06SpringSecurity扩展用户身份信息(UserDetails)的方式

2024-03-21 03:12

本文主要是介绍06SpringSecurity扩展用户身份信息(UserDetails)的方式,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

扩展用户身份信息的方式(UserDetails)

由于JWT令牌中用户身份信息来源于UserDetails, 所以我们只能把UserDetails中包含的用户信息写入JWT令牌中,想要扩展用户的身份信息有两种方式

  • 继承: 继承UserDetails的属性并进行扩展,使之包括更多的自定义属性
  • 存储Json(推荐): 我们还可以将用户的全部信息转为Json数据存储到UserDetails的username属性(需要脱敏),并不一定要只存储用户账号

用户表中除了存储用户的账号密码还有其他信息,但是UserDetails接口中只有username、password字段,这样JWT令牌中也只会写入用户的账号和密码信息

  • 在认证阶段DaoAuthenticationProvider会调用我们自定义的UserDetailsService接口实现类的loadUserByUsername()方法查询数据库表中用户全部的信息,但是UserDetails中只能存储账号和密码
public interface UserDetails extends Serializable {Collection<? extends GrantedAuthority> getAuthorities();String getPassword();String getUsername();boolean isAccountNonExpired();boolean isAccountNonLocked();boolean isCredentialsNonExpired();boolean isEnabled();
}

存储json格式的用户信息

将用户的全部信息转为Json数据存储到UserDetails的username属性(需要脱敏)

@Service
public class UserDetailsImpl implements UserDetailsService {@AutowiredXcUserMapper xcUserMapper;/*** @param name     用户输入的登录账号* @return         UserDetails* @throws         UsernameNotFoundException*/@Overridepublic UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {// 根据username去XcUser表中查询对应的用户信息XcUser user = xcUserMapper.selectOne(new LambdaQueryWrapper<XcUser>().eq(XcUser::getUsername, name));// 返回NULL表示用户不存在,SpringSecurity会帮我们处理即抛出异常表示用户不存在if (user == null) {return null;}// 设置用户权限// String[] authorities=  {"test"};// 如果存在取出数据库中用户的密码String password = user.getPassword();// 将查询到的用户信息映射的XcUser对象转为Json,注意先对用户的敏感信息要进行脱敏user.setPassword(null);String userString = JSON.toJSONString(user);// 将用户名和密码以及用户权限(权限必须要设置)封装成一个UserDetails对象,然后返回即可return User.withUsername(userString).password(password).authorities("test").build();}
}

重启认证服务,使用密码模式重新获取令牌

// 密码模式
POST localhost:63070/auth/oauth/token?client_id=XcWebApp&client_secret=XcWebApp&grant_type=password&username=yunqing&password=111111

访问校验接口查看JWT令牌中的内容,此时令牌的user_name属性中包含了查询到的用户全部信息(密码为null)

// 访问校验接口
POST localhost:53070/auth/oauth/check_token?token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.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._GKfGE2s5k0n6VC4_RKQrzdzydWY-WtX3Q_Hc4DxQ1g{"aud": ["xuecheng-plus"],"user_name": "{\"companyId\":\"1232141425\",\"createTime\":\"2022-09-28T08:32:03\",\"id\":\"52\",\"name\":\"Kiki\",\"password\":\"$2a$10$0pt7WlfTbnPDTcWtp/.2Mu5CTXvohnNQhR628qq4RoKSc0dGAdEgm\",\"sex\":\"1\",\"status\":\"\",\"username\":\"Kyle\",\"utype\":\"101002\"}","scope": ["all"],"active": true,"exp": 1678452354,"authorities": ["test"],"jti": "76074028-0b3c-4482-a7f4-75427e0691c1","client_id": "XcWebApp"
}

继承并扩展属性

第一步: 新建用户实体类SysUser

@Data
public class SysUser implements Serializable {private Integer userId;private String username;private String password;private String sex;private String address;private Integer enabled;private Integer accountNoExpired;private Integer credentialsNoExpired;private Integer accountNoLocked;}

第二步: 新建安全用户类SecurityUser实现UserDetails接口,扩展一个SysUser属性封装数据库中查询到的用户信息

  • Spring Security 框架在获取查询到的用户信息时最终会调用实现类SecurityUser中的方法
public class SecurityUser implements UserDetails {// 封装用户信息 private  final SysUser sysUser;public SecurityUser(SysUser sysUser) {this.sysUser=sysUser;}@Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {return null;}@Overridepublic String getPassword() {String userPassword=this.sysUser.getPassword();// 返回密码后注意清除密码this.sysUser.setPassword(null);return userPassword;}@Overridepublic String getUsername() {return sysUser.getUsername();}@Overridepublic boolean isAccountNonExpired() {return sysUser.getAccountNoExpired().equals(1);}@Overridepublic boolean isAccountNonLocked() {return sysUser.getAccountNoLocked().equals(1);}@Overridepublic boolean isCredentialsNonExpired() {return sysUser.getCredentialsNoExpired().equals(1);}@Overridepublic boolean isEnabled() {return sysUser.getEnabled().equals(1);}
}

第三步: 新建UserServiceImpl实现UserDetailService接口,将查询到的用户信息封装到SecurityUser中的SysUser属性中并返回

@Service
public class UserServiceImpl implements UserDetailsService {@Resourceprivate SysUserDao sysUserDao;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {// 根据用户名查询数据库获取用户信息 SysUser sysUser = sysUserDao.getByUserName(username);if(null==sysUser){throw new UsernameNotFoundException("账号不存在");}return new SecurityUser(sysUser);}
}

资源服务获取用户身份信息

测试

新建一个controller获取当前登录用户信息

  • Principal定义认证的而用户,如果用户使用用户名和密码方式登录,principal通常就是一个UserDetails
  • Authentication接口继承自Principal
@RestController
public class CurrentLoginUserInfoController {/*** 从当前请求对象中获取*/@GetMapping("/getLoginUserInfo")public Principal getLoginUserInfo(Principal principle){return principle;}/***从当前请求对象中获取*/@GetMapping("/getLoginUserInfo1")public Authentication getLoginUserInfo1(Authentication authentication){return authentication;}/*** 从SecurityContextHolder获取* @return*/@GetMapping("/getLoginUserInfo2")public Authentication getLoginUserInfo(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();return authentication;}
}

调用接口,查看响应的用户信息

{// 用户被授予的权限信息"authorities": [{"authority": "ROLE_teacher"}],"details": {"remoteAddress": "0:0:0:0:0:0:0:1","sessionId": "34E452050095348E6306CF95B2025CD9"},"authenticated": true,// 如果用户使用用户名和密码方式登录,principal通常就是一个`UserDetails`"principal": {"password": null,"username": "thomas","authorities": [{"authority": "ROLE_teacher"}],"accountNonExpired": true,"accountNonLocked": true,"credentialsNonExpired": true,"enabled": true},//  登录凭证一般就是指密码,当用户登录成功之后,登录凭证会被自动擦除以防泄露 "credentials": null,"name": "thomas"
}

封装工具类

如果在认证服务生成JWT令牌的user_name属性中存储用户JSON格式的信息,在资源服务中就可以取出该JSON格式的内容转换为用户对象去使用

第一步: 在content-api工程中写一个工具类SecurityUtil用来在各个微服务中获取到当前登录用户信息的对象

@Slf4j
public class SecurityUtil {public static XcUser getUser() {try {// 通过SecurityContextHolder获取user_name属性的值即包含用户信息的Json字符串Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();if (principal instanceof String) {// 将包含用户信息的Json字符串转换为XcUser对象String userJson = principal.toString();XcUser xcUser = JSON.parseObject(userJson, XcUser.class);return xcUser;}} catch (Exception e) {log.error("获取当前登录用户身份信息出错:{}", e.getMessage());e.printStackTrace();}return null;}// 这里使用内部类是为了不让content工程去依赖auth工程@Datapublic static class XcUser implements Serializable {private static final long serialVersionUID = 1L;private String id;private String username;private String password;private String salt;private String name;private String nickname;private String wxUnionid;private String companyId;/*** 头像*/private String userpic;private String utype;private LocalDateTime birthday;private String sex;private String email;private String cellphone;private String qq;/*** 用户状态*/private String status;private LocalDateTime createTime;private LocalDateTime updateTime;}
}

第二步: 在内容管理服务中的查询课程信息接口中使用工具类获取当前登陆的用户信息

@ApiOperation("根据课程id查询课程基础信息")
@GetMapping("/course/{courseId}")
public CourseBaseInfoDto getCourseBaseById(@PathVariable Long courseId) {SecurityUtil.XcUser user = SecurityUtil.getUser();System.out.println("当前用户身份为:" + user);return courseBaseInfoService.getCourseBaseInfo(courseId);
}

第三步: 启动认证服务、网关、内容管理服务, 首先访问认证服务生成令牌,然后携带生成的令牌访问内容管理服务的查询课程接口,最后在控制台中查看登陆的用户信息

当前用户身份为:SecurityUtil.XcUser(id=52, username=Kyle, password=null, salt=null, name=Kiki, nickname=null, wxUnionid=null, companyId=1232141425, userpic=null, utype=101002, birthday=null, sex=1, email=null, cellphone=null, qq=null, status=, createTime=2022-09-28T08:32:03, updateTime=null)

这篇关于06SpringSecurity扩展用户身份信息(UserDetails)的方式的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/831589

相关文章

csu 1446 Problem J Modified LCS (扩展欧几里得算法的简单应用)

这是一道扩展欧几里得算法的简单应用题,这题是在湖南多校训练赛中队友ac的一道题,在比赛之后请教了队友,然后自己把它a掉 这也是自己独自做扩展欧几里得算法的题目 题意:把题意转变下就变成了:求d1*x - d2*y = f2 - f1的解,很明显用exgcd来解 下面介绍一下exgcd的一些知识点:求ax + by = c的解 一、首先求ax + by = gcd(a,b)的解 这个

内核启动时减少log的方式

内核引导选项 内核引导选项大体上可以分为两类:一类与设备无关、另一类与设备有关。与设备有关的引导选项多如牛毛,需要你自己阅读内核中的相应驱动程序源码以获取其能够接受的引导选项。比如,如果你想知道可以向 AHA1542 SCSI 驱动程序传递哪些引导选项,那么就查看 drivers/scsi/aha1542.c 文件,一般在前面 100 行注释里就可以找到所接受的引导选项说明。大多数选项是通过"_

科研绘图系列:R语言扩展物种堆积图(Extended Stacked Barplot)

介绍 R语言的扩展物种堆积图是一种数据可视化工具,它不仅展示了物种的堆积结果,还整合了不同样本分组之间的差异性分析结果。这种图形表示方法能够直观地比较不同物种在各个分组中的显著性差异,为研究者提供了一种有效的数据解读方式。 加载R包 knitr::opts_chunk$set(warning = F, message = F)library(tidyverse)library(phyl

业务中14个需要进行A/B测试的时刻[信息图]

在本指南中,我们将全面了解有关 A/B测试 的所有内容。 我们将介绍不同类型的A/B测试,如何有效地规划和启动测试,如何评估测试是否成功,您应该关注哪些指标,多年来我们发现的常见错误等等。 什么是A/B测试? A/B测试(有时称为“分割测试”)是一种实验类型,其中您创建两种或多种内容变体——如登录页面、电子邮件或广告——并将它们显示给不同的受众群体,以查看哪一种效果最好。 本质上,A/B测

【北交大信息所AI-Max2】使用方法

BJTU信息所集群AI_MAX2使用方法 使用的前提是预约到相应的算力卡,拥有登录权限的账号密码,一般为导师组共用一个。 有浏览器、ssh工具就可以。 1.新建集群Terminal 浏览器登陆10.126.62.75 (如果是1集群把75改成66) 交互式开发 执行器选Terminal 密码随便设一个(需记住) 工作空间:私有数据、全部文件 加速器选GeForce_RTX_2080_Ti

用命令行的方式启动.netcore webapi

用命令行的方式启动.netcore web项目 进入指定的项目文件夹,比如我发布后的代码放在下面文件夹中 在此地址栏中输入“cmd”,打开命令提示符,进入到发布代码目录 命令行启动.netcore项目的命令为:  dotnet 项目启动文件.dll --urls="http://*:对外端口" --ip="本机ip" --port=项目内部端口 例: dotnet Imagine.M

Spring框架5 - 容器的扩展功能 (ApplicationContext)

private static ApplicationContext applicationContext;static {applicationContext = new ClassPathXmlApplicationContext("bean.xml");} BeanFactory的功能扩展类ApplicationContext进行深度的分析。ApplicationConext与 BeanF

深入理解RxJava:响应式编程的现代方式

在当今的软件开发世界中,异步编程和事件驱动的架构变得越来越重要。RxJava,作为响应式编程(Reactive Programming)的一个流行库,为Java和Android开发者提供了一种强大的方式来处理异步任务和事件流。本文将深入探讨RxJava的核心概念、优势以及如何在实际项目中应用它。 文章目录 💯 什么是RxJava?💯 响应式编程的优势💯 RxJava的核心概念

【即时通讯】轮询方式实现

技术栈 LayUI、jQuery实现前端效果。django4.2、django-ninja实现后端接口。 代码仓 - 后端 代码仓 - 前端 实现功能 首次访问页面并发送消息时需要设置昵称发送内容为空时要提示用户不能发送空消息前端定时获取消息,然后展示在页面上。 效果展示 首次发送需要设置昵称 发送消息与消息展示 提示用户不能发送空消息 后端接口 发送消息 DB = []@ro

脏页的标记方式详解

脏页的标记方式 一、引言 在数据库系统中,脏页是指那些被修改过但还未写入磁盘的数据页。为了有效地管理这些脏页并确保数据的一致性,数据库需要对脏页进行标记。了解脏页的标记方式对于理解数据库的内部工作机制和优化性能至关重要。 二、脏页产生的过程 当数据库中的数据被修改时,这些修改首先会在内存中的缓冲池(Buffer Pool)中进行。例如,执行一条 UPDATE 语句修改了某一行数据,对应的缓