Spring Security自定义用户认证逻辑
上一篇文章中我们讲了springsecurity的基本原理。上一章我们用最最简单的方式了解了SpringSecurity,但是我们发现登录只能使用user这个用户,而且密码也只能使用SpringBoot启动的时候给的密码,这不能满足我们的需求,因此本篇文章中我们将讲解,如何自定义用户认证逻辑。
自定义用户认证逻辑涉及到这三个方面:
1.处理用户信息获取逻辑
表示我们获取用户时可以从mysql、redis、ldap中获取用户的信息,而不再使用SpringSecurity默认提供的user信息
2.处理用户校验逻辑
我们上一篇文章用户的校验就只有用户的账户和密码,但是有时候我们还需要校验用户是否被冻结等等
3.处理密码加密解密
我们的密码必须要加密而不是以明文的形式存储
处理用户信息获取逻辑实战
SpringSecurity利用了UserDetailsService这个接口来获取用户信息,如下图:
UserDetailsService
所以我们只需要重写这个接口,把我们获取用户的逻辑写在loadUserByUsername这个方法中就行,这个方法有一个入参就是用户输入的用户名,抛出的异常只有一个用户不存在的异常。
1重写接口代码
@Component
public class MyUserDetailsService implements UserDetailsService {
private Logger logger = LoggerFactory.getLogger(getClass());
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
logger.info("登录用户名" + username);
// TODO Auto-generated method stub
return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
}
}
2添加新的Bean
@Bean
public static NoOpPasswordEncoder passwordEncoder() {
return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
}
如果你是SpringSecurity5.0之前的版本可以不添加这个Bean,这个Bean的作用是预防There is no PasswordEncoder mapped for the id "null"的错误。
3实验密码错误的情况
密码错误
4实验密码正确的情况
密码正确
处理用户校验逻辑实战
我们看一下UserDetailsService的返回对象UserDetails:
public interface UserDetails extends Serializable {
// ~ Methods
// ========================================================================================================
//返回用户的权限信息
Collection<? extends GrantedAuthority> getAuthorities();
/**
* 返回用户的密码
*/
String getPassword();
/**
* 返回用户的userName
*/
String getUsername();
/**
* 判断用户账户是否过期
*/
boolean isAccountNonExpired();
/**
*判断用户账户是否被锁定
*/
boolean isAccountNonLocked();
/**
* 判断用户的密码是否过期
*/
boolean isCredentialsNonExpired();
/**
* 判断用户是否可用(比如被删除了就不能被用了)
*/
boolean isEnabled();
}
我已经在方法中写好注释了,所以我们改写一下逻辑:
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
logger.info("登录用户名" + username);
// 根据查找到的用户信息判断用户是否被冻结
return new User(username,"123456",true,true,true,false,AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
//return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
}
这里我们返回一个被冻结的用户,所以我们设置了一个false。
访问一下url,我们会看到返回的是用户已经被冻结。
结果
处理密码加密解密
我们看到,我们之前返回的密码都是明文,其实实际中,我们从数据库中拿到的密码一定是加密过的密码。所以为了解决这个问题,我们要介绍PasswordEncoder这个接口。
public interface PasswordEncoder {
/**
* 对用户密码进行加密
*/
String encode(CharSequence rawPassword);
/**
* 判断加密以后的密码是否和前台传递的密码一样
*/
boolean matches(CharSequence rawPassword, String encodedPassword);
/**
*
*/
default boolean upgradeEncoding(String encodedPassword) {
return false;
}
}
String encode(CharSequence rawPassword);这个方法应该是我们在注册用户时,应用调用的,将用户的密码加密后存储到数据库中。而matches方法应该是SpringSecurity来调用的,他会把返回的UserDetails的密码和前台加密后的密码作一个比对,相同返回true,否则返回false。
这里我们要加一个新的Bean,也就是BCryptPasswordEncoder这个Bean,如下图所示:
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin()
// http.httpBasic()
.and().authorizeRequests()// 表示下面是认证的配置
.anyRequest()// 任何请求
.authenticated();// 都需要身份认证
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}
如果这个时候不对密码加密直接启动应用,会看到以下错误:
密码
所以这里我们为了模拟数据库的密码被加密了,需要对之前写的方法改变一下,注入passwordEncode这个Bean,另外我们对密码作encode,表示我们是从数据库获取的加密后的密码~如下图所示:
加密密码
这时登录成功,但是我们多次登录会发现后台的密码显示的不一样:
这时因为为了防止密码被破解,springSecurity对密码加了盐值,防止同一个密码加密后的数字被破解。所以才会出现这种情况。
