码迷,mamicode.com
首页 > 编程语言 > 详细

springsecurity简单用过后的一些笔记

时间:2018-04-11 15:06:39      阅读:290      评论:0      收藏:0      [点我收藏+]

标签:来源   登陆   构造   下一步   success   sys   vendor   判断   enabled   

 

Spring Security认证是由 AuthenticationManager 来管理的,但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider。AuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentication-provider 元素来定义一个 AuthenticationProvider 时,如果没有指定对应关联的 AuthenticationProvider 对象,Spring Security 默认会使用 DaoAuthenticationProvider。DaoAuthenticationProvider 在进行认证的时候需要一个 UserDetailsService 来获取用户的信息 UserDetails,其中包括用户名、密码和所拥有的权限等。所以如果我们需要改变认证的方式,我们可以实现自己的 AuthenticationProvider;如果需要改变认证的用户信息来源,我们可以实现 UserDetailsService。

 

 

1.实现UserDetailsService 接口

CustomUserDetailsService类: 

package cn.lger.security;


import cn.lger.dao.UserDao;
import cn.lger.entity.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import java.util.ArrayList;
import java.util.List;

public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private  UserDao userDao;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userDao.findByUsername(username);
        if(user == null){
            throw new UsernameNotFoundException("not found");
        }
        List<SimpleGrantedAuthority> authorities = new ArrayList<SimpleGrantedAuthority>();
        authorities.add(new SimpleGrantedAuthority(user.getRole()));
        System.err.println("username is " + username + ", " + user.getRole());
        return new org.springframework.security.core.userdetails.User(user.getUsername(),
                user.getPassword(), authorities);
    }

}

在下面的configure(AuthenticationManagerBuilder auth) 方法中添加这个UserDetailsService 

SecurityConfig类:

package cn.lger.config;

import cn.lger.security.CustomUserDetailsService;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        return new CustomUserDetailsService();
    }


    @Override  
    protected void configure(AuthenticationManagerBuilder auth)  
            throws Exception {  
        auth
                .userDetailsService(userDetailsService())
                .passwordEncoder(new BCryptPasswordEncoder());
    }  
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .antMatchers("/css/**","/js/**","/img/**","/vendors/**").permitAll()
                .anyRequest().permitAll()
                .and()
            .formLogin()
                .defaultSuccessUrl("/user/list")
                .permitAll()
                .and()
            .logout()
                .permitAll()
                .and()
                .csrf().disable();
    }
  
}

这里虽然是给AuthenticationManagerBuilder这个构造类来添加的UserDetailsService 而不是真正的AuthenticationManager这个类,但是经过我尝试过断点调试,在启动阶段就会进入断点,断点的调试结果如下:

刚开始进入我们自己写的安全配置类SecurityConfig的父类WebSecurityConfigurerAdapter的init(final WebSecurity web)这个方法

技术分享图片

断点的位置会调用getHttp()这个方法,然后我们下一步进入这个方法的内部看看,如下图:

技术分享图片

这里断点位置我已经看到AuthenticationManager这个类的一个对象的构建了,然后继续进入authenticationManager()这个方法内部看看,这个AuthenticationManager对象是如何构建的:

技术分享图片

进来先判断AuthenticationManager这个类是不是已经初始化一个对象了了,如果初始化了就直接返回AuthenticationManager的对象,否则就调用configure(AuthenticationManagerBuilder auth)这个方法,因为SecurityConfig这个类重写了WebSecurityConfigurerAdapter这个类原本的configure(AuthenticationManagerBuilder auth)的这个方法,所以运行到下一个断点会到SecurityConfig类的configure(AuthenticationManagerBuilder auth)方法上:

技术分享图片

这样就在构建AuthenticationManager类的实例前给它提供了一个UserDetailsService实例,这样DaoAuthenticationProvider 就可以通过这个实例里面的loadUserByUsername(String username)(这个方法需要我们自己实现)获取一个UserDetails的实例,并且我实验过,这个loadUserByUsername(String username)方法会在我们登陆认证的时候起作用,若果我们登陆成功就会返回一个UserDetails的实例,这个UserDetails的实例中包含了用户的用户名,密码和权限(权限是一个set,说明可以支持一个用户多个角色)

springsecurity简单用过后的一些笔记

标签:来源   登陆   构造   下一步   success   sys   vendor   判断   enabled   

原文地址:https://www.cnblogs.com/OZX143570/p/8794535.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!