SpringBoot实战:Spring Boot接入Security权限认证服务

于 2024-07-23 17:54:15 发布
阅读量500 收藏 21
点赞数 9
文章标签: spring boot java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75506216/article/details/140642524
版权

引言

Spring Security 是一个功能强大且高度可定制的身份验证和访问控制的框架,提供了完善的认证机制和方法级的授权功能,是一个非常优秀的权限管理框架。其核心是一组过滤器链,不同的功能经由不同的过滤器。本文将通过一个案例将 Spring Security 整合到 SpringBoot中,要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。

一、基本介绍

登录验证:

通过 JWT 为每个用户生成一个唯一且有期限的 Token,用户每次请求都会重新生成过期时间,在规定的时间内,用户未进行操作 Token 就会过期,当用户再次请求时则会再次执行登录流程,而 Token 的过期时间应根据实际的业务场景规定。

权限认证:

权限认证通过Spring Security框架来实现,在用户成功登录之后,当尝试访问系统资源时(即发起接口调用),服务端会根据用户所属的角色来判断其是否具备相应的访问权限。若用户未获得该资源的访问权限,则服务端应当返回明确的权限不足提示信息,以确保系统的安全性与用户体验。

通过如图来讲解我们的实现目标:登录验证权限认证
image

二、环境准备

创建 auth_user 系统用户表,并准备测试数据。

CREATE TABLE `auth_user`
(
	`id`                      varchar(36) NOT NULL,
	`username`                varchar(100) DEFAULT NULL,
	`password`                varchar(100) DEFAULT NULL,
	`role`                    varchar(100) DEFAULT NULL,
	`account_non_expired`     int(11) DEFAULT '0',
	`account_non_locked`      int(11) DEFAULT '0',
	`credentials_non_expired` int(11) DEFAULT '0',
	`is_enabled`              int(11) DEFAULT NULL,
	PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf32;



INSERT INTO auth_user (id, username, password, `role`, account_non_expired, account_non_locked,
					   credentials_non_expired, is_enabled)
VALUES ('1', 'user', '15tT+y0b+lJq2HIKUjsvvg==', 'USER', 1, 1, 1, 1),
	   ('2', 'admin', '15tT+y0b+lJq2HIKUjsvvg==', 'ADMIN', 1, 1, 1, 1);

三、登录代码实现

1.为项目导入相关依赖

pom.xml 文件中到入依赖,除了 Security 之外 还引入了 AES JWT相关依赖

<dependencies>
	<dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-security</artifactId>
	</dependency>
	<!-- AES加密 -->
	<dependency>
		<groupId>org.apache.directory.studio</groupId>
		<artifactId>org.apache.commons.codec</artifactId>
		<version>1.8</version>
	</dependency>
	<!-- JWT -->
	<dependency>
		<groupId>io.jsonwebtoken</groupId>
		<artifactId>jjwt</artifactId>
		<version>0.9.0</version>
	</dependency>
</dependencies>

创建项目所需实体类:

在工程中创建一个新的实体类AuthUser,该实体类需要实现Spring SecurityUserDetails接口,并特别地,需要重写getAuthorities()方法来从数据库中动态读取并设置用户的角色权限。此外,为了确保用户账户处于正常激活状态,isAccountNonExpired()isAccountNonLocked()isCredentialsNonExpired()isEnabled()这四个方法也必须被重写,并且应该基于数据库查询的结果或业务逻辑,无条件地返回true(假设在这个场景下,所有用户账户都被视为有效、未过期、未锁定且凭据未过期)。

这样的设计确保了AuthUser类能够准确地反映用户的安全状态和权限信息,同时允许Spring Security框架利用这些信息进行访问控制。通过从数据库动态加载权限信息,系统能够灵活地适应不同用户的权限需求,提升系统的安全性和灵活性。

public class AuthUser implements Serializable, UserDetails {

	private static final long serialVersionUID = 1L;

	private String id;

	private String username;

	private String password;

	private String role;

	private Integer accountNonExpired;

	private Integer accountNonLocked;

	private Integer credentialsNonExpired;

	private Integer isEnabled;

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		// 获取用户所有权限
		String[] roles = role.split(",");
		// 遍历 roles,取出每一个权限进行认证,添加到简单的授予认证类
		List<SimpleGrantedAuthority> authorities = new ArrayList<>();
		for (String role : roles) {
			authorities.add(new SimpleGrantedAuthority("ROLE_" + role));
		}
		// 返回到已经被授予认证的权限集合, 这里面的角色所拥有的权限都已经被 spring security 所知道
		return authorities;
	}

	@Override
	public boolean isAccountNonExpired() {
		return this.accountNonExpired != null && this.accountNonExpired == 1;
	}

	@Override
	public boolean isAccountNonLocked() {
		return this.accountNonLocked != null && this.accountNonLocked == 1;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		return this.credentialsNonExpired != null && this.credentialsNonExpired == 1;
	}

	@Override
	public boolean isEnabled() {
		return this.isEnabled != null && this.isEnabled == 1;
	}

	// 略去其它 Get、Set 方法
}

创建 Service 服务

创建名为 AuthUserService 的接口,并实现 UserDetailsService 类,重写 loadUserByUsername() 方法( Security 认证登录调用的接口)。

public interface AuthUserService extends UserDetailsService {

}

@Service("authUserService")
public class AuthUserServiceImpl implements AuthUserService {

	@Resource
	private AuthUserDao authUserDao;

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		AuthUser authUser = authUserDao.queryByName(username);
		if (authUser == null) {
			throw new IllegalArgumentException("User [" + username + "] doesn't exist.");
		}
		return authUser;
	}
}

AutUserDao 是用来解读数据库信息的类, queryByName() 是通过 usernameauth_user 数据表进行精准查询。

Congtroller 层方法

创建两个接口分别供不同角色测试。

@RestController
@RequestMapping("api/resource")
public class ResourceController {

	@GetMapping("user")
	public String demo1() {
		return "User demo.";
	}

	@GetMapping("admin")
	public String demo2() {
		return "Admin demo.";
	}
}

工具类

AES加密

在前后端数据传输过程中明文密码传输存在相当大的隐患,可以采用加密的方式,对信息进行隐藏,话不多说上代码。

public class AESUtil {

	private final static String ALGORITHM = "AES/CBC/NoPadding";
	private final static String DEFAULT_IV = "1234567890123456";
	private final static String DEFAULT_KEY = "1234567890123456";

	public static String encrypt(String data) throws Exception {
		return encrypt(data, DEFAULT_KEY, DEFAULT_IV);
	}

	public static String desEncrypt(String data) throws Exception {
		return desEncrypt(data, DEFAULT_KEY, DEFAULT_IV);
	}

	public static String encrypt(String data, String key, String iv) throws Exception {
		Cipher cipher = Cipher.getInstance(ALGORITHM);
		int blockSize = cipher.getBlockSize();
		byte[] dataBytes = data.getBytes();
		int length = dataBytes.length;
		if (length % blockSize != 0) {
			length = length + (blockSize - (length % blockSize));
		}
		byte[] plaintext = new byte[length];
		System.arraycopy(dataBytes, 0, plaintext, 0, dataBytes.length);
		SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), "AES");
		IvParameterSpec ivSpec = new IvParameterSpec(iv.getBytes());
		cipher.init(Cipher.ENCRYPT_MODE, keySpec, ivSpec);
	 	byte[] encrypted = cipher.doFinal(plaintext);
		return new Base64().encodeToString(encrypted);
	}

	public static String desEncrypt(String data, String key, String iv) throws Exception {
		byte[] encrypted1 = new Base64().decode(data);
		Cipher cipher = Cipher.getInstance(ALGORITHM);
		SecretKeySpec keySpec = new SecretKeySpec(key.getBytes(), "AES");
		IvParameterSpec ivSpec = new IvParameterSpec(iv.getBytes());
		cipher.init(Cipher.DECRYPT_MODE, keySpec, ivSpec);
		byte[] bytes = cipher.doFinal(encrypted1);
		return new String(bytes);
	}
}

JWT生成

通过引入JWT(JSON Web Tokens),我们可以高效地管理用户的登录状态。JWT能够生成一串包含过期时间的Token值,该值以字符串形式存在。当Token达到其设定的过期时间时,尝试对其进行解析将会触发ExpiredJwtException异常。通过捕获这个ExpiredJwtException异常,我们能够有效地判断用户的登录状态是否已经过期。在上述描述中,createJWT()函数负责生成Token,而parseJWT()函数则负责解析Token。这样的机制既方便了Token的生成与管理,也简化了用户登录状态的验证过程。

public class TokenUtil {

	/**
	 * 密钥
	 */
	public static final String JWT_KEY = "ibudai";
	/**
	 * 过期时间
	 */
	public static final Long JWT_TTL = TimeUnit.MINUTES.toMillis(5);

	/**
	 * 生成 Token
	 */
	public static String createJWT(String data, Long ttlMillis) {
		String uuid = UUID.randomUUID().toString().replaceAll("-", "");
		JwtBuilder builder = getJwtBuilder(data, ttlMillis, uuid);
		return builder.compact();
	}

	/**
	 * 解析 Token
	 */
	public static Claims parseJWT(String token) {
		SecretKey secretKey = generalKey();
		return Jwts.parser()
				.setSigningKey(secretKey)
				.parseClaimsJws(token)
				.getBody();
	}

	/**
	 * 生成加密后的秘钥
	 */
	private static SecretKey generalKey() {
		byte[] encodedKey = Base64.getDecoder().decode(JWT_KEY);
		return new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
	}

	private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
		SignatureAlgorithm algorithm = SignatureAlgorithm.HS256;
		SecretKey secretKey = generalKey();
		long nowMillis = System.currentTimeMillis();
		Date now = new Date(nowMillis);
		if (ttlMillis == null) {
			ttlMillis = JWT_TTL;
		}
		long expMillis = nowMillis + ttlMillis;
		Date expDate = new Date(expMillis);
		return Jwts.builder()
				.setId(uuid)
				// 计算内容
				.setSubject(subject)
				// 签发者
				.setIssuer("budai")
				// 签发时间
				.setIssuedAt(now)
				// 加密算法签名
				.signWith(algorithm, secretKey)
				.setExpiration(expDate);
	}
}

权限配置

接下来正式配置 Security 权限模块。
新建SecurityConfig类,并使其继承自WebSecurityConfigurerAdapter,随后在该类中重写configure(AuthenticationManagerBuilder auth)方法。在这个方法内部,我们将利用AuthUserService(即之前创建的用于从数据库中读取用户角色数据的类)来配置用户认证信息。这样的配置确保了Spring Security能够基于数据库中存储的用户和角色信息来执行身份验证。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	private AuthUserService authUserService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		// 动态读取数据库信息
		auth.userDetailsService(authUserService)
				// 自定义 AES 方式加密
				.passwordEncoder(new AESEncoder());
	}
}

配置好上述代码,首先来手动配置两个角色 budia , admian 以及相应的角色权限和密码。

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
	// 手动配置
	auth.inMemoryAuthentication()
			.withUser("budai").password("123456").roles("USER")
			.and()
			.withUser("admin").password("123456").roles("ADMIN", "USER")
			.and()
			// 自定义账号信息解析方式
			.passwordEncoder(new AESEncoder());
}

自定义加密

Security 中默认提供了强哈希加密方式 BCryptPasswordEncoder,但也可根据实际需求自定义加密逻辑,这通过实现 PasswordEncoder 接口并重写其方法来完成。在自定义的 PasswordEncoder 实现中,matches 方法的 charSequence 参数实际上是用户登录时传入的密码(明文),该密码在验证前可能已经过解密处理(如果前端使用了AES等加密方式)。而 matches 方法的另一个参数 s(或根据具体实现可能命名为其他变量),则是从数据库中读取的、已经加密存储的用户密码值。由于前端工程中实施了AES数据加密,因此在服务器端进行密码验证之前,需要先对接收到的加密密码进行解密操作。

public class AESEncoder implements PasswordEncoder {

	@Override
	public String encode(CharSequence charSequence) {
		String str = charSequence.toString();
		try {
			String plain;
			if (!Objects.equals(str, "userNotFoundPassword")) {
				plain = AESUtil.desEncrypt(str);
			} else {
				plain = str;
			}
			return AESUtil.encrypt(plain);
		} catch (Exception e) {
			throw new RuntimeException(e);
		}
	}

	@Override
	public boolean matches(CharSequence charSequence, String s) {
		try {
			String plain = AESUtil.desEncrypt(charSequence.toString());
			String result = AESUtil.encrypt(plain);
			return Objects.equals(result, s);
		} catch (Exception e) {
			throw new RuntimeException(e);
		}
	}
}

权限分配

完成用户角色的创建之后,接下来的步骤是为不同的角色分配相应的资源权限。这通常在SecurityConfig类中通过重写configure(HttpSecurity http)方法来实现。在该方法中,可以配置哪些接口(如freeAPIuserAPIadminAPI)可以被特定用户角色访问。这些接口的配置信息可以存储在yml文件中,并通过Spring的注解机制动态获取。

当未认证用户尝试访问受保护的资源时,Spring Security会自动将请求重定向到登录页面,但在这里,我们通过formLogin().loginProcessingUrl("/api/auth/verify")指定了一个自定义的登录接口地址/api/auth/verify,以支持通过API请求方式进行用户认证。用户提交登录请求后,AuthUserService中的loadUserByUsername()方法将被调用,以验证用户的用户名和密码,并确定其角色。

对于认证成功、认证失败以及无权限访问的情况,我们采用了匿名函数(或Lambda表达式,具体取决于实现方式)来处理这些事件的逻辑。这些处理逻辑可能包括重定向到特定页面、返回错误信息或执行其他自定义操作。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	/**
	 * 免认证资源
	 */
	@Value("${auth.api.free}")
	private String freeAPI;

	/**
	 * 普通用户资源
	 */
	@Value("${auth.api.user}")
	private String userAPI;

	/**
	 * 超级用户资源
	 */
	@Value("${auth.api.admin}")
	private String adminAPI;

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		String[] freeResource = freeAPI.trim().split(",");
		String[] userResource = userAPI.trim().split(",");
		String[] adminResource = adminAPI.trim().split(",");
		http.authorizeRequests()
				// 设置免认证资源
				.antMatchers(freeResource).permitAll()
				// 为不同权限分配不同资源
				.antMatchers(userResource).hasRole("USER")
				.antMatchers(adminResource).hasRole("ADMIN")
				// 默认无定义资源都需认证
				.anyRequest().authenticated()
				// 自定义认证访问资源
				.and().formLogin().loginProcessingUrl("/api/auth/verify")
				// 认证成功逻辑
				.successHandler(this::successHandle)
				// 认证失败逻辑
				.failureHandler(this::failureHandle)
				// 未认证访问受限资源逻辑
				.and().exceptionHandling().authenticationEntryPoint(this::unAuthHandle)
				.and().httpBasic()
				// 允许跨域
				.and().cors()
				// 关闭跨站攻击
				.and().csrf().disable();
	}
}

逻辑处理

成功处理

用户成功通过认证后,系统会执行两个关键步骤来管理登录状态和权限控制。首先,会生成一个JWT(JSON Web Token)Token值,该Token用于后续请求的登录状态管理。JWT是基于登录用户的用户名、密码(通常是密码的哈希值,而非明文)及角色信息序列化后的JSON数据计算得出的,确保了数据的安全性和可验证性。其次,用户的角色信息会被封装成一个Authentication认证码,该认证码是username:password(注意:这里的password部分应替换为更安全的信息,如用户ID或角色的哈希值,因为直接包含密码是不安全的)经过Base64编码后的值,用于后续的权限过滤。

这两个认证信息——JWT TokenAuthentication认证码——都会通过HTTP响应的请求头返回给前端。前端接收到这些信息后,会将其存储起来,并在后续发出的所有请求中,在请求头中携带这两个参数。后端则通过配置过滤器与Spring Security框架,实现对这些请求头的解析,从而验证用户的登录状态和访问权限,完成登录状态的管理与权限访问控制。

失败处理

用户未通过 Security 认证时,需要通过验证码状态等信息来响应给前端, 在这里我们通过新建的返回类​ 来返回结果给前端。

private void failureHandle(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException {
	String msg;
	if (exception instanceof LockedException) {
		msg = "Account has been locked, please contact the administrator.";
	} else if (exception instanceof BadCredentialsException) {
		msg = "Account credential error, please recheck.";
	} else {
		msg = "Account doesn't exist, please recheck.";
	}
	response.setContentType("application/json;charset=UTF-8");
	response.setStatus(203);
	ResultData<Object> result = new ResultData<>(203, msg, null);
	response.getWriter().write(objectMapper.writeValueAsString(result));
}

无权拦截

在用户没有经过 权限认证的情况下访问资源,则需要进行拦截并返回响应的状态信息。

private void unAuthHandle(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException {
	String msg = "Please login and try again.";
	response.setContentType("application/json;charset=UTF-8");
	response.setStatus(203);
	ResultData<Object> result = new ResultData<>(203, msg, null);
	response.getWriter().write(objectMapper.writeValueAsString(result));
}

Filter配置

Bean注入

@Configuration
public class FilterConfig {

	/**
	 * 设置放行资源
	 *
	 * 例:/api/auth/verify
	 */
	@Value("${auth.api.verify}")
	private String verifyAPI;

	@Bean
	public FilterRegistrationBean<AuthFilter> orderFilter1() {
		FilterRegistrationBean<AuthFilter> filter = new FilterRegistrationBean<>();
		filter.setName("auth-filter");
		// Set effect url
		filter.setUrlPatterns(Collections.singleton("/**"));
		// Set ignore url, when multiply the value spilt with ","
		filter.addInitParameter("excludedUris", verifyAPI);
		filter.setOrder(-1);
		filter.setFilter(new AuthFilter());
		return filter;
	}
}

拦截逻辑

我们新建一个名为AuthFilter的自定义过滤器类并实现Filter接口时,我们需要重点关注doFilter()方法的实现。如之前所述,一旦用户通过登录认证成功,系统会将JWT TokenAuthentication认证信息写入HTTP响应的请求头中,并返回给前端。之后,前端在发起任何需要认证或权限验证的请求时,都应在请求头中包含这两个参数。

在请求到达后端时,首先会触发Spring Security的认证流程。Spring Security会使用请求头中的Authentication认证信息(尽管通常不直接使用username:password格式的Base64编码,而是可能使用更安全的认证令牌,如预共享密钥生成的Token或基于HTTP头部的认证方式)进行初步的身份验证。这一部分是Spring Security内部自动处理的,我们无需直接操作。

一旦通过Spring Security的身份验证,请求将继续流向我们配置的AuthFilter。在AuthFilterdoFilter()方法中,我们需要编写逻辑来解析请求头中的JWT Token。这个Token包含了用户的会话信息,如用户名、角色以及Token的签发和过期时间等。我们将验证这个Token是否有效(比如检查它是否未过期),如果Token已过期,我们需要构造一个包含相应错误信息的响应,并通过HTTP状态码(如401 Unauthorized)返回给前端。前端接收到这个响应后,可以根据需要重定向用户到登录页面。

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
	HttpServletRequest req = (HttpServletRequest) servletRequest;
	HttpServletResponse response = (HttpServletResponse) servletResponse;
	int status;
	String msg;
	String token = req.getHeader("Token");
	if (StringUtils.isNotBlank(token)) {
		boolean isExpired = false;
		try {
			TokenUtil.parseJWT(token);
		} catch (ExpiredJwtException e) {
			isExpired = true;
		}
		if (!isExpired) {
			filterChain.doFilter(req, servletResponse);
			return;
		} else {
			status = 203;
			msg = "Login expired.";
		}
	} else {
		status = 203;
		msg = "Please login and try again.";
	}
	response.setContentType("application/json;charset=UTF-8");
	response.setStatus(status);
	ResultData<Object> result = new ResultData<>(status, msg, null);
	response.getWriter().write(objectMapper.writeValueAsString(result));
}

跨域处理

在工程中新建 CorsConfig 类实现 WebMvcConfigurer 接口并重写 addCorsMappings() 方法配置跨域信息

@Configuration
public class CorsConfig implements WebMvcConfigurer {

	/**
	 * 设置跨域访问地址,逗号分隔
	 *
	 * 例:http://localhost:8080,http://127.0.0.1:8080
	 */
	@Value("${auth.host.cors}")
	private String hosts;

	@Override
	public void addCorsMappings(CorsRegistry registry) {
		String[] crosHost = hosts.trim().split(",");
		// 设置允许跨域的路径
		registry.addMapping("/**")
				// 设置允许跨域请求的域名
				.allowedOriginPatterns(crosHost)
				// 是否允许cookie
				.allowCredentials(true)
				// 设置允许的请求方式
				.allowedMethods("GET", "POST", "DELETE", "PUT")
				// 设置允许的header属性
				.allowedHeaders("*")
				// 跨域允许时间
				.maxAge(TimeUnit.SECONDS.toMillis(5));
	}
}
二价亚铁.
关注
  • 9
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【第2期】Springboot如何快速集成SpringSecurity
朱晓龙的博客
12-13 1203
本期讲如何集成SpringSecurity - 主要讲解一下部分: >1、基于RBAC的权限系统 >2、SpringSecurity核心安全配置 >3、登录过滤器 >4、权限校验过滤器 >5、默认的登录接口
SpringBoot:快速使用Spring
lm12032015的博客
08-03 2976
SpringBoot,Shiro,Swagger,Dubbo等微服务技术讲解
SpringBoot+SpringSecurity+mysql实现认证与授权
热门推荐
oyc的博客
01-29 1万+
一、Spring Security框架 1. 框架简介 官方介绍:Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足...
springboot3微服务下结合springsecurity认证授权实现
PleaseBeStrong的博客
05-21 1306
往往是一些字符串类型的关键字,在这里统一定义外部就可以直接调用,方便微服务之间的管理集中式认证管理:通过统一的认证服务器进行登录认证和token的签发刷新,可以简化认证流程,提高安全性和效率。灵活性和可扩展性:各个微服务自行处理权限认证,可以根据各自的业务需求灵活设计权限控制逻辑,便于扩展和维护。适应多种鉴权场景:这种方式可以适应外部应用接入、用户-服务鉴权、服务-服务鉴权等多种鉴权场景。潜在的安全风险:如果各个微服务权限认证实现不一致或存在缺陷,可能会引入安全风险。性能考虑。
Spring Boot实战指南:从入门到企业级应用构建
极客代码
05-25 1515
`@SpringBootApplication`组合了`@SpringBootConfiguration`、`@EnableAutoConfiguration`和`@ComponentScan`三个注解的作用,表明这是一个Spring Boot应用的主要入口点,同时开启了自动配置和组件扫描。- 使用`spring-cloud-starter-netflix-eureka-client`等依赖,使服务能够自动注册到Eureka Server上,并能通过服务名发现其他服务
springboot+vue+springsecurity后端权限管理系统
程序员小明1024
10-15 1015
由于字数限制,请阅读原文,https://www.stucoding.com/blogs/project/springboot/1.html,原文附源码和sql以及项目演示地址和项目资料。环境:win10、idea22023.2、vscode1.7、maven3.5、jdk8、Redis技术:springboot2.5.9springsecurityRedismybatis plusmysql5....
Spring Boot + Spring Security + Thymeleaf 实战教程!
程序员闪充宝
05-30 609
Spring Security 基本原理Spring Security 过滤器链Spring Security实现了一系列的过滤器链,就按照下面顺序一个一个执行下去。....class 一...
apollo最佳实战之安装与SpringBoot接入
Learning_xzj的博客
09-15 1565
Apollo(阿波罗)是一款可靠的分布式配置管理中心,诞生于携程框架研发部,能够集中化管理应用不同环境、不同集群的配置,配置修改后能够实时推送到应用端,并且具备规范的权限、流程治理等特性,适用于微服务配置管理场景。服务端基于Spring BootSpring Cloud开发,打包后可以直接运行,不需要额外安装Tomcat等应用容器。
Spring Boot+Spring Security + JWT + Redis实现登录验证
qq_41158525的博客
07-15 2333
springboot版本:2.4.3 创建项目啥的我就不说了,大家都看这个了,相信创建项目都轻而易举了,直接进入正题; 1:添加JWT和Spring Security依赖,多添加一个validation校验和lombok <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &
spring-boot-samples:Netgloo的Spring Boot样本
01-29
**starter依赖**:Spring Boot的起步依赖(Starter POMs)是一组预先配置好的Maven或Gradle依赖,如`spring-boot-starter-web`、`spring-boot-starter-data-jpa`等,它们简化了依赖管理,使得开发者能快速接入常见...
spring boot 全套示例框架源码 几十套
06-24
Spring Boot项目中,可以使用Spring Security OAuth2 来实现这一功能,提供安全的API访问和第三方应用接入。 5. **FastDFS**:FastDFS 是一个开源的分布式文件系统,特别适合于存储大量小文件。它支持负载均衡和...
基于SpringBoot开发的旅游网站后台项目源码.zip
06-15
SpringBoot集成了SpringSecurity,为项目提供了强大的安全控制。它可以实现用户认证、授权、会话管理等功能,确保后台系统的安全性。对于旅游网站,用户登录、权限控制等安全机制尤为重要。 5. RESTful API设计 ...
基于Springboot的大学校园生活信息平台(有报告) Javaee项目,springboot项目
06-02
3. API接口模块:对外提供RESTful API服务,便于移动端或其他系统接入。 4. 后台管理系统:供管理员发布信息、管理用户和数据。 5. 前端界面:采用现代化的前端框架,如Thymeleaf、Vue.js或React,提供友好的用户...
基于springboot小组开发的水果商城系统源码.zip
06-23
8. **安全控制**:Spring Boot提供了Spring Security模块,可以实现用户认证和授权。在这个系统中,可能会有登录注册、权限控制等功能。 9. **模板引擎**:如果系统包含前端界面,可能会使用Thymeleaf或Freemarker...
spring boot】初学者项目快速练手
m0_67357141的博客
07-17 996
快速生成一个初始的项目代码,会生成一个demo文件打开intellj idea,导入demo文件。
spring boot(学习笔记第十四课)
最新发布
sealaugh32的专栏
07-20 1017
以上练习了基于内存的认证,实际上,正式的系统开发都是使用数据库进行认证,在这里练习使用使用数据库的用户数据进行认证。注意,这样公司的数据库里面是没有用户的明文密码,即使数据库泄露,也不会暴漏用户的明文密码。注意,每次生成的密码都不一样,但是每个生成的都好用。的认证处理,都会使用这个。
Spring Boot+WebSocket向前端推送消息
2301_76419561的博客
07-20 1428
WebSocket是一种在单个TCP连接上进行全双工通信的协议,允许服务器主动向客户端推送信息,同时也能从客户端接收信息。WebSocket协议诞生于2008年,并在2011年成为国际标准。这种协议解决了传统HTTP请求中需要不断轮询服务器的问题,通过建立持久化的连接,实现了高效的双向数据传输。具体如下:基本特点:WebSocket建立在TCP协议之上,提供了一个全双工通信通道。这意味着服务器和客户端可以在一个连接上同时发送和接收信息,且数据交换更加高效。
Spring Boot应用的配置文件(application.properties或application.yml)指定应用连接MySQL数据库
kjl536566的博客
07-19 464
是两个重要的连接参数,尤其是在使用较新版本的MySQL数据库(如MySQL 8.0及以上)和MySQL Connector/J JDBC驱动时。属性指定了数据库的URL,包括主机名、端口号、数据库名以及一些可选的连接参数。是MySQL Connector/J 8.x及以上版本中的JDBC驱动类名。在早期的版本中,如MySQL Connector/J 5.x,驱动类名通常是。参数用于指定服务器的时区,这有助于解决因时区差异而导致的日期时间问题。分别指定了连接数据库所需的用户名和密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二价亚铁.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值