SpringSecurity使用数据库的用户数据做认证
创始人
2024-06-02 19:00:00
0

SpringSecurity使用UserDetailsService 接口来获取用户信息UserDetails ,根据UserDetails 的 getPassword() 方法,判断用户名密码是否正确。大致流程如下:

框架默认情况使用InMemoryUserDetailsManager ,即把用户信息存到内存里,一般在开发阶段使用。通过以下配置添加默认测试用户:

spring:security:user:name: "user"password: "123"

要使用自己的用户数据源,有三个地方要改,也就是上图标绿的部分:

  1. 自定义UserDetailsService替换掉 InMemoryUserDetailsManager,实现UserDetails loadUserByUsername(String username)方法。

  1. 如果要额外保存用户信息,例如手机号、生日等,就自定义UserDetails 在loadUserByUsername 中返回。

  1. 提供一个PasswordEncoder Bean。

自定义UserDetailsService

InMemoryUserDetailsManager 初始化的位置是在UserDetailsServiceAutoConfiguration 配置文件里。这个配置有一些生效条件:

@ConditionalOnMissingBean(value = { AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class,AuthenticationManagerResolver.class },...
public class UserDetailsServiceAutoConfiguration {@Beanpublic InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties,ObjectProvider passwordEncoder) {SecurityProperties.User user = properties.getUser();List roles = user.getRoles();return new InMemoryUserDetailsManager(User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build());}
}

所以,我们提供UserDetailsService Bean之后,配置就会自动失效。这是实例,要注意接口约定loadUserByUsername方法不能返回null,所以找不到用户时要抛UsernameNotFoundException 异常。

public class CustomUserDetailsService implements UserDetailsService {@AutowiredUserRepository repository;/*** Returns: a fully populated user record (never null)* Throws: UsernameNotFoundException – if the user could not be found or the user has no GrantedAuthority*/@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {Optional userOptional = repository.findOne((root, query, criteriaBuilder) -> criteriaBuilder.equal(root.get("username"), username));if (userOptional.isEmpty()) {throw new UsernameNotFoundException(username);}User user = userOptional.get();return new CustomUser(user.getUsername(), user.getPassword(), List.of());}
}

自定义UserDetails

UserDetails 用来存放身份认证和权限认证的信息,也可以额外存我们需要的信息。我这里直接继承SpringSecurity自带给JDBC用的User类型。

public class CustomUser extends User {public DoitUser(String username, String password, Collection authorities) {super(username, password, authorities);}public DoitUser(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection authorities) {super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);}
}

自定义PasswordEncoder

由于DaoAuthenticationProvider 使用PasswordEncoder 对用户密码进行校验。

if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {this.logger.debug("Failed to authenticate since password does not match stored value");throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
}

所以我们要提供一个PasswordEncoder 实现,可以用BCryptPasswordEncoder 。

@Bean
public PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();
}

另外,使用PasswordEncoder 别忘了在用户注册的时候,把用户密码先加密再保存!

public User register(@RequestBody User user) {user.setPassword(passwordEncoder.encode(user.getPassword()));...
}

相关内容

热门资讯

【NI Multisim 14...   目录 序言 一、工具栏 🍊1.“标准”工具栏 🍊 2.视图工具...
银河麒麟V10SP1高级服务器... 银河麒麟高级服务器操作系统简介: 银河麒麟高级服务器操作系统V10是针对企业级关键业务...
不能访问光猫的的管理页面 光猫是现代家庭宽带网络的重要组成部分,它可以提供高速稳定的网络连接。但是,有时候我们会遇到不能访问光...
AWSECS:访问外部网络时出... 如果您在AWS ECS中部署了应用程序,并且该应用程序需要访问外部网络,但是无法正常访问,可能是因为...
Android|无法访问或保存... 这个问题可能是由于权限设置不正确导致的。您需要在应用程序清单文件中添加以下代码来请求适当的权限:此外...
北信源内网安全管理卸载 北信源内网安全管理是一款网络安全管理软件,主要用于保护内网安全。在日常使用过程中,卸载该软件是一种常...
AWSElasticBeans... 在Dockerfile中手动配置nginx反向代理。例如,在Dockerfile中添加以下代码:FR...
AsusVivobook无法开... 首先,我们可以尝试重置BIOS(Basic Input/Output System)来解决这个问题。...
ASM贪吃蛇游戏-解决错误的问... 要解决ASM贪吃蛇游戏中的错误问题,你可以按照以下步骤进行:首先,确定错误的具体表现和问题所在。在贪...
月入8000+的steam搬砖... 大家好,我是阿阳 今天要给大家介绍的是 steam 游戏搬砖项目,目前...