若依框架中spring security的完整认证流程,及其如何使用自定义用户表进行登录认证,学会轻松实现二开,嘎嘎赚块乾

1)熟悉之前的SysUser登录流程

过滤器链验证配置

image-20241017111904840

这里security过滤器链增加了前置过滤器链jwtFilter

该过滤器为我们自定义的,每次请求都会经过jwt验证

ok我们按ctrl alt B跳转过去来看下

首先会获取登录用户LoginUser

image-20241017113638559

内部通过header键,获取token,再将自定义前缀Bearer替换为空获得jwtToken

以上自定义的header键和token前缀都为配置类里配置并且通过@Value注入

image-20241017115449674

总体流程

前端的request-Hearder->Authentication:Bear erzcxvgGDS234…-> erzcxvgGDS234.-> login_user_key:用户uuid ->login_tokens->LoginUser

image-20241017115620338

由于刚登录,LoginUser为空,直接放行,然后遇到刚才设置的security白名单permitAll继续放行,来到我们的login接口

image-20241017120022538

authenticate调用后跳转到如下的loadUserByUserName方法

传入的String username为前面authenticationToken里的username

UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password);

image-20241017120155470

1.数据库查用户,判断存不存在,然后密码passwordService.validate(user);验证。 (大概就是字节数组长度比较及其内部每个元素的比较,如果一个不一致则匹配错误)

image-20241017121240227

image-20241017121431171

根据用户输入的密码进行加密(应该和md5比对差不多。和数据查出来,以下为不详细的解释,不想看可以跳过

image-20241017123334601

image-20241017123643792

(按位或,00为0,01为1 一个不为0则为该值 一票否决

异或 aa为0 ,ab为1,二者不一致则为1,一票否决

右移原理

1.有符号右移,32位补码二进制(为什么是补码?计算机存负数没有负号标识’-',使用取反0,变1,1变0,然后+1获得补码,而整数补码,原码,反码全一一样) 最右边砍掉一个,然后最左边也就是高位,根据正数补0,负数补1,

例子

-4 的原码为 00000000 00000000 00000000 00000100

反码为 11111111 11111111 11111111 11111011

补码为 11111111 11111111 11111111 11111100

无符号右移>>>31位 只剩下一个1,左侧始终补0 有符号则负1正0 所以结果为1 因此所有负数无符号右移,结果都为1 i*1得i本身,indexB等于i,在数组ab里相同下标进行异或比较 结果我们称之为Z,

a[],b[]异或的结果Z再与result值按位或

如果在前面的lenA-lenB不为0,那么为其长度的差值result,此时再与Z按位或的结果 结果不为0,假设result=lenA-lenB=1. 1|3(a[]^b[]) 结果为3.

也就是相当于监听,数组里的元素 异或结果是否一致,一致为0,同时长度必须一致,否则按位或结果不为0,一旦长度还是数组元素内容不一致,那么result会不为0,此时最终结果result==0为false,密码错误

补充

异或在没有进位的情况下可以看作加法

加法示例

  • 01 异或10 = 1+ 2 =3,在二进制中为 11,产生了进位。

异或示例

  • 01 ^ 01 = 01 不能看作1+1=2,没有进位

image-20241017150442312

ok如果这一步没有抛出密码错误异常 或者重试次数超出异常,就可以根据我们的自定义SysUser实体进行创建security登录实体了,这里的permission为数据库多表查询的权限集合,不多说了,之前文章有提及

image-20241017150624667

将其以UserDetails类型存到authentication里的principal里,然后进行token创建

你会不会好奇,为什么authenticate就能到UserServiceImpl的loadUserByusername方法呢?然后为什么他最后返回的值明明是LoginUser(多态类型为接口类型UserDetails) 但是却是以authentication的principal接收的?

让我们来看下AuthenticationManager.authenticate做了什么,先看下一张网上摘下来的流程图

进入usernamePasswordAuthenticationFilter也就是自带的那个链,这里我们使用了自定义的过滤器(原版的有局限性好像),LoginService

封装前端用户提交的用户名和密码到实现了Authentication的UsernamePasswordAuthenticationToken里,username和password

也就是这个

image-20241017153618354

2.然后将其放进入了上下文

image-20241017153646205

3.然后将实现了Authentication的UsernamePasswordAuthenticationToken这个玩意作为形参调用AuthenticationManager的authenticate方法

图中说明是调用了一群Provider中的authenticate进行认证

image-20241017153819495

就这一步迷迷糊糊的对吧,我们来看下这个Manager到底是什么,

4.剖析AuthenticationManager

image-20241017155519778

注入的?,说明搁哪个config配置类里的@Bean藏着呢,在config包下

image-20241017155926066

new了一个Daoprovider 这里传入了一个 userDetailService和设置了密码认证方式

image-20241017161038052

image-20241017161133150

最后new了一个ProviderManger将这个Dao传入,和图片的流程一样

image-20241017161620694

也就是说我们authenticate的调用这个ProviderManager管理器里的provides的方法 AuthenticationManager就是一个接口,一个规范而已,

好家伙BYD吐槽一下 这里面的套路,以后这种接口都是假的,直接找谁实现他的就行,真正干活的在那个哥们身上

provider管理器调用了我们传入的daoProvider的authenticate方法

我们来找找authenticate,不过DaoAuthentProvider上没有这个authenticate,在他的爸爸那里

image-20241017162958650

image-20241017162742247

他会去调用一个叫retriveUSER的方法,多传了一个username和我们前端发来的那个usernamePasswordToken…卧槽,这名字真特么长都不想打了,泪目了

image-20241017163013316

byd又搞了一个抽象方法,由刚才的DaoAuthentProvider实现, 好家伙跑来跑去的,贼难受(目前功力不够,不太清楚这样做的目的,强制子类实现的一种接口?)

image-20241017163147755

先搞了一个prepareTimingAttach 顾名思义防止时间攻击,不看了,看下面的

byd终于看到他们的联系了,调用刚才set进来的自定义验证器的load…方法,由我们自己重写实现,然后返回一个UserDetails给authenticate调用

这里也是我一开始开始出现疑惑的地方,就是为什么authenticate调用loadByuserName后返回的UserDetails用的是authentication接收的

image-20241017164047470

这里在retrieve取回 user的时候还进行了一个确认用户名和查看缓存,事无巨细了属于是

image-20241017164303234

image-20241017164524747

然后将这个loadUser出来的user进行预校验,具体就是,new一个校验对象,然后身上的一个check方法调用userDetails自身需实现的isAccount。。is…方法,为什么这里不直接user.isxx调用呢

然后又additionalAuthenticationChecks 额外的检查,用到了刚才传进去的密码校验器

image-20241017164814226

catch部分我们就不看了,算了还是看一下吧

又校验了一次,不过必须是前面从缓存拿到的的才行,否则用我们之前的retrieve其值为false,相当于一个名刀 (第二条命)

image-20241017170010639

然后提交校验,查看密码凭证是否过期,又自定义属性类的实现决定image-20241017170426898

image-20241017170628359

最后的最后!

image-20241017171540645

image-20241017171553137

这个crentials目前不指定在哪会用到,这个authorities在下次jwt过滤器会进行设置,

image-20241017172433259

okok此时我们终于搞清楚了authenticate返回值及其工作大概原理了,

继续往下

image-20241017172815970

image-20241017172808173

image-20241017173009390

一个是创建jwt token字符串,一个是给他干到redis里

login_user_key:uuid (map)->作为claims + 私钥+ 算法 压成一个token字符串 前面好像说过了sorry

image-20241017173143760

image-20241017173610479

登录时间,过期时间,这里的getToken为前面随机生成的uuid,然后getTokenKey在这个uuid前再拼一个用户uuid,那个LoginUser的token属于jwt的,而这个返回的userKey作为redis缓存里的

登录结束。

稍等,带我打个断掉debug理一下流程,感觉好长一条线

1.security配置类,配置好jwt过滤器和login白名单,(否则登录接口不允许访问,因为此时context为空还没有进行设置,后续jwt过滤器验证通过会往SecurityContext设置一个authentication)

2.jwt过滤,获取请求头的JWTtoken->

  • 有token,解析token为claims 根据自定义键值获取其中的uuid,根据自定义redis键值+uuid获取 Redis里的LoginUser实体
    image-20241017193929639
    验证有效期,封装authenticationToken设置上下文context,标识身份验证通过,如果缺少这一步,jwt放行后会结果security认证,context为空返回401,自定义认证失败异常,不细说,自查阅

  • 没token,如果是login。jwt先放行,login白名单,放行,然后进入认证逻辑Loginservice

3.封装username和password给upat(usernamePasswordAuthenticationToken),设置上下文,后续获取该password与数据库的加密比对

4.调用authenticationManager(也就是Provider,).authenticate(派发任务给daoProviders->父类AbstractUserDetailsAuthenticationProvider)方法,传入upat

5.调用retrieve,方法,内部调用传入的UserDetailsService的loadUsername方法

6.查库,密码验证,返回Usertails对象

7.UserDetails二次校验,封装authentication返回

8.记录redis和jwtToken 生成返回前端记录

简短版

jwt过滤器链验证,security认证(userpasswordAuthenticationFilter/自定义的loginService),Providers调用loadUser, loadUser返回值userDetails存redis和生成token

画一个流程图看看

security

2)我们如果想实现多用户表呢?

2.1)设置自定义用户实体

public class DamingUser extends BaseEntity {private Long userId;private String username;private String password;public String getUsername() {return username;}public Long getUserId() {return userId;}public void setUserId(Long userId) {this.userId = userId;}public void setUsername(String username) {this.username = username;}public String getPassword() {return password;}public void setPassword(String password) {this.password = password;}
}

2.2)LoginUser定义

由于后续需要将自定义实体设置给LoginUser,需要定义对应的构造函数,方便后面验证成功后设置值,然后全文调用

image-20241017220718194

2.3)自定义一个manager Bean注入

因为我们是用自己的业务类判断的嘛,因此我们要找到调用loadUserByUsername那家伙,

也就是AuthenticationManager(ProviderManager),

给他设置provider的时候,set我们自己的UserDetailServiceImpl

在security config里新搞一个Manager Bean 并且起名字,后续使用Qualifier指定哪个bean,然后原先若依框架的UserDetailImpl类和Authenticationmanager上加@Primary, 否则会报冲突

image-20241017225200350

 /*** 自定义身份管理器验证实现*/@Autowired@Qualifier("StudentDetailsServiceImpl")private StudentDetailsServiceImpl studentDetailsService;@Bean("StudentAuthenticationManager")public AuthenticationManager studentAuthenticationManager() {DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();daoAuthenticationProvider.setUserDetailsService(studentDetailsService);daoAuthenticationProvider.setPasswordEncoder(bCryptPasswordEncoder());return new ProviderManager(daoAuthenticationProvider);}

2.4)自定义UserDetailsService

@Component("StudentDetailsServiceImpl")
public class StudentDetailsServiceImpl implements UserDetailsService {@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {System.out.println("过来了!");// new LoginUser(user.getUserId(), user.getDeptId(),//         user, permissionService.getMenuPermission(user));return null;}
}

2.5)接口service注入使用

照搬

@Component
public class StudentLoginService {@Resource@Qualifier("StudentAuthenticationManager")private AuthenticationManager authenticationManager;Authentication authentication = null;@Autowiredprivate TokenService tokenService;public String login(String username, String password) {try {UsernamePasswordAuthenticationToken authenticationToken =new UsernamePasswordAuthenticationToken(username, password);AuthenticationContextHolder.setContext(authenticationToken);// 该方法会去调用StudentsDetailsServiceImpl.loadUserByUsernameauthentication = authenticationManager.authenticate(authenticationToken);} catch (Exception e) {if (e instanceof BadCredentialsException) {AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));throw new UserPasswordNotMatchException();} else {AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));throw new ServiceException(e.getMessage());}} finally {AuthenticationContextHolder.clearContext();}AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));LoginUser loginUser = (LoginUser) authentication.getPrincipal();// 生成tokenreturn tokenService.createToken(loginUser);}}

2.6)接口调用

@RestController
@RequestMapping("/quiz/student/user")
public class StudentUserController {@Autowiredprivate StudentLoginService studentLoginService;@PostMapping("/login")public AjaxResult login(StudentLoginBody studentLoginBody) {AjaxResult ajax = AjaxResult.success();System.out.println("接入了");String token = studentLoginService.login(studentLoginBody.getUsername(), studentLoginBody.getPassword());ajax.put(Constants.TOKEN, token);return ajax;}
}

2.7测试

image-20241017225815806

漂亮!后续不用多介绍了,cv了懂得懂得,然后生成token给前端然后存redis,前端拿来解析查redis,有就判断是否过期然后不过期就设置上下文, 过期了直接报错okok结束结束

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/882060.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

第十二章 RabbitMQ之失败消息处理策略

目录 一、引言 二、RepublishMessageRecoverer 实现 2.1. 实现步骤 2.2. 实现代码 2.2.1. 异常交换机队列回收期配置类 2.2.2. 常规交换机队列配置类 2.2.3. 消费者代码 2.2.4. 消费者yml配置 2.2.5. 生产者代码 2.2.6. 生产者yml配置 2.2.7. 运行效果 一、引言 …

重新定义自动驾驶的动态视觉?谷歌提出几何优先的动态场景方法MonST3R

导读: 本文引入了Motion DUSt3R (MonST3R),这是一种几何优先的动态场景方法,它以点图的形式直接估计几何形状。相比以前的工作,MonST3R具有如下关键优势: 增强的稳健性,特别是在具有挑战性的场景中&#xf…

【二刷hot-100】day2

目录 1.无重复字符的最长子串 2.找到字符串中所有字母异位词 3.和为 K 的子数组 4.滑动窗口最大值 1.无重复字符的最长子串 class Solution {public int lengthOfLongestSubstring(String s) {Map<Character,Integer> dict new HashMap<>();int ret0;int i-1;for…

从一致性哈希算法带来的分布式系统设计思考

引言 在分布式系统中&#xff0c;数据存储和访问的均匀性、高可用性及可扩展性至关重要。一致性哈希算法&#xff08;Consistent Hashing&#xff09;以其优秀的数据分布特性&#xff0c;广泛应用于缓存、负载均衡和数据库分片等领域&#xff0c;有效提升了系统的稳定性和灵活…

uniapp onPageScroll

子组件有onPageScroll, 首页也要引入onPageScroll, eg: 主页面 sell/detail/index 《子组件》 <script setup> 引入onPageScroll </script> 组件&#xff1a; 引入onPageScroll 别人的比较

如果使用 Iptables 配置端口转发 ?

现实生活中&#xff0c;港口转发就像在一个大型公寓大楼里告诉送货司机该去哪里。通常情况下&#xff0c;该建筑群的正门是不对外开放的。但如果里面有人想要快递&#xff0c;他们可以告诉保安让司机进来&#xff0c;并指引他们到特定的公寓。 类似地&#xff0c;在计算机网络…

jeecg3版本的vue,离线启动

jeecg的vue2版本已经停止维护&#xff0c;所以只能用vue3的版本。3版本中使用的是pnpm&#xff08;npm的增强版本&#xff09;下载依赖。使用pnpm安装的node_modules&#xff0c;不能直接复制到离线主机中&#xff08;因为在 pnpm安装过程中&#xff0c;会给依赖的配置文件写死…

Elasticsearch 入门

ES 概述 ES 是一个开源的高扩展的分布式全文搜索引擎。 倒排索引 环境准备 Elasticsearch 官方地址&#xff1a;https://www.elastic.co/cn/ 下载地址&#xff1a; 注意&#xff1a;9300 端口为 Elasticsearch 集群间组件的通信端口&#xff0c;9200 端口为浏览器访问的 h…

【赵渝强老师】K8s中Deployment控制器与StatefulSet控制器的区别

一、K8s的Deployment与StatefulSets 在K8s中&#xff0c;Deployment将Pod部署成无状态的应用程序&#xff0c;它只关心Pod的数量、Pod更新方式、使用的镜像和资源限制等。由于是无状态的管理方式&#xff0c;因此Deployment中没有角色和顺序的概念&#xff0c;换句话说&#xf…

vue项目页面白边如何解决

这是出现白边的页面 原因是vue项目创建时在main.js下它引入了刚开始提供的main.css全局设置 直接把该设置注释掉即可&#xff0c; 然后在App.vue中添加如下style&#xff0c;就大功告成了

2025推荐选题|微信小程序实现经济新闻资讯

作者简介&#xff1a;Java领域优质创作者、CSDN博客专家 、CSDN内容合伙人、掘金特邀作者、阿里云博客专家、51CTO特邀作者、多年架构师设计经验、多年校企合作经验&#xff0c;被多个学校常年聘为校外企业导师&#xff0c;指导学生毕业设计并参与学生毕业答辩指导&#xff0c;…

2.stm32 GPIO输出

GPIO简介 GPIO&#xff08;General Purpose Input Output&#xff09;通用输入输出口 可配置为8种输入输出模式 引脚电平&#xff1a;0V~3.3V&#xff0c;部分引脚可容忍5V 输出模式下可控制端口输出高低电平&#xff0c;用以驱动LED、控制蜂鸣器、模拟通信协议输出时序等 …

tensorflow入门案例手写数字识别人工智能界的helloworld项目落地1

参考 https://tensorflow.google.cn/?hlzh-cn https://tensorflow.google.cn/tutorials/keras/classification?hlzh-cn 项目资源 https://download.csdn.net/download/AnalogElectronic/89872174 文章目录 一、案例学习1、导入测试和训练数据集&#xff0c;定义模型&#xff…

【R语言】随机森林+相关性热图组合图

数据概况文末有获取方式 随机森林部分 #调用R包 library(randomForest) library(rfPermute) library(ggplot2) library(psych) library(reshape2) library(patchwork) library(reshape2) library(RColorBrewer) ​ ​ #读取数据 df<-read.csv("F:\\EXCEL-元数据\\2020…

深度学习之残差网络ResNet

文章目录 1. 残差网络定义2. 数学基础函数类3. 残差块4.ResNet模型5.训练模型6.小结 1. 残差网络定义 随着我们设计的网络越来越深&#xff0c;深刻理解“新添加的层如何提升神经网络的性能”变得至关重要。更重要的是设计网络的能力。在这种网络中&#xff0c;添加层会使得网…

2010年国赛高教杯数学建模A题储油罐的变位识别与罐容表标定解题全过程文档及程序

2010年国赛高教杯数学建模 A题 储油罐的变位识别与罐容表标定 通常加油站都有若干个储存燃油的地下储油罐&#xff0c;并且一般都有与之配套的“油位计量管理系统”&#xff0c;采用流量计和油位计来测量进/出油量与罐内油位高度等数据&#xff0c;通过预先标定的罐容表&#…

JDBC的学习

一、JDBC DriverManager 二、JDBC connection 三、 JDBC Statement 1.DML 2.DDL 四、JDBC ResultSet 五、JDBC PreparedStatement

30.第二阶段x86游戏实战2-遍历周围-C++遍历二叉树(玩家角色基址)

免责声明&#xff1a;内容仅供学习参考&#xff0c;请合法利用知识&#xff0c;禁止进行违法犯罪活动&#xff01; 本次游戏没法给 内容参考于&#xff1a;微尘网络安全 本人写的内容纯属胡编乱造&#xff0c;全都是合成造假&#xff0c;仅仅只是为了娱乐&#xff0c;请不要…

Prometheus运维监控平台之监控指标注册到consul脚本开发、自定义监控项采集配置调试(三)

系列文章目录 运维监控平台搭建 运维监控平台监控标签 golang_Consul代码实现Prometheus监控目标的注册以及动态发现与配置V1版本 文章目录 系列文章目录目的一、监控指标注册到consul的golang脚本开发1、修改settings.yaml文件2、修改config/ocnsul,go文件3、修改core/consul…

让你的MacOS剪切板变得更加强大,如何解决复制内容覆盖的问题

MacOS的日常使用过程中&#xff0c;肯定少不了复制粘贴&#xff0c;不论是文本内容还是文件&#xff0c;复制粘贴是避不开的操作&#xff0c;如果需要复制粘贴的内容不多&#xff0c;那么普通的复制粘贴就可以完成了&#xff0c;但是当有同样的内容需要输入不同的地方的时候&am…