spring security 开发 基于表单的认证

最新推荐文章于 2024-11-04 20:13:29 发布
最新推荐文章于 2024-11-04 20:13:29 发布
阅读量387 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: security 文章标签: spring security 表单认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38927257/article/details/102806652

文章目录

在这里插入图片描述

http basic 安全验证

在第一章构建项目中说到
当项目依赖中 含有 spring security 的jar 包时
它会有一个默认的安全配置http basic
所有一开始我们用下面的注解移除掉了它的默认安全配置
在这里插入图片描述
spring security 默认的安全验证我们一般是不用的

实现用户名+密码认证

开始开发基于表单的安全验证

创建 BrowserSecurityConfig 类 配置安全验证

在这里插入图片描述

@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
   
   

    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
   
        http.formLogin()   //指定身份认证的方式为表单登录
                .and()
                .authorizeRequests() //对请求授权
                .anyRequest()        //任何请求
                .authenticated();    //安全认证
        //任何请求都必须经过表单验证才能进行访问

    }
}

运行并测试

直接运行我们这个项目 demoApplication ,发现报错

No qualifying bean of type 'org.springframework.security.config.annotation.ObjectPostProcessor<?>' available
2019-04-06 19:31:05.208  INFO 18932 --- [           main] o.apache.catalina.core.StandardService   : Stopping service [Tomcat]

https://stackoverflow.com/questions/32081578/spring-security-nosuchbeandefinitionexception-no-qualifying-bean-of-type-org
原因是我们关闭了spring security的安全验证配置
把红框里的注解去掉

在这里插入图片描述
再次运行 成功
访问 http://localhost:8080/hello 后会跳到登录界面

用户名为 user
密码 在 控制台打印出了,这个密码每次启动都会变

在这里插入图片描述
这样就可以了

基本原理

主要是由一层层过滤器构成····
在这里插入图片描述

自定义用户认证逻辑

处理用户信息获取逻辑

用户信息的获取 在 spring security 中是被 封装在 userDetailService 接口中在这里插入图片描述
自定义自己的userDetailService 实现类
在这里插入图片描述

@Component
public class MyUserDetailsService implements UserDetailsService {
   
   
    // 这里注入dao 层 用于查询数据库

    Logger logger = LoggerFactory.getLogger(getClass());

    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
   
   
        //根据用户名从数据库查找用户信息

        logger.info("登录用户名"+ userName);
        //我们要验证用户名 密码 并 查取权限
        //这个user是spring中的类,它实现了UserDetails 接口
        User admin = new User(userName, "123456",
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));//第三个参数是做授权的
        return admin;
    }
}

启动应用 访问 http://localhost:8080/hello 输入用户密码后台报错
在这里插入图片描述
原因:版本升级 因为Spring security 5.0中新增了多种加密方式,也改变了密码的格式。
https://spring.io/blog/2017/11/01/spring-security-5-0-0-rc1-released
https://docs.spring.io/spring-security/site/docs/5.0.0.RELEASE/reference/htmlsingle/#ns-password-encoder
https://www.cnblogs.com/majianming/p/7923604.html
https://blog.youkuaiyun.com/Canon_in_D_Major/article/details/79675033
解决:待会解决 需要配置 PasswordEncoder

处理用户校验逻辑

用户是否冻结,密码是否过期等验证信息
在这里插入图片描述

处理密码加密解密逻辑

配置 PasswordEncoder
在这里插入图片描述
修改 MyUserDetailsService 的 loadUserByUsername 的方法
在这里插入图片描述
在这里插入图片描述
测试成功 ,也解决了之前的问题
在这里插入图片描述
注意 密码都是123456 ,但每次打印出来得密码都不一样 不像md5

因为他会随机生成一个盐,将随机生成的盐混在密码串里面,当他判断的时候 再用随机生成的盐来反推当时的密码串

一些问题restful返回及登录路径可配置

在这里插入图片描述
1、我们前面说过restful返回的应该是状态码和json信息,但现在认证成功后返回的是一个html页面
解决思路:如果是html请求就跳转到登录页面上,如果不是就返回json
2、代码重构,使其可以自定义配置登录页面。
在这里插入图片描述
在这里插入图片描述

处理不同类型的请求

在这里插入图片描述

@RestController
public class BrowserSecurityController {
   
   

    private Logger logger = LoggerFactory.getLogger(getClass());

    private RequestCache requestCache = new HttpSessionRequestCache();//缓存到session中的请求

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();//请求跳转工具

    @Autowired
    private SecurityProperties securityProperties;

    /**
     * 当需要身份认证时,跳转到这里
     *
     * @param request
     * @param response
     * @return
     * @throws IOException
     */
    @RequestMapping("/anthentication/require")
    @ResponseStatus(code = HttpStatus.UNAUTHORIZED)//401未授权状态码
    public SimpleResponse requireAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws IOException {
   
   

        //拿到引发跳转的这个请求
        SavedRequest savedRequest = requestCache.getRequest(request, response);

        if (savedRequest != null) {
   
   
            String targetUrl = savedRequest.getRedirectUrl();
            logger.info("引发跳转的请求是:" + targetUrl);
            if (StringUtils.endsWithIgnoreCase(targetUrl, ".html")) {
   
   
                redirectStrategy.sendRedirect(request, response, securityProperties.getBrowser().getLoginPage());// securityProperties.getBrowser().getLoginPage()配置登录页面
最低0.47元/天 解锁文章

200万优质内容无限畅学
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 6749
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
使用SpringSecurity开发基于表单认证
m0_37208669的博客
03-26 792
文章目录SpringSecurity核心功能SpringSecurity基本原理案例演示默认HttpBasic验证行为覆盖掉HttpBasic行为:跳转表单认证坑原理说明源代码导读用户名+密码认证自定义用户认证逻辑获取用户信息:UserDetailsService校验用户:UserDetails密码处理:PasswordEncoder自定义用户认证流程自定义登陆页坑处理不同类型的请求:html o...
源码:MVC中基于表单的用户身份验证与角色授权
07-08
1.示例代码完整可用,具备在MVC使用表单身份验证,角色授权功能。 并且支持cookie加密。 2.为了方便教学,整个项目末连接数据库,将用户名及角色名称写死了。使用时,自行调用数据库即可。 3.实际使用时将cookie角色写入部分放到Global.asax文件,可解决部分浏览器关闭后要重新登陆问题。如下所示: protected void Application_AuthenticateRequest(Object sender, EventArgs e) { if (HttpContext.Current.User != null) { if (HttpContext.Current.User.Identity.IsAuthenticated) { if (HttpContext.Current.User.Identity is FormsIdentity) { //Get current user identitied by forms FormsIdentity id = (FormsIdentity)HttpContext.Current.User.Identity; // get FormsAuthenticationTicket object FormsAuthenticationTicket ticket = id.Ticket; string userData = ticket.UserData; string[] roles = userData.Split(','); // set the new identity for current user. HttpContext.Current.User = new GenericPrincipal(id, roles); } } } }
SpringSecurity开发基于表单认证
qq120631157的博客
09-26 394
核心功能 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 一组过滤器链 //所有请求都需要认证 几乎是默认的 @Configuration public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecu...
springsecurity开发基于表单认证--个性化用户认证流程
足迹人生的博客
01-07 165
springsecurity开发基于表单认证--个性化用户认证流程
使用Spring Security开发基于表单认证(一)
程序员随笔
12-30 292
  使用Spring Security开发基于表单认证(一) SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 使用springsecurity的默认安全机制: 访问接口时,会弹框: 身份验证.png 用户名默认为user 密码为在日志中显示的密码: Using default security password: e66ae...
Java开发spring security实现基于MongoDB的认证功能
08-28
在Java开发中,Spring Security是一个强大的安全框架,用于处理应用程序的安全需求,如认证和授权。在传统的JDBC环境中,Spring Security提供了内置的支持来处理基于数据库的用户认证。然而,随着NoSQL数据库的广泛...
Spring Security-02-Spring Security认证方式-HTTP基本认证、Form表单认证、HTTP摘要认证、前后端分离安全处理方案
最新发布
苍云烟
11-04 1351
Spring Security-02-Spring Security认证方式-HTTP基本认证、Form表单认证、HTTP摘要认证、前后端分离安全处理方案认证方式HTTP基本认证基本认证简介基本认证核心API基本认证的步骤基本认证的弊端HTTP基本认证代码实现创建SecurityConfig配置类测试验证Basic认证详解基本认证过程注销Basic认证Form表单认证表单认证简介表单认证效果表单认证中的预置url和页面自定义表单认证配置创建SecurityConfig配置类测试应用自定义表单认证的登录界面。
security:Spring Security 开发安全的REST服务 —— JoJozhai
05-13
本来是 fork 了 老师的源码的() 跟着学了两章后,发现还是少了点感觉,干脆自己重新码一遍吧 :beaming_face_with_smiling_eyes: 小目标 ...第4章 使用Spring Security开发基于表单的登录 4-1 简介 4-2
Spring Security4 SSO和Form两种认证配置
07-09
前一遍讲的是SSO的简单配置,项目中有时会用到SSO+LoginFrom 两种登录方式的情况, spring security同样可以实现,在之前SSO的基础上加入FORM_LOGIN_FILTER过滤器即可 http://blog.csdn.net/crazystone4/article/details/51864802
Spring Security 实战 - 表单认证
blurooo的博客
09-01 669
在上一节中,我们初步引入了Spring Security,并使用了其默认生效的HTTP Basic认证形式保护url资源,本节我们将尝试使用表单认证来达到同样的目的。 说明 本章节摘自《Spring Security 实战》第二章 - 表单认证,更多内容请购书学习。 目前已经上线京东,首批仅需6.8折,猛搓购买:京东 -《Spring Security 实战》 默认表单认证 首先新建一个conf...
02 SpringSecurity-表单认证
01-13 587
一、创建配置类 1.创建configuration包,新建一个WebSecurityConfig类,使其继承WebSecurityConfigurerAdapter 2.添加@EnableWebSecurity注解,让Spring发现并注入 3.可以看到WebSecurityConfigurerAdapter已经默认声明了一些安全特性 protected void configure(HttpSecurity http) throws Exception { this.logger.de
Spring Security-2-表单认证
zhoubangbang1的博客
03-21 338
Spring Security-2-表单认证我们在地址小节介绍了Spring Security的HttpBasic基础认证模式,这个模式方法比较简单,不需要制作登录页面,使用范围较小。如果我们在一个完整的系统里面,登录页面也许我们自己设计,并且提供多种登录方式。这就需要使用Spring Security为我们提供的表单登录进行登录认证。项目代码准备 Controller层代码@Controller public class TestController {  &nb
基于表单的身份验证
01-22 1395
目前用户的认证多半是基于表单认证,基于表单认证一般会使用 Cookie 来管理Session(Session会话,Session代表着服务器和客户端一次会话的过程,直到Session失效(服务端关闭)或者客户端关闭时结束)。基于表单认证本身是通过服务器端的Web应用,将客户端发送过来的用户ID和密码与之前登录过的信息做匹配来进行认证的。 但鉴于 HTTP 是无状态协议, 之前已认证成功的用户状...
springsecurity表单认证流程
weixin_44837750的博客
09-23 462
文章目录前言查看顺序:1,AbstractAuthenticationProcessingFilter抽象类的doFilter方法查看顺序:9,AbstractAuthenticationProcessingFilter抽象类的successfulAuthentication(request, response, chain, authResult);方法查看顺序:2,UsernamePasswordAuthenticationFilter类中的attemptAuthentication(request,.
SpringSecurity开发基于表单认证
daiyuenlong110的博客
01-26 1025
自定义用户认证逻辑 1.处理用户信息获取逻辑: UserDetailsService 2.处理用户校验逻辑: UserDetails 3.处理密码加密解密: PasswordEncoder 测试调用某接口 默认开启springsecurity校验 spring.datasource.driver-class-name = com.mysql.jdbc.Driver spring.datasource.url= jdbc:mysql://127.0.0.1:3306/imoo...
html session 表单,HTTP的几种认证方式之FormBase 认证(基于表单认证
weixin_32688155的博客
06-23 295
HTTP/1.1 使用的认证方式有1)BASIC 认证(基本认证);2)DIGEST 认证(摘要认证);3)SSL 客户端认证;4)FormBase 认证(基于表单认证);本文目录:1、基于表单认证基于表单认证方法并不是 HTTP 协议中定义的 。客户端会向服务器上的 Web 应用程序发送登陆信息,按登陆信息的验证结果认证。根据 Web 应用程序的实际安装,提供的用户界面及认证方式也各不相同。多...
Spring Security 3.2.0框架安全认证服务详解
Spring Security支持的认证技术包括HTTP BASIC认证头、HTTP摘要认证头、HTTP X.509客户端证书交换、LDAP认证、基于表单认证、OpenID认证、CA Siteminder以及JA-SIG CAS(这是一个流行的开源单点登录系统)。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值