[Springsecurity]springsecurity 基础实战

最新推荐文章于 2025-04-17 23:57:38 发布
最新推荐文章于 2025-04-17 23:57:38 发布
阅读量472 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: springsecurity 文章标签: java 开发语言 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33000453/article/details/125100399
本文介绍了Spring Security的配置,包括密码加密方式(BCryptPasswordEncoder和SCryptPasswordEncoder)和身份验证设置,以及如何扩展WebSecurityConfigurerAdapter。此外,还讲解了UserDetails接口和CustomUserDetails类在用户权限描述中的作用,以及UserDetailsService的loadUserByUsername方法用于获取用户信息。最后,展示了authenticate方法如何校验账号密码,并根据不同的加密算法进行匹配。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.springsecurity配置

对于springsecurity的配置要扩展继承WebSecurityConfigurerAdapter方法,主要有两个任务,一个是配置密码的加密方式,第二个是配置身份验证。通过配置身份验证,spring security身份验证可以通过过滤拦截,验证客户端的身份的有效性,并返回赋予其权限。

/**
 * WebSecurityConfigurerAdapter中有相当多的springsecurity默认配置,如果需要自定义其中的配置需要进行对它扩展
 */
@Configuration
public class ProjectConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private AuthenticationProviderService authenticationProvider;
    /**
     * PasswordEncoder 承担两个任务:
     * 1.  将密码进行编码
     * 2。 验证密码是否与现有编码相匹配
     *
     * NoOpPasswordEncoder 实例会将密码视为普通文本。不会对密码进行加密或者哈希操作。为了进行匹配,NoOpPasswordEncoder
     * 只会使用String类底层的equals(Object o)方法来比较字符串。所以,不应该在生产环境中使用该方式。
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public SCryptPasswordEncoder sCryptPasswordEncoder() {
        return new SCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(authenticationProvider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //todo:
        /**
         * 身份验证方式,表单验证方式。
         *
         * 在客户端访问时,要附加前缀Basic,后面还要加上包含用户名和密码的字符串Base64编码,用冒号(:)分隔。
         */
        http.formLogin()
                //登录成功后跳转到主页面
                .defaultSuccessUrl("/main", true);
        http.authorizeRequests().anyRequest().authenticated();
    }
}

2.UserDetails用户的详细描述

在springsecurity中该类继承 UserDetails用于描述用户的密码权限等内容,在过身份验证滤拦截器中拿到该类的信息进行对账号密码的比对,同时提取权限信息用于赋予登录客户端的权限信息。

@Data
public class CustomUserDetails implements UserDetails {

    //note: 为了说明没有User实体CustomUserDetails就毫无意义,所以将该字段用final修饰
    private final User user;

    public CustomUserDetails(User user) {
        this.user = user;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return user.getAuthorities().stream()
                //将在数据库中找到的该用户的每个权限名称映射到一个SimpleGrantedAuthority
                   .map(a -> new SimpleGrantedAuthority(a.getName()))
                //以列表形式收集并返回 SimpleGrantedAuthority的所有实例
                   .collect(Collectors.toList());
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    public final User getUser() {
        return user;
    }
}

3.loadUserByUsername加载用户信息

loadUserByUsername是UserDetailsService抽象类中的一个方法,通过继承实现该方法达到获取用户信息描述(UserDetails)的能力,随后进行对账号密码的比对。

    @Override
    public CustomUserDetails loadUserByUsername(String username) {
        //创建一个异常类
        Supplier<UsernameNotFoundException> s =
                () -> new UsernameNotFoundException("Problem during authentication!");

        //如果返回为空,则返回异常类。如果查询的到则返回User对象。
        User u = userRepository.findUserByUsername(username).orElseThrow(s);

        return new CustomUserDetails(u);
    }

4.authenticate 截取陌生客户端的鉴权信息(账号密码)

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();


        /**
         * 使用UserDetailsService (JpaUserDetailsService实现UserDetailsService)
         * 的loadUserByUsername方法查询用户详细信息
         */

        CustomUserDetails user = userDetailsService.loadUserByUsername(username);

        switch (user.getUser().getAlgorithm()) {
            case BCRYPT:
                return checkPassword(user, password, bCryptPasswordEncoder);
            case SCRYPT:
                return checkPassword(user, password, sCryptPasswordEncoder);
        }

        throw new  BadCredentialsException("Bad credentials");
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return UsernamePasswordAuthenticationToken.class.isAssignableFrom(aClass);
    }

5.checkPassword 比对账号密码并返回权限

    /**
     * 核对密码
     * @param user 查询的人员信息
     * @param rawPassword 密码
     * @param encoder 编码方式
     * @return
     */
    private Authentication checkPassword(CustomUserDetails user, String rawPassword, PasswordEncoder encoder) {
        if (encoder.matches(rawPassword, user.getPassword())) {
            return new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword(), user.getAuthorities());
        } else {
            throw new BadCredentialsException("Bad credentials");
        }
    }

6. 完整代码

6.1 代码目录

 6.2 代码下载

整理好后会附上链接

Spring Security实战
rhwayfun专栏
08-20 3574
spring security是一个多方面的安全认证框架,提供了基于JavaEE规范的完整的安全认证解决方案。并且可以很好与目前主流的认证框架(如CAS,中央授权系统)集成。使用spring security的初衷是解决不同用户登录不同应用程序的权限问题,说到权限包括两部分:认证和授权。认证是告诉系统你是谁,授权是指知道你是谁后是否有权限访问系统(授权后一般会在服务端创建一个token,之后用这个t
springsecurity实战
最新发布
m0_50982328的博客
06-01 933
身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication。版 本开始,它支持服务层方法的安全性的支持。维护着一个 List<AuthenticationProvider> 列表,存放多种认证方式,最终实际的认证工作是由。接口(认证管理器)是认证相关的核心接口,也是发起认证的出发点,它。然后向方法(在类或接口上)添加注解就会限制对该方法的访问。资源,同时通过身份认证就能够访问,这里使用。)剩余的尚未匹配的资源,不做保护。
springsecurity实战(一)
qq_19126341的博客
04-16 397
前言 一个良好的认证服务应该同时支持以下几点: 同时支持多种认证方式 同时支持多种前端渠道 支持集群环境,跨应用工作,防护与身份认证相关的攻击 完成这样的工作不难,如何写出可重用可扩展的代码来,可能就需要多花一些心思。下面就给我一起实战起来吧。 项目搭建 工程结构 jy-security 该工程是一个聚合工程.在该工程中我们先引入spirng io platform和spring clo...
SpringSecurity实战使用
lakershero的博客
05-20 295
一、依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二、创建Spring Security Java 配置类 @Configuration public cla
SpringSecurity实战
2402_83415279的博客
04-17 2757
和Shiro相比,Spring Security重量级并且配置烦琐,直至今天,依然有人以此为理由而拒绝了解Spring Security。还拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的权限才可以正常使用发送红包功能,拥有发朋友圈功能的权限才可以使用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。
Spring Security 实战干货.pdf
04-22
Spring Security 实战干货.pdf
SpringSecurity和OAuth2实战精讲视频.zip
09-09
15-自定义配置-SpringSecurity的默认配置 16-自定义配置-添加用户功能的实现 17-自定义配置-添加用户功能的测试 18-自定义配置-密码加密算法 19-自定义配置-密码加密测试 20-自定义配置-DelegatingPasswordEncoder ...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
SpringSecurity 测试实战
08-25
SpringSecurity 测试实战 标题:SpringSecurity 测试实战 描述:SpringSecurity 测试实战主要介绍了SpringSecurity 测试实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值。 ...
Spring Security实战例子
09-08
Spring Security实战例子资源里面有4个小项目,都是利用maven搭建的。数据库要建立一个security的表
阿里内部强推的SpringScurity实战笔记,与君共分享
老男孩的架构路
09-21 608
Spring Scurity 的前身是Acegi Security, 在被收纳为Spring子项目后正式更名为Spring Security。现已升级到5.1.3.RELEASE版本,加入了原生OAuth2.0框架,支持更加现代化的密码加密方式。可以预见,在Java应用安全领域,Spring Security 会成为被首先推崇的解决方案,就像我们看到服务器就会联想到Linux一样顺理成章。
Spring Security】 入门实战
m0_46638350的博客
04-17 465
这是因为,你在pom.xml中导入了依赖包,等于告诉maven要导入Spring Security依赖,但是不等于已经导入了Spring Securtiy,因为maven可能还没来得及导入,你就已经启动项目了。但是有时候导入依赖之后访问页面,也没有跳转到指定验证页面,这就是Spring Security没有生效。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。
Spring Security 入门实战
xy的博客
12-20 271
文章目录介绍必要srart1.使用非自定义登录2.使用自定义的页面3.使用数据库的数据登录 介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 必要 导入maven依赖 <!-- spring security --> <dependency> <groupId>org.springframework.security</groupId&g
Spring Security 实战 - 表单认证
blurooo的博客
09-01 667
在上一节中,我们初步引入了Spring Security,并使用了其默认生效的HTTP Basic认证形式保护url资源,本节我们将尝试使用表单认证来达到同样的目的。 说明 本章节摘自《Spring Security 实战》第二章 - 表单认证,更多内容请购书学习。 目前已经上线京东,首批仅需6.8折,猛搓购买:京东 -《Spring Security 实战》 默认表单认证 首先新建一个conf...
Spring Security实战系列】Spring Security实战(一)
每一名出色的架构师,必定是一位优秀程序员
09-07 6774
一 概要 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 如何使用spring security,总共有四种用法,从简到深为: 1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo; 2、使用数据库,根据spring securi
SpringSecurity最全实战讲解
roykingw的专栏
09-28 3706
文章目录Spring Security 专题一、基本概念认证授权会话RBAC模型二、一个自己实现的权限模型 BasicAuth:三、SpringBoot Security 快速上手1、项目搭建步骤2、用SpringBoot Security重新实现我们上个应用的认证和授权逻辑。3、项目测试4、了解SpringBoot Security项目的扩展点四、SpringBoot Security工作原理1、 结构总览2、认证流程2.1 AuthenticationProvider接口:认证处理器2.2 Authen
Spring Security应用实战详解
weixin_35433448的博客
10-13 826
本文还有配套的精品资源,点击获取 简介:Spring Security 是一个全面的安全框架,提供身份验证和访问控制功能,保护 Java 应用程序。它可集成 Spring 框架,支持多种认证和授权机制,并允许自定义安全配置。文章将详细讲解如何在项目中应用 Spring Security,包括安装配置、基础认证流程、登录表单配置、用户认证、权限授权、自定义过滤器链、会话管理、...
Spring Security 3.1基础验证项目实战教程
Spring Security是一个提供全面安全性解决方案的框架,用于保护基于Spring的应用程序。Spring Security 3.1是此框架的一个版本,主要提供了安全性功能,比如用户认证(Authentication)和授权(Authorization)。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wL魔法师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值