自定义Spring Security的用户认证逻辑-蒲公英云

自定义Spring Security的用户认证逻辑

末蓝、 2023-02-21 11:45 92阅读 0赞

微信公众号：Java患者

专注Java领域技术分享

前言

    在我们上篇中，用户的用户名是固定的，密码也是由框架为我们生成的，那么我们实际场景中，用户的登录信息应该是从数据库中读取的。
    Spring Security中自定义用户认证的相关逻辑包含三部分，如何处理用户信息获取、如何处理用户校验、如何处理密码加密解密。

如何处理用户信息获取

在Spring Security中获取用户信息是被封装在一个叫UserDetailsService的接口里面的，他只有一个方法，这个方法会根据用户名去我们的存储中读取用户信息，并封装成UserDetails的类返回。Spring Security就会拿到这个用户信息去做认证处理。

下面我们来实现这个接口，来看一下效果。

@Component
public class MyUserDetailsService implements UserDetailsService {
    private Logger logger = LoggerFactory.getLogger(getClass());
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名查找用户信息
        logger.info("登录用户名："+username);
        // 返回Spring Security提供的user对象
        return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

在我们实际开发中，这个操作是读取数据库的，这里我们就简写一下即可。返回的User对象构造方法要提供三个参数。第一个参数和第二个参数是用来做认证的，第三个参数就是我们给这个用户的授权用的。

我们来启动服务，在登录页面上随便输一个用户名和密码。由于我们前面返回的UserDetails对象密码是设置“123456”，这个时候登录操作是失败的，只有输入正确的密码才能访问问我们的服务。

format_png

如何处理用户校验逻辑

    用户的校验逻辑包括密码是否匹配和其他一些校验，比如用户是否被冻结，下面我们来模拟用户被冻结。
    UserDetails接口封装了Security登录的所有信息以及提供一些校验逻辑的方法。由于我们为了方便，使用Spring Security提供的User对象模拟，在我们实际开发中也可以自定义用于实体，去实现这个接口，根据业务来做出不同的校验。
    boolean isAccountNonExpired();  // 账号没有过期
    boolean isAccountNonLocked();  // 账户是不是锁定的，返回false也就是冻结
    boolean isCredentialsNonExpired();  // 密码是不是过期
    boolean isEnabled();  // 账号是不是可用，也就是账户是否被删除了
    只要把这4个方法其中的一个返回值设置成为false，我们的登录就不会过了。
// 根据查找的用户信息判断用户是否被冻结
  // 使用7个工作参数的函数
    return new User(username, "123456",
      true, true, true, false,
        AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));

format_png 1

如何处理密码的加密与解密

在我们实际中，我们不会把密码直接存进数据库中，而是先把密码进行加密操作在存入。Spring Security来加密与解密是由PasswordEncoder接口提供的，在这个接口里面有2个方法，encode和matches。encode是在用户注册的时候，往数据库存数据之前，由我们来调用的，可以对密码进行加密。matches是Spring Security自己调用的，他可以把拿到返回的UserDetails里面的password跟用户在登录时候输入的密码进行匹配，如果匹配上是返回true，匹配不上就会抛出异常，在页面显示错误信息。

下面我们在配置类中来配置一个PasswordEncoder，为了方便，我们就直接返回有框架提供的PasswordEncoder，我们也可以自己去自定义。

@Bean
  public PasswordEncoder passwordEncoder() {
      return new BCryptPasswordEncoder();
  }
wo'm

并且在UserDetailsService返回加密后的密码

@Autowired
  private PasswordEncoder passwordEncoder;
  @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      // 返回加密后的密码
      return new User(username, passwordEncoder.encode("123456"),
              true, true, true, false,
              AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
  }

此外，同一个密码，使用Spring Security提供的PasswordEncoder加密得到的密文是不同的，他会随机生成salt，并且混在加密后的结果中。在判断时候会拿到密文中的salt，反推出明文。这样可以避免多个相同的密码时候，有一个密码被破解了，其他的相同密码也会跟着泄露的问题。主要是它的强大之处。