SpringSecurity认证授权全流程解读
更新时间:2025年06月19日 09:54:08 作者:Nice-or-77
这篇文章主要介绍了SpringSecurity认证授权全流程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
SpringSecurity认证流程:loadUserByUsername()方法内部实现。
实现步骤
构建一个自定义的service接口,实现SpringSecurity的UserDetailService接口。
建一个service实现类,实现此loadUserByUsername方法。
调用登录的login接口,会经过authenticationManager.authenticate(authenticationToken)方法。此方法会调用loadUserByUsername方法。
方法内部做用户信息的查询,判断用户名和密码是否正确,这是第一道认证。
@Service
@RequiredArgsConstructor
public class UserDetailsServiceImpl implements UserDetailsService {
private final SysUserMapper sysUserMapper;
//用户登录请求/login,自动调用方法
//根据用户名获取用户信息
//UserDetails 存储用户信息,包括用户名,密码,权限
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
LambdaQueryWrapper<SysUser> wrapper = new LambdaQueryWrapper<>();
wrapper.eq(SysUser::getUsername, username);
SysUser sysUser = sysUserMapper.selectOne(wrapper);
if (Objects.isNull(sysUser)){
throw new UsernameNotFoundException("用户名不存在");
}
//认证成功回UserDetails对象
return new LoginUser(sysUser);
}
}
@ToString
public class LoginUser implements UserDetails {
private SysUser sysUser;
public LoginUser(SysUser sysUser) {
this.sysUser = sysUser;
}
// 权限
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return List.of();
}
@Override
public String getPassword() {
return sysUser.getPassword();
}
@Override
public String getUsername() {
return sysUser.getUsername();
}
// 账号是否过期
@Override
public boolean isAccountNonExpired() {
return true;
}
// 账号是否被锁定
@Override
public boolean isAccountNonLocked() {
return true;
}
// 密码是否过期
@Override
public boolean isCredentialsNonExpired() {
return true;
}
// 账号是否可用
@Override
public boolean isEnabled() {
return true;
}
}如果没有查到信息就抛出异常。
如果查到信息了再接着查用户的权限信息,返回权限信息到loginUser实体。
此实体实现了SpringSecurity自带的userDetail接口。实现了getAuthorities方法。
每次查询权限都会调用此方法。
查询到的权限,会被返回到login接口。进行后续操作。
如果认证通过,通过身份信息中的userid生产一个jwt。
把完整的用户信息作为value,token作为key存入redis。
@RestController
@Tag(name = "认证模块", description = "认证模块")
@RequestMapping("/auth")
@RequiredArgsConstructor
public class AuthController {
//注入AuthenticationManager(认证管理器)
private final AuthenticationManager authenticationManager;
private final JwtUtils jwtUtils;
@PostMapping("/login")
@Operation(summary = "登录")
public Result login(@RequestParam("username") String username, @RequestParam("password") String password) {
System.out.println(username + password);
//登录逻辑
//调用UserDetailsService.loadUserByUsername方法获取
//不能直接调用,需要通过AuthenticationManager进行认证
Authentication authentication = new UsernamePasswordAuthenticationToken(username, password);
Authentication authenticate = null;
try {
authenticate = authenticationManager.authenticate(authentication);
} catch (BadCredentialsException e) {
return Result.failed(ResultCode.USERNAME_OR_PASSWORD_ERROR);
}
//认证成功方法token
String token=jwtUtils.generateToken(authenticate);
return Result.success(token);
}
}
@Configuration
@EnableWebSecurity // 开启web安全
@EnableMethodSecurity
@RequiredArgsConstructor
public class SecurityConfig {
private final IgnoredUrl ignoredUrl;
/**
* 配置认证管理器 AuthenticationManager
* 作用:用于身份认证
* 参数:UserDetailsService, PasswordEncoder
*/
@Bean
public AuthenticationManager authenticationManager(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder) {
DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
provider.setUserDetailsService(userDetailsService);
provider.setPasswordEncoder(passwordEncoder);
return new ProviderManager(provider);
}
/**
* 密码编码器
*
* @return
*/
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
//关闭csrf防护,否则回导致登录失败
http.csrf(a -> a.disable()); //禁用SCRF
//配置安全拦截规则
http.authorizeHttpRequests(req ->
req.requestMatchers(ignoredUrl.getUrls())
.permitAll()
.anyRequest().authenticated());
/**
* 配置登录页
*/
http.formLogin(form -> form
.loginPage("/")
.successForwardUrl("/index") //登录成功跳转页面
.loginProcessingUrl("/login")//登录处理url
.failureForwardUrl("/error") //登录失败跳转页面
// .usernameParameter("name")//自定义用户名参数
// .passwordParameter("password")//自定义密码参数
);
return http.build();
}
}@Component
public class JwtUtils {
@Value("${jwt.secret}")
private String secret;
@Value("${jwt.expiration}")
private Integer expiration;
/**
*
*/
public String generateToken(Authentication authentication) {
Date now = new Date();
Date expirationDate = DateUtil.offsetSecond(now, expiration);
Map<String, Object> claims = new HashMap<>();
claims.put("username", authentication.getName());//用户名
claims.put("exp", expirationDate);
// claims.put();
return JWTUtil.createToken(claims, secret.getBytes());
}
}@Component
@Data
@ConfigurationProperties(prefix = "security.ignored")
@ToString
public class IgnoredUrl {
private String[] urls;
}
登录成功
登陆失败
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了SpringSession 请求与响应重写的实现,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-11-11
Kaptcha 是一个可高度配置的实用验证码生成工具,本文主要介绍了Spring MVC整合Kaptcha的具体使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2022-06-06
本文详细介绍了Java启动参数的分类和具体用途,涵盖了基本内存管理、元空间管理、垃圾回收、性能调优与诊断、JavaAgent、系统属性以及应用执行等几类参数,通过合理配置这些参数,可以显著提升Java应用的性能、可管理性和可调试性2025-01-01
这篇文章主要为大家详细解析了CountDownLatch源码之await方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2018-04-04
这篇文章主要介绍了Spring与Mybatis相结合实现多数据源切换功能的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下2016-06-06
使用Wireshark分析网络包时,一个很常用的功能就是选中一个TCP报文,然后查看这个TCP报文的TCP流,从而可以进一步分析建连是否慢了,断连是否正常等情况,那么本文就TCP流的概念以及在Java中如何获取,做一个简单的学习,需要的朋友可以参考下2023-11-11
这篇文章主要介绍了Java多线程读写锁分离设计模式,主要利用Java到吗完成read read 并行化、read write 不允许、write write 不允许几项任务,需要的朋友可以参考一下2021-10-10
这篇文章主要为大家详细介绍了如何使用springboot+vue实现sso单点登录,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-06-06
详细分析Java并发集合LinkedBlockingQueue的用法
这篇文章主要介绍了详细分析Java并发集合LinkedBlockingQueue的用法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-04-04
这篇文章主要介绍了springboot如何接收get和post请求参数,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2023-06-06
最新评论