Spring Security 实战干货:用户信息UserDetails相关入门
1. 前言
前一篇介绍了 Spring Security 入门的基础准备。从今天开始咱们来一步步窥探它是如何工做的。咱们又该如何驾驭它。请多多关注公众号: Felordcn 。本篇将经过 Spring Boot 2.x 来说解 Spring Security 中的用户主体UserDetails。以及从中找点乐子。java
2. Spring Boot 集成 Spring Security
这个简直老生常谈了。不过为了照顾大多数仍是说一下。集成 Spring Security 只须要引入其对应的 Starter 组件。Spring Security 不只仅能保护Servlet Web 应用,也能够保护Reactive Web应用,本文咱们讲前者。咱们只须要在 Spring Security 项目引入如下依赖便可:git
<dependencies>
<!-- actuator 指标监控 非必须 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-actuator</artifactId>
</dependency>
<!-- spring security starter 必须 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!-- spring mvc servlet web 必须 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- lombok 插件 非必须 -->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
<optional>true</optional>
</dependency>
<!-- 测试 -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
</dependencies>
复制代码
3. UserDetailsServiceAutoConfiguration
启动项目,访问Actuator端点http://localhost:8080/actuator会跳转到一个登陆页面http://localhost:8080/login以下:web
要求你输入用户名 Username (默认值为user)和密码 Password 。密码在springboot控制台会打印出相似 Using generated security password: e1f163be-ad18-4be1-977c-88a6bcee0d37 的字样,后面的长串就是密码,固然这不是生产可用的。若是你足够细心会从控制台打印日志发现该随机密码是由UserDetailsServiceAutoConfiguration 配置类生成的,咱们就从它开始顺藤摸瓜来一探究竟。spring
3.1 UserDetailsService
UserDetailsService接口。该接口只提供了一个方法:数据库
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
复制代码
该方法很容易理解:经过用户名来加载用户 。这个方法主要用于从系统数据中查询并加载具体的用户到Spring Security中。安全
3.2 UserDetails
从上面UserDetailsService 能够知道最终交给Spring Security的是UserDetails 。该接口是提供用户信息的核心接口。该接口实现仅仅存储用户的信息。后续会将该接口提供的用户信息封装到认证对象Authentication中去。UserDetails 默认提供了:springboot
- 用户的权限集, 默认须要添加
ROLE_前缀 - 用户的加密后的密码, 不加密会使用
{noop}前缀 - 应用内惟一的用户名
- 帐户是否过时
- 帐户是否锁定
- 凭证是否过时
- 用户是否可用
若是以上的信息知足不了你使用,你能够自行实现扩展以存储更多的用户信息。好比用户的邮箱、手机号等等。一般咱们使用其实现类:mvc
org.springframework.security.core.userdetails.User
复制代码
该类内置一个建造器UserBuilder 会很方便地帮助咱们构建UserDetails 对象,后面咱们会用到它。ide
3.3 UserDetailsServiceAutoConfiguration
UserDetailsServiceAutoConfiguration 全限定名为:spring-boot
org.springframework.boot.autoconfigure.security.servlet.UserDetailsServiceAutoConfiguration
复制代码
源码以下:
@Configuration
@ConditionalOnClass(AuthenticationManager.class)
@ConditionalOnBean(ObjectPostProcessor.class)
@ConditionalOnMissingBean({ AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class })
public class UserDetailsServiceAutoConfiguration {
private static final String NOOP_PASSWORD_PREFIX = "{noop}";
private static final Pattern PASSWORD_ALGORITHM_PATTERN = Pattern.compile("^\\{.+}.*$");
private static final Log logger = LogFactory.getLog(UserDetailsServiceAutoConfiguration.class);
@Bean
@ConditionalOnMissingBean(
type = "org.springframework.security.oauth2.client.registration.ClientRegistrationRepository")
@Lazy
public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {
SecurityProperties.User user = properties.getUser();
List<String> roles = user.getRoles();
return new InMemoryUserDetailsManager(
User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
.roles(StringUtils.toStringArray(roles)).build());
}
private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
String password = user.getPassword();
if (user.isPasswordGenerated()) {
logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
}
if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
return password;
}
return NOOP_PASSWORD_PREFIX + password;
}
}
复制代码
咱们来简单解读一下该类,从@Conditional系列注解咱们知道该类在类路径下存在AuthenticationManager、在Spring 容器中存在Bean ObjectPostProcessor而且不存在Bean AuthenticationManager, AuthenticationProvider, UserDetailsService的状况下生效。千万不要纠结这些类干吗用的! 该类只初始化了一个UserDetailsManager 类型的Bean。UserDetailsManager 类型负责对安全用户实体抽象UserDetails的增删查改操做。同时还继承了UserDetailsService接口。
明白了上面这些让咱们把目光再回到UserDetailsServiceAutoConfiguration 上来。该类初始化了一个名为InMemoryUserDetailsManager 的内存用户管理器。该管理器经过配置注入了一个默认的UserDetails存在内存中,就是咱们上面用的那个user ,每次启动user都是动态生成的。那么问题来了若是咱们定义本身的UserDetailsManager Bean是否是就能够实现咱们须要的用户管理逻辑呢?
3.4 自定义UserDetailsManager
咱们来自定义一个UserDetailsManager 来看看能不能达到自定义用户管理的效果。首先咱们针对UserDetailsManager 的全部方法进行一个代理的实现,咱们依然将用户存在内存中,区别就是这是咱们自定义的:
package cn.felord.spring.security;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import java.util.HashMap;
import java.util.Map;
/** * 代理 {@link org.springframework.security.provisioning.UserDetailsManager} 全部功能 * * @author Felordcn */
public class UserDetailsRepository {
private Map<String, UserDetails> users = new HashMap<>();
public void createUser(UserDetails user) {
users.putIfAbsent(user.getUsername(), user);
}
public void updateUser(UserDetails user) {
users.put(user.getUsername(), user);
}
public void deleteUser(String username) {
users.remove(username);
}
public void changePassword(String oldPassword, String newPassword) {
Authentication currentUser = SecurityContextHolder.getContext()
.getAuthentication();
if (currentUser == null) {
// This would indicate bad coding somewhere
throw new AccessDeniedException(
"Can't change password as no Authentication object found in context "
+ "for current user.");
}
String username = currentUser.getName();
UserDetails user = users.get(username);
if (user == null) {
throw new IllegalStateException("Current user doesn't exist in database.");
}
// todo copy InMemoryUserDetailsManager 自行实现具体的更新密码逻辑
}
public boolean userExists(String username) {
return users.containsKey(username);
}
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
return users.get(username);
}
}
复制代码
该类负责具体对UserDetails 的增删改查操做。咱们将其注入Spring 容器:
@Bean
public UserDetailsRepository userDetailsRepository() {
UserDetailsRepository userDetailsRepository = new UserDetailsRepository();
// 为了让咱们的登陆可以运行 这里咱们初始化一个用户Felordcn 密码采用明文 当你在密码12345上使用了前缀{noop} 意味着你的密码不使用加密,authorities 必定不能为空 这表明用户的角色权限集合
UserDetails felordcn = User.withUsername("Felordcn").password("{noop}12345").authorities(AuthorityUtils.NO_AUTHORITIES).build();
userDetailsRepository.createUser(felordcn);
return userDetailsRepository;
}
复制代码
为了方便测试 咱们也内置一个名称为Felordcn 密码为12345的UserDetails用户,密码采用明文 当你在密码12345上使用了前缀{noop} 意味着你的密码不使用加密,这里咱们并无指定密码加密方式你可使用PasswordEncoder 来指定一种加密方式。一般推荐使用Bcrypt做为加密方式。默认Spring Security使用的也是此方式。authorities 必定不能为null 这表明用户的角色权限集合。接下来咱们实现一个UserDetailsManager 并注入Spring 容器:
@Bean
public UserDetailsManager userDetailsManager(UserDetailsRepository userDetailsRepository) {
return new UserDetailsManager() {
@Override
public void createUser(UserDetails user) {
userDetailsRepository.createUser(user);
}
@Override
public void updateUser(UserDetails user) {
userDetailsRepository.updateUser(user);
}
@Override
public void deleteUser(String username) {
userDetailsRepository.deleteUser(username);
}
@Override
public void changePassword(String oldPassword, String newPassword) {
userDetailsRepository.changePassword(oldPassword, newPassword);
}
@Override
public boolean userExists(String username) {
return userDetailsRepository.userExists(username);
}
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
return userDetailsRepository.loadUserByUsername(username);
}
};
}
复制代码
这样实际执行委托给了UserDetailsRepository 来作。咱们重复 章节3. 的动做进入登录页面分别输入Felordcn和12345 成功进入。
3.5 数据库管理用户
通过以上的配置,相信聪明的你已经知道如何使用数据库来管理用户了 。只须要将 UserDetailsRepository 中的 users 属性替代为抽象的Dao接口就好了,不管你使用Jpa仍是Mybatis来实现。
4. 总结
今天咱们对Spring Security 中的用户信息 UserDetails 相关进行的一些解读。并自定义了用户信息处理服务。相信你已经对在Spring Security中如何加载用户信息,如何扩展用户信息有所掌握了。后面咱们会由浅入深慢慢解读Spring Security。相关代码已经上传git仓库,关注公众号Felordcn 后回复ss01 获取demo源码。 后续也能够及时获取更多相关干货教程。
关注公众号:Felordcn或者https://felord.cn获取更多资讯
- 1. Spring Security 实战干货:用户信息UserDetails相关入门
- 2. 获取spring security用户相关信息
- 3. Spring Security 实战干货:SecurityContext相关的知识
- 4. Spring Security 实战干货:如何保护用户密码
- 5. Spring Security 实战干货:图解用户是如何登陆的
- 6. Spring Security 实战干货:图解用户是如何登录的
- 7. Spring Security 实战干货:理解AuthenticationManager
- 8. pring Security 实战干货
- 9. Spring Security 实战干货:图解Spring Security的过滤器体系
- 10. Spring Security入门实战
- 更多相关文章...
- • XML 相关技术 - XML 教程
- • Memcached入门教程 - NoSQL教程
- • NewSQL-TiDB相关
- • Java Agent入门实战(一)-Instrumentation介绍与使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 外部其他进程嵌入到qt FindWindow获得窗口句柄 报错无法链接的外部符号 [email protected] 无法被([email protected]@[email protected]@@引用
- 2. UVa 11524 - InCircle
- 3. The Monocycle(bfs)
- 4. VEC-C滑窗
- 5. 堆排序的应用-TOPK问题
- 6. 实例演示ElasticSearch索引查询term,match,match_phase,query_string之间的区别
- 7. 数学基础知识 集合
- 8. amazeUI 复择框问题解决
- 9. 背包问题理解
- 10. 算数平均-几何平均不等式的证明,从麦克劳林到柯西
- 1. Spring Security 实战干货:用户信息UserDetails相关入门
- 2. 获取spring security用户相关信息
- 3. Spring Security 实战干货:SecurityContext相关的知识
- 4. Spring Security 实战干货:如何保护用户密码
- 5. Spring Security 实战干货:图解用户是如何登陆的
- 6. Spring Security 实战干货:图解用户是如何登录的
- 7. Spring Security 实战干货:理解AuthenticationManager
- 8. pring Security 实战干货
- 9. Spring Security 实战干货:图解Spring Security的过滤器体系
- 10. Spring Security入门实战