SpringSecurity

最新推荐文章于 2025-04-14 01:45:54 发布
最新推荐文章于 2025-04-14 01:45:54 发布
阅读量154 收藏
点赞数
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43801369/article/details/109724809
版权

SpringSecurity新老密码迭代的说明

前几天给的一个需求,让兼容老版本的密码,还要可以选择加密方式

springSecurity的简单使用

新老系统的迭代,还有加密算法的随机加密

用户登录的方式–交给框架管理

package com.itheima.security;

import com.alibaba.dubbo.config.annotation.Reference;
import com.itheima.pojo.Permission;
import com.itheima.pojo.Role;
import com.itheima.pojo.SysUser;
import com.itheima.service.UserService;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import java.util.ArrayList;
import java.util.List;


public class SpringSecurityUserService implements UserDetailsService {

    @Reference
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //从数据库查询用户对象
        SysUser sysUser = userService.queryByUsername(username);
        if (sysUser == null) {
            return null;
        }
        //创建权限集合
        List<GrantedAuthority> list = new ArrayList<>();
        //遍历角色集合
        for (Role role : sysUser.getRoles()) {
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            //遍历角色所包含的权限集合
            for (Permission permission : role.getPermissions()) {
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        //包装UserDetails ,返回给权限框架
        User user = new User(sysUser.getUsername(), sysUser.getPassword(), list);
        return user;
    }
}

xml的配置

   
    <bean id="userDetailsService" class="com.itheima.security.SpringSecurityUserService"></bean> 
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userDetailsService">
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>
    <security:global-method-security pre-post-annotations="enabled" />
    <bean id="passwordEncoder" class="org.springframework.security.crypto.factory.PasswordEncoderFactories"
          factory-method="createDelegatingPasswordEncoder"/>

更改的随机加密算法

这个地方有一个坑,不知道是不是框架的原因当使用这种加密方式的时候会出现问题,最好不是用这种加密的方式。此处的工具类我给注掉了,有大神的话可以解惑????????

encoders.put(“scrypt”, new SCryptPasswordEncoder());


    //获取随机的加密对象
    public static DelegatingPasswordEncoder getDelegatingPasswordEncoder(){
        //获取安全框架中多种加密方式的map集合
        Map<String, PasswordEncoder> encoders = new HashMap<>();
        encoders.put("bcrypt", new BCryptPasswordEncoder());
        encoders.put("ldap", new LdapShaPasswordEncoder());
        encoders.put("MD4", new Md4PasswordEncoder());
        encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
        //TODO 明文加密不使用
//        encoders.put("noop", NoOpPasswordEncoder.getInstance());
        encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
        //TODO 这个加密方式不能使用,会报错抛异常
//        encoders.put("scrypt", new SCryptPasswordEncoder());
        encoders.put("SHA-1", new MessageDigestPasswordEncoder("SHA-1"));
        encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));
        encoders.put("sha256", new StandardPasswordEncoder());

        //获取所有的Key
        Set<String> keys = encoders.keySet();
        ArrayList<String> passwordKeys = new ArrayList<>(keys);

        //使用随机数获取索引
        int index = new Random().nextInt(passwordKeys.size());
        return new DelegatingPasswordEncoder(passwordKeys.get(index), encoders);
    }

用户的添加加密

public Result add(Integer[] roleIds, @RequestBody SysUser user){
        long count = userService.findCountByUsername(user);
        if(count > 0){
            return new Result(false,MessageConst.QUERY_USERNAMECOUNT_SUCCESS);
        }
        log.debug("=========开始添加用户============");
        log.debug("roleIds :"+roleIds+","+"user :"+user);
        //获取前端的密码
        String password = user.getPassword();
       //使用随机加密对象进行加密
        DelegatingPasswordEncoder delegatingPasswordEncoder = PasswordUtils.getDelegatingPasswordEncoder();
        password = delegatingPasswordEncoder.encode(password);
        //更改密码
        user.setPassword(password);
        userService.add(roleIds,user);
        log.debug("添加用户成功");
        return new Result(true,MessageConst.ADD_USER_SUCCESS);
    }

修改密码的时候需要手动解密

 public Result editPassword( @RequestBody Map<String,String> map){
        log.debug("map:"+map);
        String username = map.get("username");
        String password = map.get("password");
        String newPassword = map.get("newPassword");
        DelegatingPasswordEncoder delegatingPasswordEncoder = PasswordUtils.getDelegatingPasswordEncoder();
        newPassword = delegatingPasswordEncoder.encode(newPassword);
        //通过用户名查询用户的原密码
        String passwordDB = userService.findPasswordByUsername(username);
        //将用户输入的原密码与数据库里面的密码进行比对
        boolean b = passwordEncoder.matches(password, passwordDB);
        if(b){
            userService.editPassword(username,newPassword);
            return new Result(true,MessageConst.EDIT_PASSWORD_SUCCESS);
        }else{
            return new Result(false,"用户名密码校验错误");
        }
    }

扎心:第一次使用的时候不知道怎么兼容密码,最后才知道框架完全给解决了,扎心了,加密的时候会自动在密码之前加前缀{xxx}指定使用的加密方式,如果老版本的系统没有使用这种加密方式,如果框架里边集成了当前老版本的加密方式,直接在校验的时候手动拼接上加密方式就可以了{XXX}+密码。

思企
关注
诚之和:Spring Security 的内容安全策略随机数
weixin_45378258的博客
09-22 414
​Content-Security-Policy​对网络安全很重要。然而,它还不是主流,它的语法很难,它相当令人望而却步,工具很少对其提供灵活的支持。 虽然 Spring Security 确实有一个内置的内容安全策略 (CSP) 配置,但它允许您指定策略字符串,而不是动态构建它。在某些情况下,您需要的不止这些。 特别是,CSP 不鼓励用户使用内联 javascript,因为它引入了漏洞。如果你真的需要它,你可以使用​unsafe-inline​,但这是一个糟糕的方法,因为它否定了 CSP 的全部意义。
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security
热门推荐
qq_42953529的博客
07-18 2万+
Spring Security 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解 决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面 向切面...
Spring Security详解
最新发布
技术人集结地
04-14 857
Spring Security 凭借其模块化设计、深度 Spring 整合及全面的安全防护,成为 Java企业级安全解决方案的首选。无论是传统 Web 应用、REST API 还是微服务架构,均可通过其灵活的配置和扩展能力构建高安全性的系统。对于开发者而言,掌握其核心过滤器链和注解驱动的权限控制是提升开发效率的关键。Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,专为基于 Spring 的应用程序设计。
springsecurity
qq_43531651的博客
09-19 160
springsecurity 简单实用 1.导入jar包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!--ThymeLeaf与security
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring 入门教程资料(源码源代码及课程笔记)
05-04
两万多元参加的java求职培训,名师讲课的资料,针对性强。适合初学者,求职者。
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 1080
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
Spring Security基础详细介绍
qq_36595761的博客
11-04 2573
1. SpringSecurity 框架简介 1.1 概要 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来...
Spring Security基础模板指南
在本例中,我们所谈论的“springSecurity模板”指的是一个基于Spring SecuritySpring MVC的项目模板,它为用户提供了快速搭建安全web应用的基础结构。 首先,我们来详细解析一下Spring SecuritySpring Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值