上一篇讲了springSecurity的简单入门的小demo,认证用户是在xml中写死的。今天来说一下自定义认证,读取数据库来实现认证。当然,也是非常简单的,因为仅仅是读取数据库,权限是写死的,因为相对简单,没几个角色,就直接写死了。

还有就是加密,使用的是框架自带的   BCryptPasswordEncoder   加密方法。存在数据库的用户密码也是通过这个类加密,然后登陆的时候也是通过这个类验证,需要在xml中配置下就ok。

简单说一下这个加密类。比md5更加的高级。

加密分为  :

可逆(秘钥)

不可逆(哈希算法)(BCryptPasswordEncoder 和md5 都属于 )

理论上md5是不可逆的,但是其实上是可以破解的,如果不想被破解,可以采用加盐的方法,BCryptPasswordEncoder就是自己生成随机盐,即使密码一样得到的加密后的密码也不一样,这大大增加了破解的难度。

大体步骤:

自己写一个类实现   UserDetailsService  这个接口  ,实现一个方法,最主要是返回一个User对象,这个对象是框架提供的。具体看代码。

然后将这个自定义的类在xml中配置一下,就是说原来写死的用户信息删除掉,采用这个类来验证。 就ok  非常简单

UserDetailsServiceImpl.java    // 认证类

package com.pinyougou.service;

import com.pinyougou.pojo.TbSeller;

import com.pinyougou.sellergoods.service.SellerService;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.authority.SimpleGrantedAuthority;

import org.springframework.security.core.userdetails.User;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import java.util.ArrayList;

import java.util.List;

/**

 * 认证类

 * @author Administrator

 *

 */

public class UserDetailsServiceImpl implements UserDetailsService {

    private SellerService sellerService;

    public void setSellerService(SellerService sellerService) {

        this.sellerService = sellerService;

    }

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        System.out.println("经过了UserDetailsServiceImpl");

        //构建角色列表

        List<GrantedAuthority> grantAuths=new ArrayList();

        grantAuths.add(new SimpleGrantedAuthority("ROLE_SELLER"));

        //得到商家对象

        TbSeller seller = sellerService.findOne(username);

        if(seller!=null){

            if(seller.getStatus().equals("1")){

                return new User(username,seller.getPassword(),grantAuths);

            }else{

                return null;

            }

        }else{

            return null;

        }

    }

}

spring-security.xml       // 配置文件

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"

    xmlns:beans="http://www.springframework.org/schema/beans"

    xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd

                        http://code.alibabatech.com/schema/dubbo http://code.alibabatech.com/schema/dubbo/dubbo.xsd

                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 设置页面不登陆也可以访问 -->

    <http pattern="/*.html" security="none"></http>

    <http pattern="/css/**" security="none"></http>

    <http pattern="/img/**" security="none"></http>

    <http pattern="/js/**" security="none"></http>

    <http pattern="/plugins/**" security="none"></http>

    <http pattern="/seller/add.do" security="none"></http>

    <!-- 页面的拦截规则    use-expressions:是否启动SPEL表达式 默认是true -->

    <http use-expressions="false">

        <!-- 当前用户必须有ROLE_USER的角色 才可以访问根目录及所属子目录的资源 -->

        <intercept-url pattern="/**" access="ROLE_SELLER"/>

        <!-- 开启表单登陆功能 -->

        <form-login  login-page="/shoplogin.html" default-target-url="/admin/index.html" authentication-failure-url="/shoplogin.html" always-use-default-target="true"/>

        <csrf disabled="true"/>

        <headers>

            <frame-options policy="SAMEORIGIN"/>

        </headers>

        <logout/>

    </http>

    <!-- 认证管理器 -->

    <authentication-manager>

        <authentication-provider user-service-ref="userDetailService">

            <password-encoder ref="bcryptEncoder"></password-encoder>

        </authentication-provider>

    </authentication-manager>

    <!-- 自定义认证类 -->

    <beans:bean id="userDetailService" class="com.pinyougou.service.UserDetailsServiceImpl">

        <beans:property name="sellerService" ref="sellerService"></beans:property>

    </beans:bean>

    <!-- 引用dubbo 服务 因为认证类需要用到这个服务,但是这个服务是在dubbo中的,远程的,所以需要采用这种方法来引入,不能

     在向以前那样直接spring注解的方法引入了,切记。-->

    <dubbo:application name="pinyougou-shop-web" />

    <dubbo:registry address="zookeeper://47.98.157.114:2181"/>

    <dubbo:reference id="sellerService" interface="com.pinyougou.sellergoods.service.SellerService"></dubbo:reference>

    <!--加密类-->

    <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></beans:bean>

</beans:beans>
												


											
springSecurity自定义认证配置的更多相关文章
	

    
								
  1. SpringSecurity——基于Spring、SpringMVC和MyBatis自定义SpringSecurity权限认证规则
		
    本文转自:https://www.cnblogs.com/weilu2/p/springsecurity_custom_decision_metadata.html 本文在SpringMVC和MyBa ...
    
		
    2. 
						
  2. 【Spring Security】六、自定义认证处理的过滤器
		
    这里接着上一章的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程.在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为Usern ...
    
		
    3. 
						
  3. JavaWeb-SpringSecurity自定义登陆配置
		
    系列博文 项目已上传至guthub 传送门 JavaWeb-SpringSecurity初认识 传送门 JavaWeb-SpringSecurity在数据库中查询登陆用户 传送门 JavaWeb-Sp ...
    
		
    4. 
						
  4. SpringSecurity 自定义用户 角色 资源权限控制
		
    SpringSecurity 自定义用户 角色 资源权限控制 package com.joyen.learning.security; import java.sql.ResultSet; impor ...
    
		
    5. 
						
  5. SpringSecurity 自定义表单登录
		
    SpringSecurity 自定义表单登录 本篇主要讲解 在SpringSecurity中 如何 自定义表单登录 , SpringSecurity默认提供了一个表单登录,但是实际项目里肯定无法使用的 ...
    
		
    6. 
						
  6. SpringSecurity之认证
		
    SpringSecurity之认证 目录 SpringSecurity之认证 1. 盐值加密 1. 原理概述 2. 使用说明 1. 加密 2. 认证 1. 页面成功跳转的坑 2. 使用验证码校验的坑  ...
    
		
    7. 
						
  7. SpringSecurity自定义注解和处理器
		
    登录功能 添加一个配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Reso ...
    
		
    8. 
						
  8. ocelot 自定义认证和授权
		
    ocelot 自定义认证和授权 Intro 最近又重新启动了网关项目,服务越来越多,每个服务都有一个地址,这无论是对于前端还是后端开发调试都是比较麻烦的,前端需要定义很多 baseUrl,而后端需要没 ...
    
		
    9. 
						
  9. asp.net core 自定义认证方式--请求头认证
		
    asp.net core 自定义认证方式--请求头认证 Intro 最近开始真正的实践了一些网关的东西,最近写几篇文章分享一下我的实践以及遇到的问题. 本文主要介绍网关后面的服务如何进行认证. 解决思 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. jvm系列(八):jvm知识点总览
			
    在江湖中要练就绝世武功必须内外兼备,精妙的招式和深厚的内功,武功的基础是内功.对于武功低(就像江南七怪)的人,招式更重要,因为他们不能靠内功直接去伤人,只能靠招式,利刃上优势来取胜了,但是练到高手之后 ...
    
			
    2. 
						
  2. Spring+SpringMVC+MyBatis整合基础篇
			
    基础篇 Spring+SpringMVC+MyBatis+easyUI整合基础篇(一)项目简介 Spring+SpringMVC+MyBatis+easyUI整合基础篇(二)牛刀小试 Spring+S ...
    
			
    3. 
						
  3. 01.如何把.py文件打包成为exe,重点讲解pyinstaller的用法
			
    1.应用场景 1.1 故事背景 我自己用python写了一个小程序发给其他同事用,给他的就是一个.py文件,不过他觉得比较麻烦,还要安装环境,他问我有没有简单一点的方式,我给一个exe文件,他就不用安 ...
    
			
    4. 
						
  4. Microsoft Dynamics CRM 增删改子表汇总子表的某个字段到主表的某个字段(通用插件)
			
    背景 经常有某个汇总子表的数量到主表的总数量,或者汇总子表的总价到主表的总价这种需求. 传统的做法: 1.就是为每个子表实体单独写成一个插件,但是这样不好复用. 2.主表的汇总字段是汇总货币类型,但是 ...
    
			
    5. 
						
  5. 开源微信Http协议Sdk【实现登录/获取好友列表/修改备注/发送消息】
			
    基于微信Http协议封装的一个Sdk,目前实现了以下功能:. 1:扫码登录(检测二维码扫描状态) 2:获取最近联系人.群组.所有联系人 3:修改好友备注 4:给好友发送消息 暂且这么多,也没多余的时间 ...
    
			
    6. 
						
  6. pandas 初识(一)
			
    基本内容 Series: Series 是有一组数据(numpy的数据类型 numpy.ndarray)以及一组数据标签(即索引)组成,可以看成一个一个定长的有序字典(索引值到数据值的一个映射) ob ...
    
			
    7. 
						
  7. Unity接入监控摄像头
			
    公网RTSP测试地址: rtsp://184.72.239.149/vod/mp4://BigBuckBunny_175k.mov RTSP测试软件: EasyPlayerRTSP: https:// ...
    
			
    8. 
						
  8. 【MAVEN】Missing artifact jdk.tools:jdk.tools:jar:1.6   eclipse
			
    搭建开发环境,遇到问题 : IDE 使用 eclipse 公司的项目用Maven管理,从git上拿下来代码后开始build后:    提示    [missing artifact jdk.tools ...
    
			
    9. 
						
  9. commitizen和cz-customizable配置git commit message
			
    起因 团队对提交的commit message格式有约定俗称的要求,但是没有一个统一的规范,导致大家提交的commit message或多或少不太一样.因此,需要一个工具来帮助大家统一commit m ...
    
			
    10. 
						
  10. Android webview背景设置为透明无效 拖动时背景闪烁黑色
			
    Adndroid 2.X的设置 webview是一个使用方便.功能强大的控件,但由于webview的背景颜色默认是白色,在一些场合下会显得很突兀(比如背景是黑色). 此时就想到了要把webview的背 ...
    
			
    11.