腳本之家服務(wù)器常用軟件

快捷導(dǎo)航

springboot security自定義認(rèn)證過程

更新時(shí)間：2025年03月31日 16:39:17 作者：不識(shí)君的荒漠

這篇文章主要介紹了springboot security自定義認(rèn)證過程,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教

前言

前置閱讀

說明

實(shí)際場景，我們一般是把用戶信息保存在db中（也可能是調(diào)用三方接口），需要自定義用戶信息加載或認(rèn)證部分的邏輯。

下面提供一個(gè)示例

代碼示例

定義用戶bean

@AllArgsConstructor
@Data
public class User {

    private String username;

    private String password;
}

定義Mapper

示例，代碼寫死了，并不是實(shí)際從數(shù)據(jù)庫或某個(gè)存儲(chǔ)查詢用戶信息：

@Component
public class UserMapper {

   public User select(String username) {
        return new User(username, "pass");
    }
}

定義加載用戶數(shù)據(jù)的類

UserDetailsService 是spring security內(nèi)置的加載用戶信息的接口，我們只需要實(shí)現(xiàn)這個(gè)接口：

@Slf4j
@Component
public class UserDetailsServiceImpl implements UserDetailsService {

    public static final UserDetails INVALID_USER =
            new org.springframework.security.core.userdetails.User("invalid_user", "invalid_password", Collections.emptyList());

    private final UserMapper userMapper;

    public UserDetailsServiceImpl(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根據(jù)用戶名從數(shù)據(jù)庫查詢用戶信息
        User user = userMapper.select(username);
        if (user == null) {
            /**
             * 如果沒查詢到這個(gè)用戶，考慮兩種選擇：
             * 1. 返回一個(gè)標(biāo)記無效用戶的常量對(duì)象
             * 2. 返回一個(gè)不可能認(rèn)證通過的用戶
             */
            return INVALID_USER;
//            return new User(username, System.currentTimeMillis() + UUID.randomUUID().toString(), Collections.emptyList());
        }
        /**
         * 這里返回的用戶密碼是否為庫里保存的密碼，是明文/密文，取決于認(rèn)證時(shí)密碼比對(duì)部分的實(shí)現(xiàn)，每個(gè)人的場景不一樣，
         * 因?yàn)槭褂玫氖遣患用艿腜asswordEncoder，所以可以返回明文
         */
        return new org.springframework.security.core.userdetails.User(username, user.getPassword(), Collections.emptyList());
    }
}

自定義認(rèn)證的bean配置

@Configuration
public class WebConfiguration {

    @Bean
    public PasswordEncoder passwordEncoder() {
        // 示例，不對(duì)密碼進(jìn)行加密處理
        return NoOpPasswordEncoder.getInstance();
    }


    @Bean
    public AuthenticationManager authenticationManager(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder) {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        // 設(shè)置加載用戶信息的類
        provider.setUserDetailsService(userDetailsService);
        // 比較用戶密碼的時(shí)候，密碼加密方式
        provider.setPasswordEncoder(passwordEncoder);
        return new ProviderManager(Arrays.asList(provider));
    }

}

注意：

因?yàn)檫@個(gè)是示例，AuthenticationProvider使用的是spring security的DaoAuthenticationProvider
在實(shí)際場景中，如果不滿足可以自定義實(shí)現(xiàn)或者繼承DaoAuthenticationProvider

重寫其中的：

additionalAuthenticationChecks方法，主要就是認(rèn)證檢查的，默認(rèn)實(shí)現(xiàn)如下：

	@Override
	@SuppressWarnings("deprecation")
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		// 就是比對(duì)下請求傳過來的密碼和根據(jù)該用戶查詢的密碼是否一致，passwordEncoder是根據(jù)不同的加密算法進(jìn)行加密，示例我們用的是NoOpPasswordEncoder，也就是原始明文比對(duì)
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}

定義登錄接口

@RequestMapping("/login")
@RestController
public class LoginController {

    private final AuthenticationManager authenticationManager;

    public LoginController(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @PostMapping()
    public Object login(@RequestBody User user) {
        try {
            // 使用定義的AuthenticationManager進(jìn)行認(rèn)證處理
            Authentication authenticate = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));
            // 認(rèn)證通過，設(shè)置到當(dāng)前上下文，如果當(dāng)前認(rèn)證過程后續(xù)還有處理的邏輯需要的話。這個(gè)示例是沒有必要了
            SecurityContextHolder.getContext().setAuthentication(authenticate);
            return "login success";
        }catch (Exception e) {
            return "login failed";
        }
    }

    /**
     * 獲取驗(yàn)證碼，需要的話，可以提供一個(gè)驗(yàn)證碼獲取的接口，在上面的login里把驗(yàn)證碼傳進(jìn)來進(jìn)行比對(duì)
     */
    @GetMapping("/captcha")
    public Object captcha() {
        return "1234";
    }
}

自定義HttpSecurity

@Component
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 在這里自定義配置
        http.authorizeRequests()
                // 登錄相關(guān)接口都允許訪問
                .antMatchers("/login/**").permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .exceptionHandling()
                // 認(rèn)證失敗返回401狀態(tài)碼，前端頁面可以根據(jù)401狀態(tài)碼跳轉(zhuǎn)到登錄頁面
                .authenticationEntryPoint((request, response, authException) ->
                        response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase()))
                .and().cors()
                // csrf是否決定禁用，請自行考量
                .and().csrf().disable()
                // 采用http 的基本認(rèn)證.
                .httpBasic();
    }
}

測試

示例中，用戶密碼寫死是：pass，

用一個(gè)錯(cuò)誤的密碼試一下，響應(yīng)登錄失?。?/li>

使用正確的密碼，響應(yīng)登錄成功：

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

Idea打不了斷點(diǎn)如何解決
這篇文章主要介紹了Idea打不了斷點(diǎn)如何解決的問題，具有很好的參考價(jià)值，希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方，望不吝賜教
2023-03-03
如何解決shardingsphere報(bào)錯(cuò)Missing?the?data?source?name:‘null‘
使用ShardingSphere進(jìn)行分庫操作時(shí),如果遇到“Missing?the?datasource?name:?‘null’”的錯(cuò)誤,通常是因?yàn)樗僮鞯谋頉]有配置相關(guān)的路由信息,例如,如果在properties中僅配置了health_record和health_task的路由規(guī)則
2024-11-11
iOS socket網(wǎng)絡(luò)編程實(shí)例詳解
socket是一個(gè)針對(duì)TCP和UDP編程的接口，你可以借助它建立TCP連接等。這篇文章主要介紹了iOS socket網(wǎng)絡(luò)編程 ,需要的朋友可以參考下
2017-03-03
java網(wǎng)絡(luò)編程基礎(chǔ)知識(shí)介紹
這篇文章主要介紹了java網(wǎng)絡(luò)編程基礎(chǔ)知識(shí)介紹，涉及OSI分層模型和TCP/IP分層模型的對(duì)應(yīng)關(guān)系、IP地址、端口號(hào)、tcp、udp等相關(guān)內(nèi)容，還是比較不錯(cuò)的，這里分享給大家，供需要的朋友參考。
2017-11-11
利用maven deploy上傳本地jar至私服的方法
這篇文章主要介紹了利用maven deploy上傳本地jar至私服的方法,本文結(jié)合實(shí)例代碼給大家介紹的非常詳細(xì)，需要的朋友可以參考下
2023-02-02
springboot實(shí)現(xiàn)微信掃碼登錄的項(xiàng)目實(shí)踐
微信掃碼功能是目前第三方登錄常見功能,前不久有個(gè)項(xiàng)目剛好用上,本文主要介紹了springboot實(shí)現(xiàn)微信掃碼登錄的項(xiàng)目實(shí)踐,具有一定的參考價(jià)值,感興趣的可以了解一下
2023-10-10
SpringBoot中的@FeignClient注解使用
文章主要介紹了SpringCloud中的@FeignClient注解的使用及其參數(shù)詳解,包括value/name、url、path、configuration、fallback/fallbackFactory、contextId等,通過@FeignClient注解,可以方便地聲明一個(gè)REST客戶端,并定義與目標(biāo)服務(wù)通信的接口
2024-11-11
本篇文章主要介紹了JAVA collection集合之撲克牌游戲?qū)嵗?，使用了collection集合開發(fā)小游戲，有需要的可以了解一下。
2016-11-11

Java基礎(chǔ)之查找文本特定內(nèi)容后進(jìn)行修改

這篇文章主要介紹了Java基礎(chǔ)之查找文本特定內(nèi)容后進(jìn)行修改,文中有非常詳細(xì)的代碼示例,對(duì)正在學(xué)習(xí)java基礎(chǔ)的小伙伴們有非常好的幫助,需要的朋友可以參考下

2021-04-04

如何將maven源改為國內(nèi)阿里云鏡像

在使用Maven打包Scala程序時(shí),默認(rèn)是從位于國外的Maven中央倉庫下載相關(guān)的依賴,造成我們從國內(nèi)下載依賴時(shí)速度很慢,下面這篇文章主要給大家介紹了關(guān)于如何將maven源改為國內(nèi)阿里云鏡像的相關(guān)資料,需要的朋友可以參考下

2023-02-02

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片