自定义用户认证逻辑
- 处理用户信息获取逻辑
- 处理用户校验逻辑
- 处理密码加密解密
注意!注意!
视频中启动的是demo。而这次要写的代码在security-browser中。
遇到一个问题也就是在 项目结构 一文中最后的 关于依赖项目没有被扫描到的问题;
如果按照笔记走出现了这个问题。就去项目结构中关于”关于依赖项目没有被扫描到的问题”解决
处理用户信息获取逻辑
org.springframework.security.core.userdetails.UserDetailsService
UserDetailsService接口用于加载用户特定的数据,它在整个框架中作为用户DAO使用,是验证提供者使用的策略。
该接口只需要一个只读方法,这简化了对新的数据访问策略的支持。
实现一个自定义的UserDetailsService
package cn.mrcode.imooc.springsecurity.securitybrowser;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
/**
* ${desc}
* @author zhuqiang
* @version 1.0.1 2018/8/3 9:16
* @date 2018/8/3 9:16
* @since 1.0
*/
// 自定义数据源来获取数据
// 这里只要是存在一个自定义的 UserDetailsService ,那么security将会使用该实例进行配置
@Component
public class MyUserDetailsService implements UserDetailsService {
Logger logger = LoggerFactory.getLogger(getClass());
// 可以从任何地方获取数据
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 根据用户名查找用户信息
logger.info("登录用户名", username);
// 写死一个密码,赋予一个admin权限
return new User(username, "123456",
AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
}
}
这样就能让自定义的UserdetailsService生效了。但是在浏览器中登录的时候,后台报错了
java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
这个异常是spring security5+后密码策略变更了。必须使用 PasswordEncoder 方式也就是你存储密码的时候
需要使用{noop}123456
这样的方式。这个在官网文档中有讲到
花括号里面的是encoder id ,这个支持的全部列表在以下的方法中定义
org.springframework.security.crypto.factory.PasswordEncoderFactories#createDelegatingPasswordEncoder
noop 对应的处理类是org.springframework.security.crypto.password.NoOpPasswordEncoder
,只用于测试;因为没有做任何加密功能
修改完成之后再次访问。发现可以了
小插曲
之前由于跳过了视频中的项目结构解说,自己根据经验使用gradle。由于视频中用的maven。我用的gradle。问题还真不少;
视频中演示 demo项目依赖于我们刚刚配置好的security-browser项目中的自定义UserDetailsService功能;
启动demo项目后发现browser中的配置无法被扫描到;然后重新观看了项目结构这一章节。并把该章节笔记重新记录下了;
有可能会导致一小部分依赖配置和这之前的笔记中有一点点的不一样。不过不要紧。已经解决了
处理用户校验逻辑
自定义的其他逻辑是在 org.springframework.security.core.userdetails.User 中提供的,
只要在登录的时候把user中提供的信息返回即可达到支持的业务逻辑,下面列出支持的业务场景:
- isEnabled 账户是否启用
- isAccountNonExpired 账户没有过期
- isCredentialsNonExpired 身份认证是否是有效的
- isAccountNonLocked 账户没有被锁定
对于 isAccountNonLocked 和 isEnabled 没有做业务处理,只是抛出了对于的异常信息;
// 这里的几个布尔值的含义对应上面列出来的顺序
User admin = new User(username, "{noop}123456",
true, true, true, false,
AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
处理密码加密解密
密码加密解密是使用了下面这个类
org.springframework.security.crypto.password.PasswordEncoder
在自己摸索中也经常提示 这个类或则什么id为null;
配置只需要提供一个实例即可,会自动使用该实例
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
在UserDetailsService中需要模拟存入数据库中的密码就是加密后的字符串
@Component
public class MyUserDetailsService implements UserDetailsService {
Logger logger = LoggerFactory.getLogger(getClass());
@Autowired
private PasswordEncoder passwordEncoder;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
logger.info("登录用户名:{}", username);
String password = passwordEncoder.encode("123456");
logger.info("数据库密码{}", password);
User admin = new User(username,
// "{noop}123456",
password,
true, true, true, true,
AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
}
}
其实框架会把提交的密码使用我们定义的passwordEncode加密后调用 org.springframework.security.crypto.password.PasswordEncoder#matches
方法,
与 返回的User中的密码进行比对。配对正常就验证通过;
唯一感觉奇怪的是{noop}123456
方式的密码居然可以不用写了;
尝试过{bcrypt}123456
还是不行
尝试两次登录,发下每次加密的都不一样,但是还能对上结果。感觉很强大;
介绍说:对于同一个串加密多次产生的不一样,就不会存在暴利破解一个串,其他串都失效的情况.
但是本人还是没有想明白。总感觉哪里没有想明白一样,不同的串都能反推出来,有啥安全的?
2018-08-03 13:45:58.614 INFO 18300 --- [nio-8080-exec-3] c.m.i.s.s.MyUserDetailsService : 登录用户名:admin
2018-08-03 13:45:58.708 INFO 18300 --- [nio-8080-exec-3] c.m.i.s.s.MyUserDetailsService : 数据库密码$2a$10$TaQerjh.VaTRfSLxUozH/eaxgZAcM1H7b0NHEj3peL8Ar8cGfY/R.
2018-08-03 13:47:08.035 INFO 18300 --- [nio-8080-exec-7] c.m.i.s.s.MyUserDetailsService : 登录用户名:admin
2018-08-03 13:47:08.128 INFO 18300 --- [nio-8080-exec-7] c.m.i.s.s.MyUserDetailsService : 数据库密码$2a$10$jR3gKmOp7LifbXPPHie.JuOW1FmqklzsdZm1spK/r19MkXjpPOa4a
总结
- 处理用户信息获取逻辑 使用 UserDetailsService
- 处理用户校验逻辑 使用 UserDetails
- 处理密码加密解密 使用 PasswordEncoder
Java 面试宝典是大明哥全力打造的 Java 精品面试题,它是一份靠谱、强大、详细、经典的 Java 后端面试宝典。它不仅仅只是一道道面试题,而是一套完整的 Java 知识体系,一套你 Java 知识点的扫盲贴。
它的内容包括:
- 大厂真题:Java 面试宝典里面的题目都是最近几年的高频的大厂面试真题。
- 原创内容:Java 面试宝典内容全部都是大明哥原创,内容全面且通俗易懂,回答部分可以直接作为面试回答内容。
- 持续更新:一次购买,永久有效。大明哥会持续更新 3+ 年,累计更新 1000+,宝典会不断迭代更新,保证最新、最全面。
- 覆盖全面:本宝典累计更新 1000+,从 Java 入门到 Java 架构的高频面试题,实现 360° 全覆盖。
- 不止面试:内容包含面试题解析、内容详解、知识扩展,它不仅仅只是一份面试题,更是一套完整的 Java 知识体系。
- 宝典详情:https://www.yuque.com/chenssy/sike-java/xvlo920axlp7sf4k
- 宝典总览:https://www.yuque.com/chenssy/sike-java/yogsehzntzgp4ly1
- 宝典进展:https://www.yuque.com/chenssy/sike-java/en9ned7loo47z5aw
目前 Java 面试宝典累计更新 400+ 道,总字数 42w+。大明哥还在持续更新中,下图是大明哥在 2024-12 月份的更新情况:
想了解详情的小伙伴,扫描下面二维码加大明哥微信【daming091】咨询
同时,大明哥也整理一套目前市面最常见的热点面试题。微信搜[大明哥聊 Java]或扫描下方二维码关注大明哥的原创公众号[大明哥聊 Java] ,回复【面试题】 即可免费领取。