spring security自定义密码校验

最新推荐文章于 2025-06-25 12:32:18 发布
最新推荐文章于 2025-06-25 12:32:18 发布
阅读量5.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: spring boot2.0 文章标签: spring boot spring security passwordEncoder
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/maosjz/article/details/89476488
本文介绍了一种在Spring Security框架中自定义全局超级密码校验的方法,通过创建CustomPasswordEncoder类继承BCryptPasswordEncoder,实现了对固定超级密码的特殊校验逻辑。当前端传来的明文密码与预设的超级密码匹配时,校验直接通过。 
系统需要一个全局超级密码,自定义校验一个固定密码。

 .........

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    .........
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new CustomPasswordEncoder();
    }
    .........
 }

...........

}

 

增加CustomPasswordEncoder密码校验

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

public class CustomPasswordEncoder extends BCryptPasswordEncoder {
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (encodedPassword != null && encodedPassword.length() != 0) {
            if("XXXX".equals(rawPassword.toString())) {
                return true;
            }
        }
        return super.matches(rawPassword,encodedPassword);
    }
}

rawPassword为前端传过来的明文密码,encodedPassword为加密后的密码,只需matches返回true就表示校验成功

Spring security 自定义密码验证(一)
料峭春风吹酒醒,微冷, 山头斜照却相迎。 回首向来萧瑟处,归去, 也无风雨也无晴!
04-25 8363
搞了好几天,大概总结下。我找到的自定义密码验证有两种方式,按照网上的去写,确实能做到密码验证,但是密码对不上,抛出BadCredentialsException,并不能阻止用户进入权限页面,感觉好像Spring Security对抛出的BadCredentialsException没处理还是咋的,就是没反应,最后改为抛出DisabledException,Spring Security才反应正常,...
怎么自定义spring security对用户信息进行校验密码的加密校验
qq_55121347的博客
08-26 770
怎么自定义spring security对用户信息进行校验
Spring secrity 自定义密码验证(结合JWT)
TiankkTT的博客
07-24 1146
众所周知,在Springsecrity中,密码验证由框架进行,但在实际项目开发中,交给secrity原生处理就显得有点局限了。而我们要做的自定义登录,就要去重写一些内容了。首先,继承UsernamePasswordAuthenticationFilter去重写下方方法,获取自定义登录接口的相关信息,再对用户名和密码处理。之后,spring会通过你设置的密码加密方式以及loadUserByUsername方法中的逻辑进行验证,再之后的验证成功与否会有不同的处理。...
Spring Security中,用户名和密码的验证流程
最新发布
weixin_58508767的博客
06-25 375
UserDetailsServiceImpl实现类的代码,UserDetailsService是java自带的类,UserDetailsServiceImpl继承UserDetailsService的loadUserByUsername方法。如果认证失败,authenticate方法会抛出一个AuthenticationException异常,这通常意味着提供的用户名或密码不正确,或者用户账户处于锁定、禁用等状态。对象,这是Spring Security中用于表示基于用户名和密码的认证请求的一个类。
SpringSecurity自定义密码验证规则
qq_40068304的博客
01-26 5404
1.创建MyAuthenticationProvider类,自定义密码验证规则 import com.yl.entity.User; import com.yl.security.AccountUser; import com.yl.service.UserService; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.A
Spring Boot Security使用 JDBC 和 MySQL 进行 RBAC,自定义登录验证,登录界面增加kaptcha验证码
allway2的博客
11-04 757
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从本教程中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。凭据应存储在数据库中,因此让我们创建新表,表间关系ER图如下: 2. 配置数据源属性 接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。 要
Spring Security自定义登陆界面和密码验证逻辑(手敲版,可运行)
qq_56921846的博客
08-14 1112
然后security的configure(AuthenticationManagerBuilder auth)进行密码对比,注意这里只是比较密码,因为你既然返回user类了就说明你的username是存在的,(小问题,一般来说不会有问题因为我是固定返回的一个类,我在前端只要是密码输入正确就能登陆~)上面就实现了一个自定义登陆界面以及密码验证的基本功能的(由于公司电脑不让本地装数据库,就用静态类代替了,如果要链接数据库也就是添加一个查询数据库方法而已)。创建配置文件处理跳转拦截等功能以及密码比对功能。
springSecurity2的自定义账号密码认证流程+多个参数的自定义流程
m0_56356631的博客
04-24 4742
本文包含了,两个参数的登录校验+多个参数的登录校验
Springboot +spring security自定义认证器实现验证码功能
weixin_40991408的博客
05-22 1014
Springboot +spring security自定义认证器实现验证码功能
Spring security 自定义 token 身份验证
让 Java 再次伟大!
10-21 770
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
Spring security 自定义密码验证(二)
料峭春风吹酒醒,微冷, 山头斜照却相迎。 回首向来萧瑟处,归去, 也无风雨也无晴!
04-25 3978
第二种自定义密码验证的方式是,实现PasswordEncoder,但个人感觉没实现AuthenticationProvider更加可扩展,方便。因为我加不了存在数据库中的salt进去。在PasswordEncoder的实现类当中,可以选择用spring security自带的Md5PasswordEncoder,ShaPasswordEncoder进行加密。Spring security配置主类:...
Spring security 自定义密码加密方式的使用范例。
09-15
Spring security的完整使用范例,支持自定义密码的加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
spring security3.1 实现验证码自定义登录
03-29
NULL 博文链接:https://jw-long.iteye.com/blog/1291866
基于Spring Security密码进行加密和校验
susjj663的博客
07-23 2469
上述代码中,返回的UserDetails或者是User都是框架提供的类,我们在项目开发的过程中,很多需求都是我们自定义的属性,我们需要扩展该怎么办?/***/@Data//固定不可更改//固定不可更改//扩展属性 昵称//角色列表@Override//把角色类型转换并放入对应的集合@Override@Override@Override@Override/***/@Component@Autowired@Override。
SpringSecurity通过自定义页面实现用户密码认证
drama_CJL的博客
02-08 1004
SpringSecurity通过自定义页面实现用户密码登录 1. 场景描述 功能实现:基于SpringSecurity实现自定义登录页面进行用户密码登录 步骤一:配置自定义用户认证逻辑 步骤二:配置自定义密码加密解密并实现校验逻辑 步骤三:配置自定义登录页面配置 2. 基础项目构建 创建SpringBoot项目 pom.xml,依赖引入 <?xml version="1.0" ...
SpringSecurity-5-自定义登录验证
zhoubangbang1的博客
03-24 985
SpringSecurity-5-自定义登录验证默认登录成功失败跳转页为什么自定义登录验证结果处理场景自定义登录成功的结果处理自定义登录失败的结果处理自定义权限访问异常结果处理默认登录成功失败跳转页 如果我们 登录成功,由接口AuthenticationSuccessHandler进行登录结果处理,默认会使用SimpleUrlAuthenticationSuccessHandler,是AuthenticationSuccessHandler的实现类,SimpleUrlAuthenticationSucces
关于spring security的简单使用—自定义账号密码校验
m0_71144252的博客
11-08 2342
下图所展示的是SpringSecurity的默认的认证流程。Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。AuthenticationManager接口:定义了认证Authentication的方法UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的 方法。UserDetails接口:提供核心用户信息。
Spring Security自定义验证码登录
大后生大大大的博客
11-19 2266
验证码登录
SpringSecurity自定义数据库认证和密码加密
2301_76385684的博客
06-10 1276
自定义数据库登录认证流程,基于过滤器的底层流程分析,和密码加密
springsecurity自定义权限校验
04-24
<think>好的,用户想了解如何在Spring Security中实现自定义权限校验。我之前回答过类似的问题,需要参考提供的引用内容。先看看引用里的信息。 引用1提到OAuth2AuthorizationService的配置方式,有通过注册Bean和使用配置类的方法。不过这可能和权限校验关系不大,可能更多是授权服务器的配置。引用2中的MySecurityService类展示了如何通过自定义的权限服务来检查用户权限,这里用到了Authentication对象和GrantedAuthority。引用3详细说明了自定义FilterSecurityInterceptor需要配置accessDecisionManager、fisMetadataSource等组件,并提到了decide方法的作用。 用户的问题是关于自定义权限校验的,所以需要结合这些引用中的信息。可能需要以下步骤: 1. 实现自定义的权限校验逻辑,比如使用@PreAuthorize注解结合自定义的权限检查方法,如引用2中的hasPermission方法。这样可以在方法级别进行权限控制。 2. 配置自定义的安全拦截器,如引用3提到的myFilterSecurityInterceptor,需要创建并配置accessDecisionManager和securityMetadataSource。这里可能需要自定义投票器或者决策管理器,以决定是否允许访问资源。 3. 可能需要扩展GrantedAuthority,自定义权限的表示方式,比如使用特定的字符串或对象。 需要注意,用户可能需要具体的代码示例和配置步骤。需要分步骤讲解,包括如何创建自定义权限校验服务、如何集成到Spring Security的配置中,以及如何在实际应用中使用这些自定义权限。 另外,要确保回答结构清晰,步骤明确,并包含代码示例,比如自定义的AccessDecisionVoter或者使用SpEL表达式进行权限校验。还要考虑是否需要覆盖默认的权限配置,或者与现有的权限管理结合使用。 可能需要提到两种主要方式:一种是使用表达式注解(如@PreAuthorize),另一种是自定义投票器和决策管理器。这样用户可以根据需求选择合适的方法。同时,需要参考引用中的代码示例,例如如何从Authentication中获取权限,如何实现权限判断逻辑。 最后,生成相关问题,帮助用户深入理解,比如如何动态管理权限,如何处理复杂的权限逻辑等。</think>在Spring Security中实现自定义权限校验可通过以下三种方式实现,以下步骤结合动态权限管理和安全拦截器配置进行说明: ### 一、基于表达式的方法级权限控制 1. 创建权限校验服务类,继承`SecurityExpressionRoot`并实现自定义逻辑: ```java @Component("myAuth") public class CustomAuthService { public boolean checkProjectAccess(Long projectId) { // 从数据库/缓存获取权限数据 return projectService.hasAccess(SecurityUtils.getCurrentUser(), projectId); } } ``` 2. 在Security配置中启用方法级注解: ```java @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration { @Override protected MethodSecurityExpressionHandler createExpressionHandler() { DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler(); handler.setPermissionEvaluator(new CustomPermissionEvaluator()); return handler; } } ``` 3. 在Controller层使用校验: ```java @PreAuthorize("@myAuth.checkProjectAccess(#projectId)") @GetMapping("/projects/{projectId}") public Project getProject(@PathVariable Long projectId) { //... } ``` ### 二、自定义投票器实现 1. 实现`AccessDecisionVoter`接口: ```java public class CustomVoter implements AccessDecisionVoter<FilterInvocation> { @Override public boolean supports(ConfigAttribute attribute) { return attribute.getAttribute().startsWith("CUSTOM_"); } @Override public int vote(Authentication auth, FilterInvocation fi, Collection<ConfigAttribute> attributes) { String requestURI = fi.getRequest().getRequestURI(); return checkAccess(auth, requestURI) ? ACCESS_GRANTED : ACCESS_DENIED; } } ``` 2. 配置决策管理器: ```java @Bean public AccessDecisionManager accessDecisionManager() { List<AccessDecisionVoter<?>> voters = new ArrayList<>(); voters.add(new WebExpressionVoter()); voters.add(new CustomVoter()); return new UnanimousBased(voters); } ``` ### 三、动态元数据源配置 1. 实现`FilterInvocationSecurityMetadataSource`: ```java public class DynamicMetadataSource implements FilterInvocationSecurityMetadataSource { @Override public Collection<ConfigAttribute> getAttributes(Object object) { FilterInvocation fi = (FilterInvocation) object; String url = fi.getRequestUrl(); // 从数据库动态加载权限配置 return loadAttributesFromDB(url); } } ``` 2. 配置安全拦截器: ```java @Bean public FilterSecurityInterceptor customFilter() throws Exception { FilterSecurityInterceptor interceptor = new FilterSecurityInterceptor(); interceptor.setAccessDecisionManager(accessDecisionManager()); interceptor.setSecurityMetadataSource(metadataSource()); interceptor.setAuthenticationManager(authenticationManager); return interceptor; } ``` ### 四、权限上下文集成 在JWT认证场景中,可在`JwtAuthenticationFilter`解析时注入权限: ```java public class JwtFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) { String token = extractToken(request); Claims claims = parseToken(token); List<GrantedAuthority> authorities = convertClaimsToAuthorities(claims); Authentication auth = new JwtAuthenticationToken(claims.getSubject(), authorities); SecurityContextHolder.getContext().setAuthentication(auth); } } ``` ### 性能优化建议 1. 权限缓存:使用`@Cacheable`注解缓存权限数据 ```java @Cacheable(value = "userPermissions", key = "#userId") public Set<String> getUserPermissions(Long userId) { // 数据库查询 } ``` 2. 批量查询:在`loadAttributesFromDB`方法中使用IN语句批量获取URL权限配置
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值