springsecurity基于数据库中的用户信息实现登陆

最新推荐文章于 2025-03-18 14:45:42 发布
最新推荐文章于 2025-03-18 14:45:42 发布
阅读量270 收藏
点赞数
文章标签: 数据库 oracle spring boot java 后端 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/an715396887/article/details/132158794
版权

springsecurity基于数据库中的用户信息实现登陆

springsecurity简介

Spring Security是一个基于Java的开源框架,用于在Java应用程序中提供身份验证和授权的安全性。它是构建安全性功能的强大框架,可用于保护Web应用程序、REST API和其他类型的后端服务。
Spring Security提供了一套全面的安全性特性,包括用户身份验证、访问控制、密码管理、会话管理和跨站点请求伪造(CSRF)防护等。它还支持多种认证方式,包括基于表单的身份验证、基于HTTP基本认证、基于OAuth和OpenID Connect等。使用Spring Security,可以轻松地将安全性集成到你的应用程序中。它提供了灵活的配置选项和可扩展的API,使你能够根据具体的需求来定制和实现安全性功能。此外,Spring Security还与其他Spring框架和技术无缝集成,如Spring Boot、Spring MVC和Spring Data等。

实现步骤

1. 创建一个用户实体类(User Entity),用于表示存储在数据库中的用户信息。该实体类应包含用户名、密码和角色等必要的属性。
2. 创建一个用户详细信息服务类(UserDetailsService),实现Spring Security提供的 `UserDetailsService` 接口。该类应该实现 `loadUserByUsername` 方法,用于根据用户名从数据库中加载用户详细信息。
3. 创建一个密码编码器(Password Encoder)用于对用户密码进行加密。Spring Security提供了多种密码编码器实现,如BCryptPasswordEncoder、PasswordEncoder等。
4. 在Spring Security的配置类中,通过继承 `WebSecurityConfigurerAdapter` 并覆写 `configure` 方法,进行安全配置。:
  - 使用 `.userDetailsService(userDetailsService)` 方法指定你实现的用户详细信息服务类。
  - 使用 `.passwordEncoder(passwordEncoder)` 方法指定你选择的密码编码器。
  - 使用 `.jdbcAuthentication()` 方法启用基于数据库的身份验证。
  - 使用 `.dataSource(dataSource)` 方法指定你的数据源,以便Spring Security可以连接到数据库。
5. 在登录页面的表单中,需要包含用户名和密码的输入字段,并将表单的提交地址指向Spring Security提供的默认登录地址( `/login` )。

具体实现:

用户详细信息服务类(UserDetailsService),实现Spring Security提供的 UserDetailsService 接口。该类应该实现 loadUserByUsername 方法,用于根据用户名从数据库中加载用户详细信息。

@Service
public class MyUserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private SysUserService sysUserService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser sysUser = sysUserService.getByUserName(username);//根据用户名查询数据;也可以直接用getone查询
        if (sysUser==null){//没有找打该用户
            throw new UsernameNotFoundException("账户或密码错误");
        }else if ("1".equals(sysUser.getStatus())){//该用户的Status状态为1
            throw new UserCountLockException("账户已经被封禁,请联系管理员!");//自定义异常
        }
        //因为这个函数规定返回的UserDetails类型,为了方便,我们返回其实现类
        return new User(sysUser.getUsername(),sysUser.getPassword(),getUserAuthority(sysUser.getId()));
    }

    private List<GrantedAuthority> getUserAuthority(Long id) {
        return new ArrayList<>();
    }
}

密码编码器(Password Encoder)用于对用户密码进行加密

//默认密码加密配置
    @Bean
    BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

在Spring Security的配置类中,通过继承 WebSecurityConfigurerAdapter 并覆写 configure 方法,进行安全配置。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private LoginSuccessHandler loginSuccessHandler;

    @Autowired
    private LoginFailureHandler loginFailureHandler;

    @Autowired
    private MyUserDetailServiceImpl myUserDetailService;

    // 定义白名单URL路径数组
    private static final String URL_WHITELIST[] = {
            "/login",
            "/logout",
            "/captcha",
            "/password",
            "/image/**",
            "/test/**"
    } ;

    //默认密码加密配置
    @Bean
    BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * 配置应用程序的安全规则
     * 开启跨域资源共享(CORS)功能,并关闭跨站请求伪造(CSRF)攻击防护
     * 配置登录相关设置
     * 禁用会话(session)的创建
     * 配置拦截规则
     * @param http HttpSecurity对象,用于配置应用程序的安全规则
     * @throws Exception 配置过程中可能抛出的异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .cors() // 开启CORS功能(跨域)
                .and()
                .csrf().disable() // 关闭CSRF攻击防护
                .formLogin() // 配置登录相关设置
                .successHandler(loginSuccessHandler) // 自定义登录成功处理器
                .failureHandler(loginFailureHandler) // 自定义登录失败处理器
                // .and()
                // .logout() // 配置注销设置(如果需要)
                // .logoutSuccessHandler() // 自定义注销成功处理器(如果需要)
                .and()
                //session禁用配置
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 禁用会话的创建(无状态)
                .and()
                .authorizeRequests()
                .antMatchers(URL_WHITELIST).permitAll() // 白名单中的URL路径允许无需身份验证/permitAll放行所有
                .anyRequest().authenticated(); // 其他所有请求需要身份验证
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailService);
    }

}

拓展

自定义的登陆成功处理器

在上述代码中有一个自定义的登陆成功处理器。具体代码可以参考如下:

@Component
public class LoginFailureHandler implements AuthenticationFailureHandler {
    /**
     * 登录失败处理器
     *
     * @param httpServletRequest HTTP请求
     * @param httpServletResponse HTTP响应
     * @param e 认证异常
     * @throws IOException IO异常
     * @throws ServletException Servlet异常
     */
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        // 设置响应内容类型为JSON,并且编码为UTF-8
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        ServletOutputStream outputStream = httpServletResponse.getOutputStream();
        // 获取认证异常的错误信息
        String message=e.getMessage();
        // 如果是BadCredentialsException异常,则将错误信息设置为"用户名或者密码错误!"
        if(e instanceof BadCredentialsException){
            message="用户名或者密码错误!";
        }
        // 将错误信息以JSON格式写入响应输出流中
        outputStream.write(JSONUtil.toJsonStr(R.error(message)).getBytes("UTF8"));
        outputStream.flush();
        outputStream.close();
    }
}
// 这段代码是一个登录失败处理器的实现类。当用户认证失败后,会执行该类中的onAuthenticationFailure方法。该方法的作用是在HTTP响应中返回认证失败的错误信息。
//         具体代码解释如下:
//         - 设置响应内容类型为JSON,并且编码为UTF-8。
//         - 获取HTTP响应的输出流。
//         - 获取认证异常的错误信息。
//         - 如果认证异常是BadCredentialsException类型,则将错误信息设置为"用户名或者密码错误!"。
//         - 将错误信息以JSON格式写入响应输出流中。
//         - 刷新输出流并关闭。
自定义的登陆失败处理器

@Component
public class LoginSuccessHandler implements AuthenticationSuccessHandler {
    /**
     * 登录成功处理器
     *
     * @param httpServletRequest HTTP请求
     * @param httpServletResponse HTTP响应
     * @param authentication 认证信息
     * @throws IOException IO异常
     * @throws ServletException Servlet异常
     */
    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        // 设置响应内容类型为JSON,并且编码为UTF-8
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        ServletOutputStream outputStream = httpServletResponse.getOutputStream();
        // 定义用户名
        String username="user";
        // 生成JWT令牌
        String token = JwtUtils.genJwtToken(username);
        // 将登录成功信息和令牌写入响应输出流中
        outputStream.write(JSONUtil.toJsonStr(R.ok("登录成功").put("authorization",token)).getBytes());
        outputStream.flush();
        outputStream.close();
    }
}
// 这段代码是一个登录成功处理器的实现类。当用户成功认证后,会执行该类中的onAuthenticationSuccess方法。该方法的作用是在HTTP响应中返回登录成功的信息和生成的JWT令牌。
//         具体代码解释如下:
//         - 设置响应内容类型为JSON,并且编码为UTF-8。
//         - 获取HTTP响应的输出流。
//         - 定义用户名为"user"(通常应该从认证信息中获取)。
//         - 调用JwtUtils类的genJwtToken方法生成JWT令牌。
//         - 将登录成功信息和令牌以JSON格式写入响应输出流中。
//         - 刷新输出流并关闭。
用户详细信息服务类(UserDetailsService)中的自定义异常
public class UserCountLockException extends AuthenticationException {
    public UserCountLockException(String msg, Throwable t) {
        super(msg, t);
    }

    public UserCountLockException(String msg) {
        super(msg);
    }
}
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 6557
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
SpringSecurity连接数据库实现登录认证
Thinking_Liang的博客
03-22 1527
SpringSecurity连接数据库实现登录认证 首先,使用SpringSecurity前需要知道的一点是:要想使用SpringSecurity必须继承WebSecurityConfigurerAdapter父类(重写两个configure方法),SpringSecurity中进行认证需要实现UserdetailService接口,把用户名和密码写死的内存中认证为以下写法: @EnableWebSecurity public class SecurityConfig extends WebSecurity
Spring Security连接数据库实现登录
weixin_45963819的博客
04-22 5597
使用Spring Security的登录页面,从数据库中获取数据进行登录认证。 步骤: 一、前置工作: 1.搭建Spring Boot 2.连接MySQL数据库数据库中创建好表 二、 Spring Security环节 创建与数据库对应的admin实体(Admin.java) 写查询语句(AdminDao.java和AdminDao.xml) 实现UserDetailsService接口(Us...
SpringSecurity——如何使用数据库进行登录操作流程
最新发布
gege_0606的博客
03-18 294
项目中一旦添加了spring security的jar包依赖,那么所有的controller接口路径访问时都会被spring security拦截,它会检查你是否登录,如果未登录,就会跳转到它的一个默认登录页,如果登录了,那么可以直接访问controller的路径。1. 选择基础依赖(最基础需要包括 springWeb,springSecurity,MysqlDriver,Mybatis Framework,LomBok)Spring Security 使用数据库进行登录操作流程。
第4章 Spring Security 基于数据库的登录认证
Shiro框架02
10-14 205
一般来说,我们的用户信息都是存放在数据库中的,本章节就基于数据库来完成认证与授权。 数据库设计 这里需要三张表:user(用户信息表)、role(角色表)、user_role(用户与角色关系表)。一般来说,角色与权限相关,所以用户具有什么样的角色,就拥有什么样的权限。 create table `user` ( `id` int unsigned NOT NULL AUTO_INCREMENT, `username` varchar(50) NOT NULL, `password`
SpringSecurity4 样例工程(自定义登录页,从数据库获取用户名密码)
05-23
SpringSecurity4 样例工程(自定义登录页,从数据库获取用户名密码)
SpringSecurity设置登录用户(连接数据库)
hd_cash的博客
05-13 921
1:设置登录系统的账号,密码 如果没有配置登录的用户则会默认配置用户名为user且密码为控制台输出。 配置的前提:配置类中注入PasswordEncoder 的实现类对象 //设置登录的账号密码需要配置密码解析器 @Bean public PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } 方式1:yaml配置 spring: security: user:
Spring Security基于数据库实现认证过程解析
08-18
Spring Security基于数据库实现认证过程解析 Spring Security是一个功能强大且灵活的安全框架,提供了基于数据库的认证机制。本文将通过示例代码详细介绍Spring Security基于数据库实现认证过程的详细解析。 一、...
实现SpringSecurity校验数据库用户信息的功能
03-16
本文将详细探讨如何在SpringSecurity实现数据库用户信息的校验功能。 首先,要实现SpringSecurity校验数据库用户信息的功能,需要创建一个数据源配置(dataSource configuration),确保Spring Security可以...
Spring security基于数据库中账户密码认证
08-24
用户实现这个接口中的 loadUserByUsername 方法,通过数据库中查询的账号和密码构造一个 UserDetails 对象返回给 Spring Security,然后框架自己完成认证操作。 二、UserDetailsService 接口 UserDetailsService ...
spring-security使用数据库用户认证
12-10
spring-security使用数据库用户认证
JavaBean连接数据库实现简单的用户登录操作
04-23
本项目是基于java的,在jsp中通过访问数据库里的数据实现实现用户登录操作。里面有部分js代码,希望对新手学web有帮助
03-SpringSecurity数据库用户登录
空夜's Blog
06-04 1617
这一节来看一下如何从数据库引入user到我们的spring-security中。 统一用户登录 首先来实现一个不包含角色、权限的demo吧! 建表: DROP TABLE IF EXISTS `user`; CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `name` varchar(255) NOT NULL, ...
Spring Security--连接数据库+自定义登录页面+前后端json交互
a2285786446的博客
06-09 867
书接上一篇,在实际的开发中,我们的账号密码不可能是这样写在配置文件中的,应该是要来自于数据库。接着上一篇的项目,我们继续,在原有的依赖的基础上新增,mysql驱动依赖和mybatis依赖。添加一条数据,在security中,你的密码默认是加密的,不加密在密码前加(noop)如果是boot2.x版本,5.x的security会出现一个。user实现UserDetails 接口,重写里面的方法。现在我们要用这个账号密码去登录,我们一步一步来操作一下。输入账号,密码登录,运行成功。然后来一个mapper,
Spring Security数据库登录认证
qq_54713898的博客
10-22 250
创建Mapper,在Mapper中编写根据用户名查询用户的方法。如果使用的是Mybatis-plus,就不需要配置xml文件路径了。然后,创建一个Service类让它实现UserDetailsService,重写它里面的loadUserByUsername方法。OK,到这里准备工作就完成了,下面开始Spring Security相关代码的编写了。注意:数据库中的密码必须是使用Security加解密器进行加密后的密码。首先,还是需要把Security的加解密器搞出来。2、准备一张表,关键字段有。
SpringSecurity入门2---基于数据库的登录
Anntly的博客
04-05 268
代码地址 在上文中实现了基于内存的登录,书接上文,这次我们用基于数据库的方式实现登录 使用SpringSecurity默认提供的 创建数据库即对应的表,在application.properties配置好数据源 DROP TABLE IF EXISTS `users`; CREATE TABLE `users` ( `username` varchar(50) CHARACTER SET...
Spring Security实现数据库中访问用户名和密码实现登录
qwertyu0103的博客
03-25 1581
1、相关依赖 这里不做代码演示,本案例使用的是mybatis-plus框架操作数据库 2、实体类 创建一个实体类,建议尽量别用User作为实体类的类名,和org.springframework.security.core.userdetails.User冲突,容易导错包,但本例中使用User做为实体类,给想用User的小伙伴做个演示。(使用这种方式导包时,导入的都是自定义实体类User包,只有在最后将数据保存到org.springframework.security.core.userdetails.
Spring Security使用数据库登录认证授权
Charge8的博客
01-03 5043
Spring Security使用数据库登录认证授权
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值