SpringSecurity自定义用户认证逻辑(二)

最新推荐文章于 2025-06-19 22:09:53 发布
最新推荐文章于 2025-06-19 22:09:53 发布
阅读量3.7k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: spring-security 文章标签: spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36144258/article/details/78878791
本文详细介绍了Spring Security框架中用户认证的过程,包括用户信息获取、用户校验及密码加密解密的具体实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

根据上一节的配置,默认在服务开启的时候会被要求自动的进行表单登陆。用到的用户名只能是一个固定的用户名user,它的密码是每次启动的时候服务器自动生成的。最常见的场景是我们的用户是从数据库中获取的。
处理用户信息获取逻辑

/**
 * 自定义用户逻辑
 * Created by ZhuPengWei on 2017/11/27.
 */
@Component
public class MyUserDetailService implements UserDetailsService {

    /**
     * 日志处理类
     */
    private Logger logger = LoggerFactory.getLogger(this.getClass());

    /**
     * 根据用户名加载用户信息
     *
     * @param username 用户名
     * @return UserDetails
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        logger.info("表单登录用户名:" + username);
        return new User(username,"123456",true,
                true,
                true,
                true,
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin")));
    }

}

需要注意的是 在这里用了Spring默认的一个类User,在自己的实现过程中并不一定要用Spring的类
可以自己定义一个对象实现UserDetail接口。

public class User implements  UserDetails,CredentialsContrain{}

处理用户校验逻辑

UserDetails中有四个方法

    /**
     * Indicates whether the user's account has expired. An expired account cannot be
     * authenticated.
     *
     * @return <code>true</code> if the user's account is valid (ie non-expired),
     * <code>false</code> if no longer valid (ie expired)
     */
    boolean isAccountNonExpired();

    /**
     * Indicates whether the user is locked or unlocked. A locked user cannot be
     * authenticated.
     *
     * @return <code>true</code> if the user is not locked, <code>false</code> otherwise
     */
    boolean isAccountNonLocked();

    /**
     * Indicates whether the user's credentials (password) has expired. Expired
     * credentials prevent authentication.
     *
     * @return <code>true</code> if the user's credentials are valid (ie non-expired),
     * <code>false</code> if no longer valid (ie expired)
     */
    boolean isCredentialsNonExpired();

    /**
     * Indicates whether the user is enabled or disabled. A disabled user cannot be
     * authenticated.
     *
     * @return <code>true</code> if the user is enabled, <code>false</code> otherwise
     */
    boolean isEnabled();

第一个:账户没有过期
第二个:账户没被锁定 (是否冻结)
第三个:密码没有过期
第四个:账户是否可用(是否被删除)

处理密码加密解密逻辑
Interface PasswordEncoder

public interface PasswordEncoder {

    /**
     * Encode the raw password. Generally, a good encoding algorithm applies a SHA-1 or
     * greater hash combined with an 8-byte or greater randomly generated salt.
     */
    String encode(CharSequence rawPassword);

    /**
     * Verify the encoded password obtained from storage matches the submitted raw
     * password after it too is encoded. Returns true if the passwords match, false if
     * they do not. The stored password itself is never decoded.
     *
     * @param rawPassword the raw password to encode and match
     * @param encodedPassword the encoded password from storage to compare with
     * @return true if the raw password, after encoding, matches the encoded password from
     * storage
     */
    boolean matches(CharSequence rawPassword, String encodedPassword);

}
/**
 * security配置
 * Created by ZhuPengWei on 2017/11/27.
 */
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {

    // 处理密码加密解密逻辑
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin() //表单登陆
                .and()
                .authorizeRequests() // 请求授权
                .anyRequest()  // 任何请求
                .authenticated();  // 都需要认证
    }
}

/**
 * 自定义用户逻辑
 * Created by ZhuPengWei on 2017/11/27.
 */
@Component
public class MyUserDetailService implements UserDetailsService {

    /**
     * 日志处理类
     */
    private Logger logger = LoggerFactory.getLogger(this.getClass());

    @Autowired
    private PasswordEncoder passwordEncoder;
    /**
     * 根据用户名加载用户信息
   *
     * @param username 用户名
   * @return UserDetails
     * @throws UsernameNotFoundException
     */
    @Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<GrantedAuthority> grantedAuthorityList = new ArrayList<>();
        grantedAuthorityList.add(new GrantedAuthority() {
            @Override
            public String getAuthority() {
                return "admin";
            }
        });
        String pWord =passwordEncoder.encode("123456");
        logger.info(pWord);
        // SpringSecurity带有的用户类
        User user = new User(
                 username:"xm123",
                password:pWord,
                enabled:   true,  // 是否可用
         accountNonExpired: true,  // 账户没有过期
         credentialsNonExpired:true, // 密码没有过期
         accountNonLocked:  true,   // 帐号没有被锁定
          // 相当于 grantedAuthorityList  
          AuthorityUtils.commaSeparatedStringToAuthorityList("admin")
        );
        return user;
    }
}
Spring Security 4.2注意事项
海洋之心
10-23 1340
Spring Security 3.2.6.RELEASE 升级到 4.2.3.RELEASE 踩了些坑,记录一下: 1、ifAnyGranted标签取消,使用代替。 2、登录表单字段名修改: j_username -> username j_password -> password _spring_security_remember_me -> remember-me 3、Sprin
Spring Security OAuth2】- spring security - 自定义用户认证逻辑
smart_an的专栏
10-09 786
处理用户信息获取逻辑处理用户校验逻辑处理密码加密解密处理用户信息获取逻辑 使用 UserDetailsService处理用户校验逻辑 使用 UserDetails处理密码加密解密 使用 PasswordEncoder。
spring security自定义指南
weixin_34296641的博客
12-24 266
序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义AuthenticationProvider 自定义AccessDecisionManager 自定义securityMetadataSource 自定...
关于spring security的简单使用—自定义用户登录认证
最新发布
m0_71144252的博客
06-19 385
摘要:本文介绍如何实现免登录访问的接口配置,重点展示登录接口的认证流程。通过SecurityConfig配置AuthenticationManager注入容器,在AdminServiceImpl中使用authenticate方法进行用户认证,并处理认证异常。Controller层提供/login和/logout接口,SecurityConfig通过configure方法放行登录接口。最后给出测试结果示例,包括成功登录和认证失败的场景。(131字)
Spring Security 用户认证
qq_34125999的博客
04-11 616
1 SpringSecurity 简介 1.1 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spr
Spring Security用户认证
Relievedz的博客
03-17 411
"user_name": "{\"createTime\":\"2022-09-28T08:32:03\",\"id\":\"51\",\"name\":\"学生2\",\"sex\":\"1\",\"status\":\"1\",\"username\":\"stu2\",\"utype\":\"101001\"}",//如果查到了用户拿到正确的密码,最终封装成一个UserDetails对象给spring security框架返回,由框架进行密码对比。
spring security用户认证
qq_21344887的博客
09-11 385
User 类实现UserDetls 接口。 代码如下 @Data @EqualsAndHashCode(callSuper = false) public class User implements Serializable, UserDetails { private static final long serialVersionUID = 1L; @TableId(value = "id", type = IdType.AUTO) private Integer id; .
Spring Security 自定义认证逻辑
wdjnb的博客
01-21 670
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义逻辑,主要包括以下内容: 一个自定义的Authentication实现类,与UsernamePasswordAuthen...
SpringSecurity 自定义认证逻辑
qq_34136709的博客
05-08 635
SpringSecurity 自定义认证逻辑 1.认证流程简析 AuthenticationProvider 定义了 Spring Security 中的验证逻辑,我们来看下 AuthenticationProvider 的定义: public interface AuthenticationProvider { Authentication authenticate(Authenticatio...
Spring security 自定义 token 身份验证
让 Java 再次伟大!
10-21 747
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
Spring Security (一):自定义认证
weixin_55136824的博客
07-28 868
Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架,spring security 在程序启动时,向spring中注入一个默认的filterChian,按照顺序,依次执行filter,对用户信息进行认证,授权。官网链接: Spring Security :: Spring SecurityCorsFilterCsrfFilterOpenIDSiteMinder其中,默认的认证过滤器为 UsernamePasswordAuthenticationFilter。
Spring Security自定义用户认证
艾华生的博客
08-19 4464
Spring Security自定义用户认证Spring Boot中开启Spring Security一节中我们简单地搭建了一个Spring Boot + Spring Security的项目,其中登录页、用户名和密码都是由Spring Security自动生成的。Spring Security支持我们自定义认证的过程,如使用自定义的登录页替换默认的登录页,用户信息的获取逻辑、登录成功或失败后的处理逻辑等。这里将在上一节的源码基础上进行改造。 配置自定义登录页 为了方便起见,我们直接在src/main/
SpringSecurity简单自定义配置
2301_76288478的博客
07-07 1521
如果没有指定密码加密算法 默认执行的是BCrypt算法 下图指定使用SHA-1加密。工厂的静态构造方法把常用的几种密码方案都注入到了缓存Map中,默认注入的 encodingId 对应的是 BCryptPasswordEncoder加密方案,这样系统就可以达到在新存储密码可以使用 BCryptPasswordEncoder 加密方案进行加密,但是对于数据库里面以前用其他方式加密的密码也支持比对。我们可以复写该方法,然后修改这个“encodingId”的值,就可以在几种加密算法中进行切换了。
Spring Security--自定义登录逻辑
我和井盖都笑了博客
04-04 1117
   自定义登录逻辑       当进行自定义登录逻辑时需要用到之前讲解的UserDetailsService 和 PasswordEncoder。但是 Spring Security 要求:当进行自定义登录逻辑时容器内必须有 PasswordEncoder 实例。所以不能直接 new 对象  &n...
Spring Security --- 自定义登录逻辑
汤键的博客
06-15 1257
目录UserDetailsService详解返回值方法参数异常PasswordEncoder密码解析器详解接口介绍内置解析器介绍BCryptPasswordEncoder简介代码演示自定义登录逻辑编写配置类自定义逻辑
SpringSecurity自定义 配置类
invincible_yj的博客
05-14 506
SpringSecurity自定义 配置类 在项目中有可能需要使用SpringSecurity来进行项目权限的管理,可以使用配置类的形式进行SpringSecutiry的配置 import com.example.demo.security.MyAuthenctiationFailureHandler; import com.example.demo.security.MyAuthenctiationSuccessHandler; import com.example.demo.security.MyUse
Spring security用户认证(设置用户名密码)
花&败
07-17 1354
1、通过配置文件实现设置用户名密码 重新启动我们的服务: 2、通过配置类继承接口实现设置用户名密码 2.1、创建一个SecurityConfig配置类 2.2、代码 package com.kgf.security.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; imp...
自定义Spring Security】实现多种认证方式
乐哥说的专栏
06-18 1569
自定义Spring Security】实现多种认证方式
SpringSecurity自定义过滤器实现认证逻辑
SpringSecurity中,自定义过滤器是扩展其功能的关键,特别是在面对如用户锁定、IP限制等特殊认证需求时。默认的SpringSecurity认证机制仅支持基于用户名和密码的基本认证,这往往不足以应对实际业务场景。为了满足...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值