Spring Security框架_03 自定义认证类

最新推荐文章于 2025-06-19 22:09:53 发布
最新推荐文章于 2025-06-19 22:09:53 发布
阅读量394 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wyb_Night/article/details/80342079
本文介绍如何通过自定义UserDetailsService实现Spring Security与数据库的集成,包括用户认证、角色权限分配及BCrypt密码加密等关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这一章使我们的认证可以跟数据库关联

    认证类:

            定义一个自定义类实现UserDetailsService,返回org.springframework.security.core.userdetails.User,User需要账号,密码,授权列表

package com.pinyougou.service;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import com.pinyougou.pojo.TbSeller;
import com.pinyougou.sellergoods.service.SellerService;

public class UserDetailsServiceImpl implements UserDetailsService{
	private SellerService sellerService;
	public SellerService getSellerService() {
		return sellerService;
	}
	public void setSellerService(SellerService sellerService) {
		this.sellerService = sellerService;
	}

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		
		List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
		authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
		TbSeller seller = sellerService.findOne(username);
		if(seller!=null){
			return new User(username, seller.getPassword(), authorities);
		}else{
			return null;
		}		
	}
}


spring-security.xml配置

设置一个userDetailsService  set注入可以查询用户的类,并将这个bean注入security的认证管理器中,密码使用BCrypt强哈希方法来加密密码(虽然每次 BCryptPasswordEncoder 的 encoder 结果都不一样,但是存贮其中一次加密结果 也能够验证成功)


<?xml version="1.0" encoding="UTF-8"?>
<bean:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:bean="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
						http://code.alibabatech.com/schema/dubbo http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
	<!-- 不需要权限控制的资源 -->
	<http pattern="/*.html" security="none"></http>
	<http pattern="/css/**" security="none"></http>
	<http pattern="/img/**" security="none"></http>
	<http pattern="/js/**" security="none"></http>
	<http pattern="/plugins/**" security="none"></http>
	<http pattern="/seller/add.do" security="none"></http>
	<!-- 拦截规则 -->
	<http>
		<intercept-url pattern="/**" access="hasRole('ROLE_USER')"/>
		<form-login login-page="/shoplogin.html" login-processing-url="/login" 
		always-use-default-target="true"
		default-target-url="/admin/index.html"
		authentication-failure-url="/login_error.html"/>
		<csrf disabled="true"/>
		<logout/>
		<headers>
			<frame-options policy="SAMEORIGIN"/>
		</headers>
		
	</http>
	<!-- 加密配置 -->
	<bean:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
	<!-- 认证管理器 -->
	<authentication-manager alias="authenticationManager">
		<!-- 引用自定义真正类 -->
		<authentication-provider user-service-ref="userDetailsService">
			<password-encoder ref="bcryptEncoder"></password-encoder>
		</authentication-provider>
	</authentication-manager>
	<!-- 引用dubbo服务 -->
	<dubbo:application name="pinyougou-shop-web" />
	<dubbo:registry address="zookeeper://192.168.25.100:2181"/>
	<dubbo:reference id="sellerService" interface="com.pinyougou.sellergoods.service.SellerService"></dubbo:reference>
	
	<!-- 认证类 -->
	<bean:bean id="userDetailsService" class="com.pinyougou.service.UserDetailsServiceImpl">
		<bean:property name="sellerService" ref="sellerService"></bean:property>
	</bean:bean>
	
</bean:beans>
这样Security每次验证都和数据库联系起来


注: 注册时需要使用BCrypt加密

//密码加密
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
String password = passwordEncoder.encode(seller.getPassword());
seller.setPassword(password);


SpringSecurity实现自定义用户认证方案
pan_junbiao的博客
01-20 973
Spring Security 实现自定义用户认证方案可以根据具体需求和业务场景进行设计和实施,满足不同的安全需求和业务需求。这种灵活性使得认证机制能够更好地适应各种复杂的环境和变化‌。通过自定义认证方案,可以更好地控制和管理用户的访问权限,确保数据和应用程序的安全性和可靠性。Spring Security 所做的工作只是把常见的、符合一般业务场景的实现方法进行抽象并嵌入框架中,开发人员完全可以自定义用户认证方案。
spring security 自定义认证
migo_的专栏
03-02 983
当用户提交凭据时接下来,身份验证被传递到 AuthenticationManager 以进行身份验证如果身份验证失败,则为“失败”如果身份验证成功,则为“成功”。如下我们只需要实现 UserDetailsService 接口,spring就会自动注入我们的认证方法(可以引入其他存储中间件做替换)@Service@Autowired@Override// 模拟jdbc获取用户信息// 设置登录角色。
SpringSecurity自定义认证
★【World Of Moshow 郑锴】★
07-17 913
Why SpringSecurity? 在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的...
关于spring security的简单使用—自定义用户登录认证
最新发布
m0_71144252的博客
06-19 378
摘要:本文介绍如何实现免登录访问的接口配置,重点展示登录接口的认证流程。通过SecurityConfig配置AuthenticationManager注入容器,在AdminServiceImpl中使用authenticate方法进行用户认证,并处理认证异常。Controller层提供/login和/logout接口,SecurityConfig通过configure方法放行登录接口。最后给出测试结果示例,包括成功登录和认证失败的场景。(131字)
spring security配置自定义认证
weixin_43359917的博客
10-18 5863
spring security配置自定义认证 spring security认证机制: 自定义认证: 1.实现接口AuthenticationProvider,spring security内置的认证实现DaoAuthenticationProvider。 2.重写authenticate(Authentication authentication)方法,实现认证逻辑。 spring se...
SpringSecurity如何自定义权限认证
weixin_35754962的博客
02-13 233
Spring Security 是一个强大的 Java 安全框架,它可以帮助您在应用程序中保护用户数据和资源。 要自定义 Spring Security 的权限认证,您需要做以下几步: 创建自定义用户服务。这个需要实现 Spring Security 提供的 UserDetailsService 接口,并覆盖其中的 loadUserByUsername() 方法。在这个方法中,您可以从数据库...
Spring Security是如何实现自定义认证
专注于技术分享
02-28 1202
使用浏览器开发者工具或 HTTP 客户端 (如 Postman) 查看 HTTP 请求和响应,以诊断认证问题。Spring Security 允许通过自定义认证机制来处理各种身份验证场景。调整 Spring Security 的日志级别 (例如,设置为。使用 Spring Security 配置来启用自定义认证。方法中设置断点,逐步调试认证流程。),以获取更详细的输出。这是认证逻辑的核心。
SpringSecurity-1(认证和授权+SpringSecurity入门案例+自定义认证+数据库认证
yinying293的博客
08-03 826
SpringSecurity认证和授权+SpringSecurity入门案例+自定义认证+数据库认证
SpringSecurity_day03.pdf
05-09
Spring Security 是一个功能强大的安全框架,它为基于 Java 的应用程序提供了身份验证(authentication)、授权(authorization)、CSRF 保护、登录和注销功能等功能。它能帮助开发者快速地为应用增加安全特性。 ##...
Springboot项目整合springsecurity框架实现自定义登录认证
qq_41522183的博客
02-23 2102
目录Springsecurity框架整合实现自定义登录认证1.导入依赖:2.进行自定义登录配置3.进行UserDetailsService接口实现的实现4.自定义认证核心代码LoginValidateAuthenticationProvider5.认证成功处理器LoginSuccessHandler6.认证失败处理器LoginFailureHandler7.登录界面login.html8.各个路由请求路径9.springsecurity核心配置10.小结 Springsecurity框架整合实现自定义
Spring Security (一):自定义认证
weixin_55136824的博客
07-28 868
Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架spring security 在程序启动时,向spring中注入一个默认的filterChian,按照顺序,依次执行filter,对用户信息进行认证,授权。官网链接: Spring Security :: Spring SecurityCorsFilterCsrfFilterOpenIDSiteMinder其中,默认的认证过滤器为 UsernamePasswordAuthenticationFilter。
Django---自定义认证
shao0000的博客
12-01 337
自定义认证: 一个用户可以通过用户名+密码登录,也可以通过手机号+密码登录 创建用户数据库: 系统自带一个User的数据库,但属性可能不是我们想要的,所以自己创建一个My_User数据库 现在settings中: # 设置自定义用户 AUTH_USER_MODEL = "t06.MyUser 然后在models中: from django.contrib.auth.models import A...
Spring Security -- 自定义登录
smile_code_dog的博客
04-15 2704
Spring Security自定义登录 1 使用formLogin() http .formLogin() .loginPage("/myLogin") // 自定义登录页面 .loginProcessingUrl("/doLogin") // 自定义登录接口 .permitAll(); 2 自定义登录过滤器 SpringSecurity 默认使用的是 UsernamePasswordAuthenticationFilter 过滤器,我们可以实现 AbstractA
Spring Security自定义登录
qq_44188658的博客
08-18 4710
一、最关键的一个配置 自定义一个SecurityConfig继承自WebSecurityConfigurerAdapter抽象,实现三个主要的方法: /** * 1.身份认证接口 */ @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).
SpringSecurity自定义登录
无人罪的博客
11-30 835
既然选择自定义登录,那么就要重新原本提供的默认登录接口(在使用jwt之前,无论是默认还是修改后的登录使用的都是cookie——session的方式)这里使用mybatis-plus查询数据,其他方式如jdbc,mybatis也都是可以的,顺便说一句plus真好用。
SpringSecurity - 自定义登录
qq_36782325的博客
04-18 576
基于若依框架进行开发,根据业务需求实现相应的登录功能。
spring security自定义用户登入
m0_46392265的博客
06-15 520
2.创建实体实现UserDetailsService接口。1.设置security的配置
10、SpringSecurity自定义认证配置
weixin_44478828的博客
01-27 1132
经过上一小结配置,我们发现用户认证通过后,资源是都可被访问的。如果我们想为不同的用户指定不同的访问资源,该如何实现呢?接下来,我们通过配置为不同用户访问授权。@Bean@Override@Overridehttp.formLogin()//开启默认form表单登录方式.and().logout()//登出用默认的路径登出 /logout.permitAll()//允许所有的用户访问登录或者登出的路径.and()
4、security自定义数据源
程序员一博
07-20 550
spring security 内存认证自定义数据源认证
Spring Security自定义认证实现与初学者指南
Spring Security是一个功能强大、高度可定制的认证和访问控制框架,它是保护基于Spring的应用程序的事实上的标准。Spring Security为基于Spring的应用程序提供了全面的安全性解决方案,其核心功能包括认证和授权。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值