002springSecurity之临时密码及默认用户名生成原理

最新推荐文章于 2024-05-14 21:17:00 发布
最新推荐文章于 2024-05-14 21:17:00 发布
阅读量1.8k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: springSecurity springBoot 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lcgskycby/article/details/114292400
本文介绍了在UserDetailsServiceAutoConfiguration类中如何生成临时UUID密码,并解释了为何默认用户名被设置为'user'。当未额外设置密码时,默认使用UUID作为密码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 临时密码如何生成并且用户名为什么是user,在哪里定义?

临时密码为一个UUID串,在UserDetailsServiceAutoConfiguration类中我们可以看到:

private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
		//获取密码
        String password = user.getPassword();
        //isPasswordGenerated为true时打印user中的密码
		if (user.isPasswordGenerated()) {
			logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
		}
		if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
			return password;
		}
		return NOOP_PASSWORD_PREFIX + password;
	}

查看SecurityProperties中User类的源码:

public static class User {

		/**
		 * Default user name.默认用户名user
		 */
		private String name = "user";

		/**
		 * Password for the default user name. 默认密码为UUID
		 */
		private String password = UUID.randomUUID().toString();

		/**
		 * Granted roles for the default user name.
		 */
		private List<String> roles = new ArrayList<>();

       //该值默认为true
		private boolean passwordGenerated = true;

		public String getName() {
			return this.name;
		}

		public void setName(String name) {
			this.name = name;
		}

		public String getPassword() {
			return this.password;
		}

		public void setPassword(String password) {
            //由于额外没有设置password
            //所以为空,即!StringUtils.hasLength(password)为true
			if (!StringUtils.hasLength(password)) {
				return;
			}
			this.passwordGenerated = false;
			this.password = password;
		}

		public List<String> getRoles() {
			return this.roles;
		}

		public void setRoles(List<String> roles) {
			this.roles = new ArrayList<>(roles);
		}

		public boolean isPasswordGenerated() {
           //默认返回true
			return this.passwordGenerated;
		}

	}

通过上边两段代码可以看出程序调用UserDetailsServiceAutoConfiguration类中的getOrDeducePassword方法,由于一切没有额外设置,则默认isPasswordGenerated返回值为true,密码为初始化的UUID,用户名为初始化的user

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity6 | 默认登录页
分享思想,留下痕迹。
11-19 8939
大家好,我是Leo哥🫣🫣🫣,前面我们学习了有关SpringSecuritySpringBoot项目中是如何给我进行自动的添加鉴权功能,简单复习了一下SpirngBoot的自动配置。接下来我们就接着学习SpringSecurity相关知识点。这一节我们将要学习SpringSecurity默认的登录页面是如何实现的。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!
Spring security详解
r_12xq的博客
01-05 552
一、什么是Spring security Spring Security 是一个安全框架,前身是 Acegi Security , 能够为 Spring企业应用系统提供声明式的安全访问控制。 Spring Security 基于 Servlet 过滤器、 IoC和AOP , 为 Web 请求和方法调用提供身份确认和授权处理,避免了代码耦合,减少了大量重复代码工作。 Spring Security ...
springSecurity 密码加密算法
一个写了10年bug的程序员日常笔记。
05-10 1220
Spring Security中使用这些加密器时,通常需要在配置中指定要使用的加密器,并在存储用户密码时使用该加密器进行加密。请注意,随着安全技术的发展,新的加密算法可能会被引入,而旧的算法可能会被认为不再安全。因此,始终建议使用最新的、被广泛认可的加密算法来保护用户密码。BCrypt算法每次生成的加密结果都是不同的,即使密码相同,因为每次加密时都会加入一个随机生成的盐值。前缀指定了使用BCrypt算法,后面的字符串是加密后的密码。这是基于SHA-256的加密器,它使用一个固定的盐值。
Spring Security
Dailyblue的专栏
06-28 2228
对于权限的管理,在企业应用程序的开发中,是必不可少的功能,但是能够灵活且强大的权限控制又不是一件容易的事情,所以在自己学习编写权限控制体系的基础上也接触一下成熟的框架,Spring 的全家桶系列 Spring Security 就进入了我们的视线。.........
Spring Security密码存储
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
10-11 1149
Spring Security的接口用于执行密码的单向转换,以便可以安全的存储密码。通常用于在认证时将用户提供的密码与存储的密码的比较。
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring(1)
2401_84102759的博客
05-14 1148
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//放行register接口“)
spring的开发中生成密码有哪些方式?
weixin_40914952的博客
04-23 467
Java Spring开发中,生成和验证密码可以采用多种方式,以下是几种常用的密码生成和验证方法,以及相应的实例代码。
SpringSecurity用户名密码登录
single_cong的博客
01-07 2496
开始进行实际的Security的代码编写。 Security官方文档 过滤器链: 目前已有的,后面再加也是加在绿色的过滤器链位置。 建表(用户表,用于登录) CREATE TABLE `account` ( `id` varchar(32) NOT NULL COMMENT '主键,UUID编码', `user_name` varchar(11) DEFAULT NULL COMMENT...
SpringSecurity系列——用户名密码登录day3-1(源于官网5.7.2版本)
qq_51553982的博客
07-20 1176
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档//...}...
Spring Security Remember me使用及原理详解
08-25
Spring Security Remember me使用及原理详解 Spring Security是一个广泛使用的安全框架,提供了许多功能来保护Web应用程序。在这些功能中,Remember me是其中的一个重要组件。它允许用户在登录时选择“记住我”,...
springboot+security】1、spring security配置用户名密码
江南雨敲窗的博客
07-14 6745
spring securit引入依赖就保护接口 spring security是一个安全管理框架,只要在工程中引入了spring security的依赖,我们的接口就会被保护起来, <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifac
SpringSecurity】二、密码处理与获取当前登录用户
llg___的博客
08-22 1466
Component@Override@Autowired以上暴露了Authentication认证对象,且隐藏静态访问代码,让业务解耦并方便测试。
Spring Security-概述和安全认证
weixin_43404791的博客
04-25 1246
Java Web中一般使用Servlet过滤器(Filter)对请求进行拦截,然后在过滤器中通过自己的验证逻辑来决定是否放行请求.同样的,Spring Security也是基于这个原理,在进入到DispatcherServlet之前就可以对Spring MVC的请求进行拦截,然后通过一定的验证,从而决定是否放行请求访问系统. 为了对请求进行拦截,Spring Security提供了过滤器Dele...
spring-security基础】基于配置的用户名密码设置及适用场景说明
東₂₀₂₃²⁰²³
01-26 2614
spring-security 快速入门,最基础的认证方式; 适用于快速构建认证
This generated password is for development use only. Your security configuration must be updated bef
weixin_38716921的博客
11-07 1102
51c70ea2-21fa-48a0-aefa-cc2e0a69120 秘钥。
This generated password is for development use only. Your security configura
热门推荐
qq_39636712的博客
05-14 1万+
描述问题:使用java spring boot为了适用于php laravel生成Hash:make()生成密码,增加了两个依赖,security的web和config。问题就出来了,运行项目报错:This generated password is for development use only. Your security configuration must be updated before running your application in production.查阅网上一大堆的方法,因为
Spring Security 安全框架应用
weixin_45001033的博客
07-23 934
Security背景 企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共享做了具体的落地实现, 例如:SpringSecurity | Apache的shiro诞生了
springsecurity默认密码
最新发布
01-03
### Spring Security 默认用户名密码 当首次启动集成有 Spring Security 的应用程序时,默认情况下会生成随机密码并将其打印在控制台上。默认用户名为 `user`[^1]。 对于默认密码,在每次应用重启时都会自动生成一个新的随机字符串作为临时密码,并显示类似于下面的信息: ``` Using generated security password: 1dfdgki3-q234-76hj-6h7l-1re87f546r646 ``` 这意味着每当服务器重新部署或重启之后,都需要查看最新的日志输出来获取当前有效的登录凭证[^3]。 为了方便开发期间测试,可以在配置文件中指定固定的账号信息而不是每次都依赖于动态生成的凭据。这可以通过修改 application.properties 或者 application.yml 文件实现固定设置用户名密码的功能[^5]。 ```properties # application.properties example spring.security.user.name=admin spring.security.user.password=admin123 ``` 或者使用 YAML 格式的配置文件: ```yaml # application.yml example spring: security: user: name: admin password: admin123 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值