本文主要是介绍Spring Security自定义身份认证的实现方法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
《SpringSecurity自定义身份认证的实现方法》:本文主要介绍SpringSecurity自定义身份认证的实现方法,下面对SpringSecurity的这三种自定义身份认证进行详细讲解,...
尽管项目启动时,Spring Security会提供了默认的用户信息,可以快速认证和启动,但大多数应用程序都希望使用自定义的用户认证。对于自定义用户认证,Spring Security提供了多种认证方式,常用的有In-Memory Authentication(内存身份认证)、JDBC Authentication(JDBC身份认证)和UserDetailsService(身份详情服务)。下面对Spring Security的这三种自定义身份认证进行详细讲解。
1.内存身份认证
以内存身份认证时,需要在Spring Security的相关组件中进行指定当前认证方式为内存身份认证。Spring Security 5.7.1开始Spring Security将WebSecurityConfigurerAdapter类标注为过时,推荐直接声明配置类,在配置类中直接定义组件的信息。 本书使用Spring Boot 2.7.6,其对应的Spring Security版本为5.7.5。自定义内存身份认证时,可以通过InMemoryUserDetailsManager类实现,InMemoryUserDetailsManager是UserDetailsService的一个实现类,方便在内存中创建一个用户。对此,只需 在自定义配置类中创建InMemoryUserDetailsManager实例,在该实例中指定该实例的认证信息,并存入在Spring容器中即可。
(1)创建配置类
创建一个配置类WebSecurityConfig,在该类中创建UserDetailsService类型的InMemoryUserDetailsManager实例对象交由Spring容器管理
@Configuration
public class WebSecurityConfig {
@Bean
public UserDetailsService userDetailsService() {
InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
users.createUser(User.withUsername("zhangsan")
.password("{noop}1234")
.roles("ADMIN")
.build());
return users;
}
}进行自定义用户认证时,需要注意以下几个问题。
提交认证时会对输入的密码使用密http://www.chinasem.cn码编译器进行加密并与正确的密码进行校验。如果不想要对输入的密码进行加密,需要在密码前对使用{noop}进行标注。
从Spring Security 5开始,自定义用户认证如果没有设置密码编码器,也没有在密码前使用{noop}进行标注,会认证失败。
自定义用户认证时,可以定义用户角色roles,也可以定义用户权限authorities,在进行赋值时,权限通常是在角色值的基础上添加“ROLE_”前缀。
自定义用户认证时,可以为某个用户一次指定多个角色或权限。
(2)验证内存身份认证
启动项目后,查看控制台输出的信息,发现没有默认安全管理时随机生成了密码。
在浏览器访问项目首页“http://localhost:8080/”。
2.JDBC身份认证
JDBC身份认证是通过JDBC连接数据库,基于数据库中已有的用户信息进行身份认证,这样避免了内存身份认证的弊端,可以实现对系统已注册的用户进行身份认证。JdbcUserDetailsManager是Spring Security内置的UserDetailsService的实现类,使用JdbcUserDetailsManager可以通过JDBC将数据库和Spring Security连接起来。下面对JDBC身份认证方式进行讲解。
(1)数据准备
使用之前创建的名为springbootdata的数据库,在该数据库中创建三个表user、priv和user_priv,并预先插入几条测试数据。准备数据的SQL语句如下。
#选择使用数据库
USEspringbootdata;
#创建表user并插入相关数据
DROPTABLEIFEXISTS`user`;
CREATETABLE`user`(
`id`int(20)NOTNULLAUTO_INCREMENT,
`username`varchar(200)DEFAULTNULL,
`password`varchar(200)DEFAULTNULL,
`valid`tinyint(1)NOTNULLDEFAULT1,
PRIMARYKEY(`id`)
)ENGINE=InnoDBAUTO_INCREMENT=4DEFAULTCHARSET=utf8;
INSERTINTO`user`VALUES('1','zhangsan',
'$2a$10$7fWqX7Y010pMnyym/AHZX.3pythonchIbnPZbj3N/iqcG4APCF.hC6CMh5a','1');
INSERTINTO`user`VALUES('2','lisi',
'$2a$10$7fWqX7Y010pMnyym/AHZX.3chIbnPZbj3N/iqcG4APCF.hC6CMh5a','1');
#创建表priv并插入相关数据
DROPTABLEIFEXISTS`priv`;
CREATETABLE`priv`(
`id`int(20)NOTNULLAUTO_INCREMENT,
`authority`varchar(20)DEFAULTNULL,
PRIMARYKEY(`id`)
)ENGINE=InnoDBAUTO_INCREMENT=3DEFAULTCHARSET=utf8;
INSERTINTO`priv`VALUES('1','ROLE_COMMON');
INSERTINTO`priv`VALUES('2','ROLE_ADMIN');
#创建表user_priv并插入相关数据
DROPTABLEIFEXISTS`user_priv`;
CREATETABLE`user_priv`(
`id`int(20)NOTNULLAUTO_INCREMENT,
`user_id`int(20)DEFAULTNULL,
`priv_id`int(20)DEFAULTNULL,
PRIMARYKEY(`id`)
)ENGINE=InnoDBAUTO_INCREMENT=5DEFAULTCHARSET=utf8;
INSERTINTO`user_priv`VALUES('1','1','1');
INSERTINTO`user_priv`VALUES('2','2','2');(2)配置依赖
添加JDBC的启动器依赖。
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>(3)设置配置信息
设置数据库连接的相关配置信息
(4)修改配置类
修改WebSecurityConfig配置类userDetailsService()方法,将该方法创建的实例对象修改为JdbcUserDetailsManager
@Configuration
public class WebSecurityConfig {
@Autowired
private DataSource dataSource;
@Bean
public PasswordEncoder passwordEncoder() China编程{
return new BCryptPasswordEncoder();
}
@Bean
public UserDetailsService userDetailsService() {
String userSQL ="SELECT username,password, valid " +
"FROM user WHERE username = ?";
String authoritySQL="SELECT u.username,p.authority " +
"FROM user u,priv p,user_priv up " +
"WHERE up.user_id=u.id AND up.priv_id=p.id and u.username =?";
JdbcUserDetailsManager users = new JdbcUserDetailsManager();
users.setDataSource(dataSource);
users.setUsersByUsernameQuery(userSQL);
users.setAuthoritiesByUsernameQuery(authoritySQL);
return users;
}
}(5)效果测试
重启项目进行效果测试
3.自定义UserDetailsService身份认证
使用InMemoryUserDetailsManager和JdbcUserDetailsManager进行身份认证时,其真正的认证逻辑都在UserDetailsService接口重写的loadUserByUsername()方法中。对于一个完善的项目来说,通常会实现用户信息查询服务,对此可以自定义一个UserDetailsService实现类,重写该接口的loadUserByUsername()方法,在该方法中查询用户信息,将查询到的用户信息填充到UserDetails对象返回,以实现用户的身份认证。下面通过案例对自定义UserDetailsService进行身份验证的实现进行演示 。
(1)创建实体类
在子包entity下创建用户实体类UserDto和权限实体类Privilege
public class UserDto {
private Integer id; //用户编号
private String username; //用户名称
private String password; //密码
private Integer valid; //是否合法
public Integer getId() {
return id;
}
public void setId(Integer id) {
this .id = id;
}
public String getUsername() {
return username;
}
public void setUsername(String username) {
this .username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this .password = password;
}
public Integer getValid() {
return valid;
}
public void setValid(Integer valid) {
this .valid = valid;
}
}public class Privilege {
private Integer id; //编号
private String authority; //权限
public Integer getId() {
return id;
}
public void setId(Integer id) {
this .id = id;
}
public String getAuthority() {
return authority;
}
public void setAuthority(String authority) {
this .authority = authority;
}
}(2)创建用户持久层接口
在dao子包下创建用户持久层接口,在接口中定义查询用户及角色信息的方法
@Repository
public class UserDao {
@Autowired
JdbcTemplate jdbcTemplate;
//根据账号查询用户信息
public UserDto getUserByUsername(String username){
String sql = "SELECT * FROM user WHERE username = ?";
//连接数据库查询用户
List<UserDto> list = jdbcTemplate.query(sql, new BeanPropertyRowMapper<>(UserDto.class ),username);
if (list !=null && list.size()==1){
return list.get(0);
}
return null;
}
//根据用户id查询用户权限
public List<String> findPrivilegesByUserId(Integer userId){
String sql = "SELECT u.username,p.authority " +
"FROM user u,priv p,user_priv up " +
"WHERE up.user_id=u.id AND up.priv_id=p.id and u.id =?";
List<Privilege> list = jdbcTemplate.query(sql, new BeanPropertyRowMapper<>(Privilege.class ), userId);
List<String> privileges = new ArrayList&lChina编程t;>();
list.forEach(p -> privileges.add(p.getAuthority()));
return privileges;
}
}(3)封装用户认证信息
在service子包下创建UserDetailsServiceImpl类,该类实现UserDetailsServic编程e接口,并在重写的loadUserByUsername()方法中封装用户认证信息
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
UserDao userDao;
//根据用户名查询用户信息
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//连接数据库根据账号查询用户信息
UserDto userDto = userDao.getUserByUsername(username);
if (userDto == null){
//如果用户查不到,返回null,会抛出异常
return null;
}
//根据用户的id查询用户的权限
List<String> privileges = userDao.findPrivilegesByUserId(userDto.getId());
//将privileges转成数组
String[] privilegeArray = new String[privileges.size()];
privileges.toArray(privilegeArray);
UserDetails userDetails = User.withUsername(userDto.getUsername()).password(userDto.getPassword()).authorities(privilegeArray).build();
return userDetails;
}
}(4)效果测试
将userDetailsService()方法进行注释,使用自定义UserDetailsService身份认证。
重启项目进行效果测试。
到此这篇关于Spring Security自定义身份认证的文章就介绍到这了,更多相关Spring Security自定义身份认证内容请搜索China编程(www.chinasem.cn)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程China编程(www.chinasem.cn)!
这篇关于Spring Security自定义身份认证的实现方法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
