurity自定义的登录的逻辑,也就是我们从数据库中拿用户名和密码 (二)
1 创建数据库 2 创建一个maven项目 3 导入依赖 4 写连接数据库的配置文件 5 配置类里面要写密码解析器的代码,这个是springsecurity框架 必须要有的
一写代码就开心
2020/11/20
1.2K0
【SpringSecurity系列01】初识SpringSecurity
​ 用自己的话 简单介绍一下,Spring Security基于 Servlet 过滤器链的形式,为我们的web项目提供认证与授权服务。它来自于Spring,那么它与SpringBoot整合开发有着天然的优势,目前与SpringSecurity对应的开源框架还有shiro。接下来我将通过一个简单的例子带大家来认识SpringSecurity,然后通过分析它的源码带大家来认识一下SpringSecurity是如何工作,从一个简单例子入门,大家由浅入深的了解学习SpringSecurity。
yukong
2019/04/18
8220
【SpringSecurity系列01】初识SpringSecurity
Spring全家桶之SpringSecurity
SpringSecurity 是一个高度自定义的安全框架。利用 SpringIoC/DI和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 SpringSecruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还需要大量工作去重新配置你的应用程序。使用 SpringSecurity解决了这些问题,也为你提供许多其他有用的、可定制的安全功能。
时间静止不是简史
2020/07/27
3.7K0
Spring全家桶之SpringSecurity
Spring Security源码分析十二:Spring Security OAuth2基于JWT实现单点登录
用户的登录状态是由sso-server认证中心来保存的,登录界面和账号密码的验证也是sso-server认证中心来做的(client1和clien2返回token是不同的,但解析出来的用户信息是同一个用户)。
java干货
2021/02/19
1.7K1
Spring Security源码分析十二:Spring Security OAuth2基于JWT实现单点登录
让Spring Security 来保护你的Spring Boot项目吧
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
100000860378
2018/09/13
1.2K0
让Spring Security 来保护你的Spring Boot项目吧
推荐阅读
相关推荐
Spring Security 自定义用户认证
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档