springboot security自定义认证过程

 更新时间:2025年03月31日 16:39:17   作者:不识君的荒漠  
这篇文章主要介绍了springboot security自定义认证过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教

前言

前置阅读

说明

实际场景,我们一般是把用户信息保存在db中(也可能是调用三方接口),需要自定义用户信息加载或认证部分的逻辑。

下面提供一个示例

代码示例

定义用户bean

@AllArgsConstructor
@Data
public class User {

    private String username;

    private String password;
}

定义Mapper

示例,代码写死了,并不是实际从数据库或某个存储查询用户信息:

@Component
public class UserMapper {

   public User select(String username) {
        return new User(username, "pass");
    }
}

定义加载用户数据的类

UserDetailsService 是spring security内置的加载用户信息的接口,我们只需要实现这个接口:

@Slf4j
@Component
public class UserDetailsServiceImpl implements UserDetailsService {

    public static final UserDetails INVALID_USER =
            new org.springframework.security.core.userdetails.User("invalid_user", "invalid_password", Collections.emptyList());

    private final UserMapper userMapper;

    public UserDetailsServiceImpl(UserMapper userMapper) {
        this.userMapper = userMapper;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名从数据库查询用户信息
        User user = userMapper.select(username);
        if (user == null) {
            /**
             * 如果没查询到这个用户,考虑两种选择:
             * 1. 返回一个标记无效用户的常量对象
             * 2. 返回一个不可能认证通过的用户
             */
            return INVALID_USER;
//            return new User(username, System.currentTimeMillis() + UUID.randomUUID().toString(), Collections.emptyList());
        }
        /**
         * 这里返回的用户密码是否为库里保存的密码,是明文/密文,取决于认证时密码比对部分的实现,每个人的场景不一样,
         * 因为使用的是不加密的PasswordEncoder,所以可以返回明文
         */
        return new org.springframework.security.core.userdetails.User(username, user.getPassword(), Collections.emptyList());
    }
}

自定义认证的bean配置

@Configuration
public class WebConfiguration {

    @Bean
    public PasswordEncoder passwordEncoder() {
        // 示例,不对密码进行加密处理
        return NoOpPasswordEncoder.getInstance();
    }


    @Bean
    public AuthenticationManager authenticationManager(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder) {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        // 设置加载用户信息的类
        provider.setUserDetailsService(userDetailsService);
        // 比较用户密码的时候,密码加密方式
        provider.setPasswordEncoder(passwordEncoder);
        return new ProviderManager(Arrays.asList(provider));
    }

}

注意:

  • 因为这个是示例,AuthenticationProvider使用的是spring security的DaoAuthenticationProvider 
  • 在实际场景中,如果不满足可以自定义实现或者继承DaoAuthenticationProvider 

重写其中的:

additionalAuthenticationChecks方法,主要就是认证检查的,默认实现如下:

	@Override
	@SuppressWarnings("deprecation")
	protected void additionalAuthenticationChecks(UserDetails userDetails,
			UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
		if (authentication.getCredentials() == null) {
			this.logger.debug("Failed to authenticate since no credentials provided");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
		String presentedPassword = authentication.getCredentials().toString();
		// 就是比对下请求传过来的密码和根据该用户查询的密码是否一致,passwordEncoder是根据不同的加密算法进行加密,示例我们用的是NoOpPasswordEncoder,也就是原始明文比对
		if (!this.passwordEncoder.matches(presentedPassword, userDetails.getPassword())) {
			this.logger.debug("Failed to authenticate since password does not match stored value");
			throw new BadCredentialsException(this.messages
					.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
		}
	}

定义登录接口

@RequestMapping("/login")
@RestController
public class LoginController {

    private final AuthenticationManager authenticationManager;

    public LoginController(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @PostMapping()
    public Object login(@RequestBody User user) {
        try {
            // 使用定义的AuthenticationManager进行认证处理
            Authentication authenticate = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword()));
            // 认证通过,设置到当前上下文,如果当前认证过程后续还有处理的逻辑需要的话。这个示例是没有必要了
            SecurityContextHolder.getContext().setAuthentication(authenticate);
            return "login success";
        }catch (Exception e) {
            return "login failed";
        }
    }

    /**
     * 获取验证码,需要的话,可以提供一个验证码获取的接口,在上面的login里把验证码传进来进行比对
     */
    @GetMapping("/captcha")
    public Object captcha() {
        return "1234";
    }
}

自定义HttpSecurity

@Component
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 在这里自定义配置
        http.authorizeRequests()
                // 登录相关接口都允许访问
                .antMatchers("/login/**").permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .exceptionHandling()
                // 认证失败返回401状态码,前端页面可以根据401状态码跳转到登录页面
                .authenticationEntryPoint((request, response, authException) ->
                        response.sendError(HttpStatus.UNAUTHORIZED.value(), HttpStatus.UNAUTHORIZED.getReasonPhrase()))
                .and().cors()
                // csrf是否决定禁用,请自行考量
                .and().csrf().disable()
                // 采用http 的基本认证.
                .httpBasic();
    }
}

测试

示例中,用户密码写死是:pass,

  • 用一个错误的密码试一下,响应登录失败:

  • 使用正确的密码,响应登录成功:

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

相关文章

  • Spring的@Lazy懒加载注解用法详细解析

    Spring的@Lazy懒加载注解用法详细解析

    这篇文章主要介绍了Spring的@Lazy懒加载注解用法详细解析,SpringIoC容器会在启动的时候实例化所有单实例 bean ,如果我们想要实现 Spring 在启动的时候延迟加载 bean,即在首次调用bean的时候再去执行初始化,就可以使用 @Lazy 注解来解决这个问题,需要的朋友可以参考下
    2023-11-11
  • 一篇文章让你彻底了解Java可重入锁和不可重入锁

    一篇文章让你彻底了解Java可重入锁和不可重入锁

    最近正在阅读Java ReentrantLock源码,始终对可重入和不可重入概念理解不透彻,今天特地整理了本篇文章,让你彻底了解Java可重入锁和不可重入锁,需要的朋友可以参考下
    2021-06-06
  • SpringCloud Gateway的基本入门和注意点详解

    SpringCloud Gateway的基本入门和注意点详解

    这篇文章主要介绍了SpringCloud Gateway的基本入门和注意点,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-10-10
  • 如何在Java中使用支付宝SDK来获取用户的OpenID

    如何在Java中使用支付宝SDK来获取用户的OpenID

    在支付宝开放平台中,获取用户的OpenID通常是在用户授权后通过支付宝的OAuth 2.0授权流程实现的,以下是一个基本的步骤说明,以及如何在Java中使用支付宝SDK来获取用户的OpenID
    2024-08-08
  • Java使用continue语句的实例详解

    Java使用continue语句的实例详解

    这篇文章主要介绍了Java使用continue语句的实例详解的相关资料,希望通过本文能帮助到大家,让大家掌握使用方法,需要的朋友可以参考下
    2017-10-10
  • Java中实现接口与继承的区别及说明

    Java中实现接口与继承的区别及说明

    这篇文章主要介绍了Java中实现接口与继承的区别及说明,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2024-03-03
  • mybatis insert 返回自增主键的实现示例

    mybatis insert 返回自增主键的实现示例

    mybatis 在新增之后怎么也获取不到自增主键,本文主要介绍了mybatis insert 返回自增主键的实现示例,具有一定的参考价值,感兴趣的可以了解一下
    2024-06-06
  • RabbitMQ的核心原理场景解析及具体应用

    RabbitMQ的核心原理场景解析及具体应用

    RabbitMQ是基于AMQP的开源消息中间件,通过灵活路由、可靠性保障和高可用特性,实现服务解耦、流量缓冲及异步通信,本文梳理RabbitMQ 的核心知识,并结合实战场景解析其在项目中的具体应用,感兴趣的朋友一起看看吧
    2025-08-08
  • Springboot实现高吞吐量异步处理详解(适用于高并发场景)

    Springboot实现高吞吐量异步处理详解(适用于高并发场景)

    这篇文章主要介绍了Springboot实现高吞吐量异步处理详解(适用于高并发场景),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2019-11-11
  • SpringBoot实现短信验证码校验方法思路详解

    SpringBoot实现短信验证码校验方法思路详解

    最近做项目遇到这样的需求,前端是基于BootStrap,html代码中有BootStrap样式实现的,具体后台实现代码大家通过本文一起学习吧
    2017-08-08

最新评论