前面做了多个示例,包括使用jdbc和hibernate两种方式访问数据库获取用户信息和权限信息,其中一些关键步骤如下:
 
我们在SecurityConfig中配置覆盖configure方法时候,可以指定authenticationProvider,也可以不需要指定,直接指定userDetailsService。例如:

@Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        authenticationProvider.setPasswordEncoder(passwordEncoder());

        auth.authenticationProvider(authenticationProvider);

        //auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());

    }
如果没有指定authenticationProvider,则security使用的是实现类DaoAuthenticationProvider。
如果指定自定义的authenticationProvider,为了方便,我们自定义的authenticationProvider也是继承自DaoAuthenticationProvider,只需要重写指定userDetailsService,authenticate方法,例如:
@Autowired

    @Qualifier("userDetailsService")

    @Override

    public void setUserDetailsService(UserDetailsService userDetailsService) {

        super.setUserDetailsService(userDetailsService);

    }

@Override

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        try {

            //调用上层验证逻辑

            Authentication auth = super.authenticate(authentication);

            //如果验证通过登录成功则重置尝试次数, 否则抛出异常

            userDetailsDao.resetFailAttempts(authentication.getName());

            return auth;

        } catch (BadCredentialsException e) {

            //如果验证不通过,则更新尝试次数,当超过次数以后抛出账号锁定异常

            userDetailsDao.updateFailAttempts(authentication.getName());

            throw e;

        } catch (LockedException e){

            //该用户已经被锁定,则进入这个异常

            String error;

            UserAttempts userAttempts =

                    userDetailsDao.getUserAttempts(authentication.getName());

            if(userAttempts != null){

                Date lastAttempts = userAttempts.getLastModified();

                error = "用户已经被锁定,用户名 : "

                        + authentication.getName() + "最后尝试登陆时间 : " + lastAttempts;

            }else{

                error = e.getMessage();

            }

            throw new LockedException(error);

        }

    }








在此方法中,仍然调用的是上层验证方法super.authenticate();在这里可以根据不同的验证异常抛出不同的异常,从而显示不同的用户账号状态,例如用户被锁定、用户失效、账号或者密码过期等,这里例子是多次登录失败锁定了用户。




 


下面我们看看security是如何验证账号的:


验证逻辑实现是在类AbstractUserDetailsAuthenticationProvider,此类实现了接口AuthenticationProvider的接口方法






Authentication authenticate(Authentication authentication)  throws AuthenticationException;




实现方法中首先获取security定义的接口UserDetails,先从缓存userCache中获取,如果不存在,则调用方法retrieveUser。




retrieveUser的方法实现是在类DaoAuthenticationProvider,这个方法中可以看到






UserDetails loadedUser;

        try {

            loadedUser = this.getUserDetailsService().loadUserByUsername(username);

        }

        catch (UsernameNotFoundException notFound) {

            if (authentication.getCredentials() != null) {

                String presentedPassword = authentication.getCredentials().toString();

                passwordEncoder.isPasswordValid(userNotFoundEncodedPassword,

                        presentedPassword, null);

            }

            throw notFound;

        }

.....




此处调用的是自定义的UserDetailsService中loadUserByUsername方法。于是可以看出自定义的UserDetailsService实现类关键是实现loadUserByUsername方法。




 


下面就两种方式的实现进行剖解:


1、使用jdbc方式时,我们自定义的UserDetailsService是继承了类JdbcDaoImpl,可以发现JdbcDaoImpl已经实现了接口UserDetailsService,实现了方法loadUserByUsername。


在实现方法中,关键是调用自己定义的两个方法loadUsersByUsername和createUserDetails。于是自定义的CustomUserDetailsService类只需要覆写这两个方法即可






@Override

    protected List<UserDetails> loadUsersByUsername(String username) {

        return getJdbcTemplate().query(super.getUsersByUsernameQuery(), new Object[]{username},

                (rs, rowNum) -> {

                    String username1 = rs.getString("username");

                    String password = rs.getString("password");

                    boolean enabled = rs.getBoolean("enabled");

                    boolean accountNonExpired = rs.getBoolean("accountNonExpired");

                    boolean credentialsNonExpired = rs.getBoolean("credentialsNonExpired");

                    boolean accountNonLocked = rs.getBoolean("accountNonLocked");

                    return new User(username1, password, enabled, accountNonExpired, credentialsNonExpired,

                            accountNonLocked, AuthorityUtils.NO_AUTHORITIES);

                });

    }

    @Override

    protected UserDetails createUserDetails(String username, UserDetails userFromUserQuery, List<GrantedAuthority> combinedAuthorities) {

        String returnUsername = userFromUserQuery.getUsername();

        if (!super.isUsernameBasedPrimaryKey()) {

            returnUsername = username;

        }

        return new User(returnUsername, userFromUserQuery.getPassword(),

                userFromUserQuery.isEnabled(),

                userFromUserQuery.isAccountNonExpired(),

                userFromUserQuery.isCredentialsNonExpired(),

                userFromUserQuery.isAccountNonLocked(), combinedAuthorities);

    }




在这里我们根据需要指定各个值,例如用户名,密码,是否可用,账号和密码是否过期,是否账号被锁等,所以如果已经设计完成的数据表中字段名称不一致也没有关系,只要含义相同,获取值指定即可。






2、使用hibernate方式时,需要自己实现UserDetailsService接口中的方法loadUserByUsername:






@Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = userDao.findByUserName(username);

        if (user == null) {

            throw new UsernameNotFoundException("该用户不存在:" + username);

        }

        List<GrantedAuthority> authorities =  buildUserAuthority(user.getUserRole());

        return buildUserForAuthentication(user, authorities);

    }

    // 把自定义的User转换成org.springframework.security.core.userdetails.User

    private org.springframework.security.core.userdetails.User buildUserForAuthentication(

            User user,

            List<GrantedAuthority> authorities) {

        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),

                user.isEnabled(), user.isAccountNonExpired(), user.isCredentialsNonExpired(), user.isAccountNonLocked(), authorities);

    }

    private List<GrantedAuthority> buildUserAuthority(Set<UserRole> userRoles) {

        Set<GrantedAuthority> setAuths = new HashSet<>();

        // Build user's authorities

        for (UserRole userRole : userRoles) {

            setAuths.add(new SimpleGrantedAuthority(userRole.getRole()));

        }

        return new ArrayList<>(setAuths);

    }




在方法中使用hibernate的方式获取自定义的User实例,然后转换成security中的org.springframework.security.core.userdetails.User即可,org.springframework.security.core.userdetails.User是接口UserDetails的实现类。






 


附上所有示例的代码的github地址: https://github.com/hongxf1990/spring-security-learning 


 


嘿嘿,如果觉得以上实例项目中可以借鉴的话,不妨打个赏吧


                     


 


 


												


											
spring security使用数据库验证的逻辑处理的更多相关文章
	

    
								
  1. spring security结合数据库验证用户-XML配置方式
		
    之前的用户信息我们都是使用的内存用户,测试例子可以,实际中使用肯定不行,需要结合数据库进行验证用户.这就是本节的重点: 项目目录如下:  在之前的项目中的依赖中添加两个依赖: <dependen ...
    
		
    2. 
						
  2. spring security结合数据库验证用户-注解方式
		
    项目目录结构如下: 首先数据库的建立和数据导入,以及一些类的依赖参考XML配置方式,需要修改一些配置. 一.在AppConfig文件中添加DataSource的配置 @Bean(name = &quo ...
    
		
    3. 
						
  3. spring security关闭http验证 和 springboot 使用h2数据库
		
    spring security关闭http验证 最近在跑demo的过程中,访问swagger页面的时候需要验证登录,记得在之前写的代码中是关闭了security验证,无需登录成功访问,直接在appli ...
    
		
    4. 
						
  4. Spring Security 概念基础 验证流程
		
    Spring Security 概念基础 验证流程 认证&授权 认证:确定是否为合法用户 授权:分配角色权限(分配角色,分配资源) 认证管理器(Authentication Manager)  ...
    
		
    5. 
						
  5. 自定义Spring Security的身份验证失败处理
		
    1.概述 在本快速教程中,我们将演示如何在Spring Boot应用程序中自定义Spring Security的身份验证失败处理.目标是使用表单登录方法对用户进行身份验证. 2.认证和授权(Authe ...
    
		
    6. 
						
  6. spring boot系列--spring security (基于数据库)登录和权限控制
		
    先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 publ ...
    
		
    7. 
						
  7. Spring Security在登录验证中增加额外数据(如验证码)
		
    在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码.用户类型等.下面将介绍如何实现. 注:我的工程是在Spring Boot框架基础上的, ...
    
		
    8. 
						
  8. Spring Security使用数据库数据完成认证--练气后期2
		
    写在前面 没错,这篇文章还是练气后期!但作者我相信筑基指日可待! 在前一篇文章当中,我们简单地分析了一下Spring Security的认证流程,知道了如果想要实现对自己用户数据(账户.角色.权限)的 ...
    
		
    9. 
						
  9. spring security使用数据库资源
		
    国内对权限系统的基本要求是将用户权限和被保护资源都放在数据库里进行管理,在这点上Spring Security并没有给出官方的解决方案,为此我们需要对Spring Security进行扩展.. 数据库 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Asynchronous HTTP Requests in Android Using Volley
			
    Volley是Android开发者新的瑞士军刀,它提供了优美的框架,使得Android应用程序网络访问更容易和更快.Volley抽象实现了底层的HTTP Client库,让你不关注HTTP Clien ...
    
			
    2. 
						
  2. ArcGIS Runtime SDK for iOS开发系列教程(5)——要素信息的绘制
			
    在客户端绘制点.线.面要素是GIS应用的基本功能,这一讲我将向大家介绍在iOS中如何来实现这一功能.大家都知道在Flex.Silverlight.js中对于要素的绘制都有一个叫GraphicsLaye ...
    
			
    3. 
						
  3. Vue入门之旅:一报错 Unknown ... make sure to provide the "name" option及error compiling template
			
    报错一: Unknown custom element: <custom-select> - did you register the component correctly? For r ...
    
			
    4. 
						
  4. lookcss在深夜23:32开通
			
    CSS在深夜23:32开通 话说 哥也耐不住寂寞搞个网站玩玩.顺便记录一些生活和学习和工作和思想和神马的点点滴滴~ 好吧 ~本来想起个名字叫涉趣.谁知道百度了一下,已经有人叫这个名字了,杯具,貌似还是 ...
    
			
    5. 
						
  5. Word Formation
			
    构词 Word Formation 1.派生Derivation 2.合成Compounding 3.截短Clipping 4.混合Blending 1派生Derivation 1).前缀 除少数英语 ...
    
			
    6. 
						
  6. Powershell实现Telnet Port
			
    Telnet Port 脚本 $servers = get-content D:\ps\ServerIPAddress.TXT $portToCheck = '80' for($i=1;$i -le  ...
    
			
    7. 
						
  7. qmake make install
			
    一般的qmake生成的Makefile是没有 make install的 方法: 在.pro中做文章 比如你要安装libEbookDataBase.so*到目录 /usr/local/lib .pro ...
    
			
    8. 
						
  8. Character Sets, Collation, Unicode :: utf8_unicode_ci vs utf8_general_ci
			
    w Hi, You can check and compare sort orders provided by these two collations here: http://www.collat ...
    
			
    9. 
						
  9. 实践中需要了解的cpu特性
			
    目录 分段机制 特权级检查 GDT和LDT 堆栈切换 分页机制 中断 分段机制 实模式中cs是一个实实在在的段首地址,ip为cs所指向段的偏移,所以cs<<4+ip是当前cpu执行的指令. ...
    
			
    10. 
						
  10. <2014 08 29> MATLAB的软件结构与模块、工具箱简示
			
    MATLAB的系统结构:三个层次.九个部分 ----------------------------------- 一.基础层 是整个系统的基础,核心内容是MATLAB部分. 1.软件主包MATLAB ...
    
			
    11.