SpringSecurity认证初探

原创 已于 2023-04-13 11:04:21 修改 · 192 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#后端 #spring

于 2023-04-13 10:17:55 首次发布
本文探讨了SpringSecurity的认证流程,包括默认的认证方式,即通过InMemoryUserDetailsManager进行用户验证。关键修改在于封装请求参数为UsernamePasswordAuthenticationToken,并实现UserDetailsService接口的loadUserByUsername()方法。解决方案分为两步:一是封装参数并调用authenticate()方法;二是创建UserDetailServiceImpl实现类以自定义用户验证逻辑。

SpringSecurity认证流程图

默认方式:

  • SpringSecurity需要先将请求传过来的userName和password进行封装以后才能执行到后续的认证。
  • SpringSecurity内置的默认登录页是通过 InMemoryUserDetailsManager 实现类中的loadUserByUsername()方法去做的校验。

关键修改:

结合上述默认认证方式的校验,所以要修改的关键部分如下:

  • 封装传入参数为UsernamePasswordAuthenticationToken类型
  • 调用AuthenticationManager类中的的 authenticate() 方法传入参数为封装好的UsernamePasswordAuthenticationToken类型对象authenticationToken
  • 主要修改的部分就是实现 UserDetailsService 接口的 loadUserByUsername() 方法
  • 重点在6.1部分

解决方案:

第一步:

封装请求参数然后调用authenticate()方法

    /**
     * 登录
     *
     * @param sysUser
     * @return
     */
    public AjaxResult login(SysUser sysUser) {
        // 用户验证
        Authentication authentication = null;
        // 这里捕获认证时密码错误的异常
        try {
            //AuthenticationManager authenticate进行用户认证
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
                    sysUser.getUserName(), sysUser.getPassword());
            // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
            authentication = authenticationManager.authenticate(authenticationToken);
        } catch (Exception e) {
            if (e instanceof BadCredentialsException) {
                //DaoAuthenticationProvider类下的方法additionalAuthenticationChecks()方法中matches抛出的密码错误异常
                throw new UserException(HttpStatus.UNAUTHORIZED, "密码错误");
            } else {
                throw new UserException(HttpStatus.ERROR, e.getMessage());
            }
        }
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        // 不允许账户多端登录情况时,先删除之前用户登录信息的缓存
        if (!soloLogin) {
            String userIdKey=CacheConstants.LOGIN_USER_ID_KEY.concat(String.valueOf(loginUser.getSysUser().getUserId()));
            String userKey= redisService.getCacheObject(userIdKey);
            if (StringUtils.isNotEmpty(userKey)){
                redisService.deleteObject(userIdKey);// 删除用户登录编号缓存
                redisService.deleteObject(userKey);// 删除用户信息缓存
            }
        }
        // 生成token
        String token = tokenService.createToken(loginUser);
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("access_token", TokenConstants.PREFIX.concat(token));

        return AjaxResult.success("登录成功", jsonObject);

    }

第二步:

写一个UserDetailServiceImpl实现类,去实现 UserDetailsService 接口的 loadUserByUsername() 方法

/**
 * 实现 UserDetailsService接口 重写其方法loadUserByUsername
 *
 * @Author: loong
 * @CreateTime: 2022-12-12
 */
@Service
@Slf4j
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;
    @Autowired
    private MenuMapper menuMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 查询用户信息
        SysUser user = new SysUser();
        user.setUserName(username);
        SysUser sysUser = userMapper.selectUserInfoByUser(user);
        // 如果没查到用户就抛出异常
        if (Objects.isNull(sysUser)) {
            log.info("登录用户:{}不存在", username);
            throw new ServiceException(HttpStatus.UNAUTHORIZED, "用户不存在");
        }
        // 查询对应权限
        List<String> permissionsList = menuMapper.selectPermissionsByUserId(sysUser.getUserId());
        Set<String> permissionsSet = new HashSet<>();
        for (String p : permissionsList) {
            permissionsSet.addAll(Arrays.asList(p.split(",")));
        }
        // 将数据封装成UserDetails返回
        return new LoginUser(sysUser, permissionsSet);
    }
}

**

SpringSecurity源码的初探
10年老JAVA大数据技术人的专栏
02-18 812
SpringSecurity中的jar分为4个,作用分别为。
SpringSecurity框架【认证
m0_65078452的博客
07-11 1494
Spring SecuritySpring家族中的一个安全管理框架,相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说大型项目用Spring Security比较多,小项目用Shiro比较多,因为相比于Spring Security,Shiro上手比较简单。一般Web应用需要进行认证和授权。认证:验证当访问系统的是不是本系统用户,并且要确认具体是哪个用户授权:经过认证后判断当用户是否有权限进行某个操作。
SpringSecurity
qq_50994235的博客
06-09 796
SpringSecurity
Spring Security 3用户登录实现之十 用户切换
02-01 708
部分情况下用户希望能够在不知道其它用户账号及密码的情况下,直接通过内部系统切换到另一个用户,比如一个项目经理希望在一个项目管理系统中直接切换到他的项目组下的成员账号上去,这时候就可以考虑使用Spring Security提供的Switch user功能。Switch user功能的大致流程是向服务器发送一个切换用户的请求请求参数要有用户名称,SwitchUserFilter拦截这个请求,并从中取
spring security实现登录验证以及根据用户身份跳转不同页面
qq_41633199的博客
08-29 9521
想关依赖,采用session加redis存储用户信息 &lt;dependency&gt; &lt;groupId&gt;org.springframework.security&lt;/groupId&gt; &lt;artifactId&gt;spring-security-test&lt;/artifactId&gt; &lt;scope&gt;test&lt;/...
SpringSecurity使用JWT与端交互跨域解决后端获取header中的Authorization的token值
竹林幽深
06-14 2293
https://blog.youkuaiyun.com/Box_clf/article/details/80973391 主要问题:针对后端分离后,端使用ajax进行请求,存在一些跨域的问题。 后端对跨域的问题进行解决,因为我是使用的Springboot框架做的后端,首先解决普通请求跨域的问题 @CrossOrigin 每一个controller类上需要添加CrossOrigin的注解进行处理。 ...
SpringSecurity如何自定义用户认证逻辑?
java永无止境!
06-11 1680
Spring Security 用于从数据库、LDAP 或其他任何地方检索用户信息的策略接口。你可以通过实现此接口来定义如何检索用户信息。实现首先,创建一个实现接口的类。你需要重写方法来定义加载用户的逻辑。
SpringSecurity-认证
m0_51607909的博客
08-04 1132
Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证和授权。认证:验证当访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 12万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
SpringSecurity原理简述
莫等闲 白了少年头 空悲切
03-11 3853
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ ​
1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecur
09-13
springsecurity1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 ...
第十一篇:Day31-33 端安全与性能监控——从“能用”到“安全可靠”(对标职场“系统稳定性”需求)
2402_87628679的博客
12-11 1248
对于小型项目或特定业务场景,可通过自定义埋点实现核心指标监控,无需接入复杂工具。// src/utils/monitor.js(自定义监控工具) import axios from 'axios';// 监控数据上报接口(后端提供) const MONITOR_UPLOAD_URL = '/api/monitor/upload';
记一次请求报错:Content-Length can‘t be present with Transfer-Encoding,+Cursor使用教训
daxiang的专栏
12-14 271
摘要:端调用后端接口时出现Content-Length与Transfer-Encoding冲突错误,原因是HTTP/1.1协议规定这两个响应头不能共存。解决方案是修改Python后端代码,过滤掉传输相关的响应头(Content-Length和Transfer-Encoding等)。该问题启示我们:AI工具(如Cursor)虽强大,但有效使用的提是开发者对问题有正确研判和独立思考能力,才能引导AI精准解决问题。调试过程也体现了后端联调时需全面考虑各环节可能问题。
DIFY合同生成全流程开发实践(三、后端接口以及优化方向)
qq_27437073的博客
12-16 232
合同生成后,部署后端服务将文字转换成word文件并对外发布。
后端springboot框架入门学习--第一篇
m0_65853019的博客
12-15 522
的。
新能源汽车推荐系统分享
Nick_zcy的博客
12-12 1629
本文介绍了一个全链路新能源汽车推荐系统的实践项目。系统采用React+Vite端和Flask+MySQL后端架构,实现了车辆浏览、偏好推荐、多车对比、用户收藏、评分评论等完整功能链。项目亮点包括:1) 基于用户偏好和行为的混合推荐策略,包含热门推荐、相似推荐和个性化推荐;2) 完善的媒体管理方案,支持多图展示;3) 直观的数据看板和管理后台。核心代码展示了媒体路由、相似推荐算法和个性化推荐逻辑的实现。系统设计注重实用性和可扩展性,为汽车电商类应用提供了完整的参考实现。
再见,REST API?你好,MCP Server!AI时代后端开发新范式
领码SPARK - 以无代码之星火,燎原数字之未来!
12-12 1173
摘要 本文探讨了模型上下文协议(MCP)作为AI时代新型交互标准与传统API的本质差异。文章指出,传统REST API在AI Agent应用中面临服务发现困难、状态管理复杂等痛点,而MCP通过标准化能力协商、状态化连接和统一通信协议,为AI Agent提供了可发现、有状态的任务执行接口。通过Java和Spring AI框架的实战示例,展示了MCP服务的构建过程,并展望了其在企业级AI应用中的发展景。MCP代表了AI与外部系统交互的范式革新,有望成为智能时代的"新HTTP"协议。
FastAPI+VUE3创建一个项目的步骤模板(一)
最新发布
qq_41686044的博客
12-16 293
先不细究功能细节,先把项目跑起来一篇文章最多5606个字,因此同样分多P来记录。
后端】预生产环境与生产环境数据库表隔离方案
hiliang521的博客
12-16 746
后端】预生产环境与生产环境数据库表隔离方案
深入理解Spring Security认证机制
"这篇文章主要探讨了Spring Security认证流程,通过示例代码深入解析了相关概念,适合学习或工作中作为参考。文章适用于Java jdk8和spring-boot 2.1.6.RELEASE版本的环境。" Spring Security是Java领域中广泛使用...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值