若依管理系统——前后端分离版(二)登陆接口分析及SpringSecurity的登陆认证流程

最新推荐文章于 2024-04-26 10:20:13 发布
最新推荐文章于 2024-04-26 10:20:13 发布
阅读量6.8k 收藏 72
点赞数 23
分类专栏: 项目总结 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DreamsArchitects/article/details/116662714
版权

目录

一、登陆流程分析

0. 流程整理

在这里插入图片描述

1. 图片验证码接口/captchaImage

在这里插入图片描述

在登陆之前会有一个请求图片验证码的接口/captchaImage,页面获得图片验证码,后台接口生成一个图片和UUID,并将验证码Code和UUID存入的到Redis缓存中。
在这里插入图片描述

2.登陆验证接口/login

在这里插入图片描述

在这里插入图片描述

2.1 校验图片验证码

参数包括:登录名、密码、验证码、唯一标识,进行登录验证。
在这里插入图片描述

2.1 查询用户信息

如果验证码验证成功,则开始检验用户信息:会去调用 UserDetailsServiceImplloadUserByUsername方法。进行用户认证流程,具体见下一节。
在这里插入图片描述
在这里插入图片描述
UserDetailsServiceImpl是我们实现了UserDetailsService接口:
在这里插入图片描述
返回一个UserDetails对象,包括用户对象和用户的权限信息。

在这里插入图片描述

在这里插入图片描述
LoginUser实现了UserDetails
在这里插入图片描述

2.3查询用户的权限信息

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
sys_menu是菜单权限表,关联了角色-菜单关联表、用户-角色关联表、角色表。
也就是根据用户Id通过用户表-角色关联表 查询 角色信息,在通过角色-菜单表 查询菜单信息。
在这里插入图片描述

2.4 生成令牌token

在这里插入图片描述
先通过工具类生成一个UUID,作为令牌的唯一标识。

在这里插入图片描述

在这里插入图片描述

refreshToken()方法以生成的UUID加前缀作为Key,将用户信息存到缓存中,并设置有效期。

使用createToken方法生成 JWT 令牌

在这里插入图片描述
流程总结:
查询用户信息,生成UUID,以UUID作为key,用户信息为Value 存入缓存,在将UUID信息存放到到JWT令牌中,将令牌返回给前端页面。
用户再次请求的时候将令牌放到请求头中,后台解析令牌,获得UUID,去缓存中回去用户信息。

3.登录

登录成功:
在这里插入图片描述

二、SpringSecurity的登陆认证流程分析

在这里插入图片描述

1. AuthenticationManager 认证管理器

在这里插入图片描述
根据用户输入的用户名、密码构建了 UsernamePasswordAuthenticationToken,并将其交给 AuthenticationManager 来进行认证处理。AuthenticationManager 本身不包含认证逻辑,其核心是用来管理所有的 AuthenticationProvider,通过交由合适的 AuthenticationProvider 来实现认证。

2. ProviderManager

下面跳转到了 ProviderManager ,该类是 AuthenticationManager 的实现类。
在这里插入图片描述

3. AbstractUserDetailsAuthenticationProvider 查询UserDetails信息

传统表单登录的 AuthenticationProvider 主要是由 AbstractUserDetailsAuthenticationProvider 来进行处理的,通过 retrieveUser() 方法读取到数据库中的用户信息,具体实现在 DaoAuthenticationProvider

4. DaoAuthenticationProvider

在这里插入图片描述
在这里插入图片描述

5. UserDetailsService

这里调用了UserDetailsServiceloadUserByUsername方法,而我们的UserDetailsServiceImpl实现了UserDetailsService接口,重写了loadUserByUsername方法
在这里插入图片描述

6. AbstractUserDetailsAuthenticationProvider 进行认证

当我们成功的读取 UserDetails 后,下面开始对其进行认证。

在这里插入图片描述

6.1 认证前校验

在这里插入图片描述

6.2 附加校验

在这里插入图片描述

6.3 认证后校验

在这里插入图片描述

我们可以看到认证校验分为 前校验、附加校验和后校验,如果任何一个校验出错,就会抛出相应的异常。所有校验都通过后,调用 createSuccessAuthentication() 返回认证信息。
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
createSuccessAuthentication 方法中,我们发现它重新 new 了一个 UsernamePasswordAuthenticationToken,因为到这里认证已经通过了,所以将 authorities 注入进去,并设置 authenticatedtrue
到此就已经认证完成了。

SpringSecurity认证流程文章参考:https://jitwxs.blog.csdn.net/article/details/84703690

三、在请求头中携带token信息请求后台接口

比如 登录后请求的/getInfo接口:
在这里插入图片描述
请求后台接口时,获取请求头中的认证信息:

Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJsb2dpbl91c2VyX2tleSI6ImE5ZWQ4MjYxLTRmOTgtNDY1Zi1iNTcwLTlkMmU2MGEyOWQzOCJ9.z0gvgUQPDQSiMAm5QfljsRSPGkJhuCvjlA--m_Jd7y87QICeb53Sj28yMLxNQwkoXqwsk3HKLnkX1OjA5goUdQ

在这里插入图片描述

1. 获得请求头

首先使用ServletUtils.getRequest()获取request信息,这个方法有调用的是getRequestAttributes()方法,
在这里插入图片描述

在这里插入图片描述

2.获取请求头中的认证信息

获得了request信息后,从请求头中获取token:
在这里插入图片描述

3.解析jwt令牌,获取缓存中的用户信息

解析token,获取唯一标识,根据唯一标识获得缓存中的用户信息:
在这里插入图片描述

由此就获得了用户的信息,在根据用户信息查询对应的角色和权限。

Liu_Shihao
关注
  • 23
    点赞
  • 72
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
RuoYi-Vue登录过程解析
m0_64672566的博客
10-30 501
最终security会调用UserDetailsServiceImpl.loadUserByUsername(String username) 方法,而若依重写了此方法。如果有该用户,会调用createLoginUser() 方法来返回 LoginUser 类。首先从security中获取用户id,然后根据用户id来查询菜单树,构建router树。首先判断是否为超管,不是需要根据用户id来查询数据库对应菜单,路由权限等。用户点击登录按钮,前端会把如下参数传给后端。获取用户信息后,会请求路由的相关信息。
SpringBoot前后端分离权限管理系统.zip
03-23
本项目"SpringBoot前后端分离权限管理系统"旨在帮助学生全面理解软件开发流程,从需求分析到系统设计,再到编码实现与测试部署,全方位覆盖了软件生命周期的关键环节。 首先,我们要了解SpringBoot的核心概念。...
系统对接接口设计.doc
11-17
系统对接接口设计.doc
ruoyi登录流程
weixin_67434607的博客
09-30 4387
ruoyi的登录流程解析
若依知识点分享(登录验证码)
weixin_68580848的博客
04-26 1626
本次对于若依验证码功能的分享到这里就结束了,如果还没有下载若依但是对若依有兴趣的小伙伴可以参考若依(ruoyi)框架初识进行学习。希望本次分享对小伙伴们有所帮助,如有不足之处还请各位多多指点,不吝赐教。感激不尽,感激不尽。。。最后祝各位小伙伴多财多亿。
若依框架登录过程解读
qq_56823707的博客
03-01 1730
若依框架登录过程解读
若依实现第三方登录,史上最全保姆级教程
weixin_48343233的博客
10-13 4211
若依实现第三方登录,史上最全的保姆级教程,轻松实现第三方登录,我这里演示了整合Gitee的完整流程
ruoyi若依框架SpringSecurity实现分析
m0_63837020的博客
02-06 2307
分析一下ruoyi-vue若依中是如何实现认证授权的。在ruoyi-vue若依框架中使用到了SpringSecurity作为认证授权的技术栈。
ssm+vue的数据学院教务管理系统 Javaee项目,ssm vue前后端分离项目
最新发布
05-07
《SSM+Vue的数据学院教务管理系统JavaEE项目的前后端分离实践》 在现代的Web开发中,前后端分离已经成为一种主流模式,它能够提高开发效率,优化用户体验,同时便于团队协作。本项目——“数据学院教务管理系统”...
一个前后端分离的工单管理系统,项目采用SpringBoot+Vue开发.zip
02-04
《基于SpringBoot+Vue的前后端分离工单管理系统详解》 在现代的Web开发中,前后端分离的设计模式已经成为主流,它将前端界面与后端业务逻辑有效地解耦,提升了开发效率和系统的可维护性。本工单管理系统就是这样一...
毕设项目:基于SpringBoot+Vue前后端分离 实现的宿舍管理系统.zip
08-23
本文将深入探讨一个毕业设计项目——基于SpringBoot+Vue技术栈实现的宿舍管理系统,旨在帮助读者理解如何利用这两种前沿技术进行前后端分离的系统开发。 一、SpringBoot框架基础 SpringBoot是Spring框架的简化,...
RuoYi-Vue & Element 的前后端分离权限管理系统
11-01
《RuoYi-Vue与Element的前后端分离权限管理系统的深度解析》 在现代的软件开发领域,前后端分离的架构模式已经成为主流,它能够有效地提升开发效率,提高系统的可维护性和扩展性。"RuoYi-Vue & Element"就是一个...
若依项目分离 后端部分讲解
ZYLer_的博客
04-18 2345
RuoYi-Vue:后端部分 ​ 若依分离官方文档 ​ 写在前面:下面每一个功能后面写的(如/captchaImage、/login)都是实现该功能的核心方法或者映射路径,使用 Ctrl + Shift +F 全局查找,找到这些核心代码然后去debug。 1. 登录逻辑(含验证码) ​ /captchaImage、/login // 进行登录校验的核心方法:AuthenticationManager.authenticate() // 调用链 AuthenticationManager.authe
项目实战-RuoYi后台管理系统-登录相关接口分析
专注测试领域知识分享和技能提升
03-30 2853
在前面的几篇文章中,有给大家推荐一个开源的项目用来实战练习,不管是职场小白用来做转行的项目实战,还是入行后想提升技能,做自动化,这个项目都是非常合适的选择。项目的一些介绍的内容可以参考之前的文章,接下来,我主要讲解一下,在没有需求文档和接口文档的情况下,测试人员怎么通过抓包去分析相关接口呢?第一步、抓包分析登录页面加载到登录完成都调用了哪些接口打开浏览器,按F12打开开发...
若依前后端分离ruoyi-vue:增加新的登录接口(新用户表),用于小程序或者APP获取token,并使用若依的验证方法,结合腾讯云短信验证码实现手机号+验证码登陆
ytgytg28的博客
11-19 5169
添加新用户表实体类,一定要添加Getter和Setter,之前未添加导致存入Redis后没有用户实体类的信息,查找了好久,主要是我水平有限,可能水平高的人一下就会找到原因了。路径:src/main/java/com/wanuw/common/core/domain/model/LoginUser.java。路径:src/main/java/com/wanuw/framework/config/SecurityConfig.java。根据自己腾讯云实际情况填写,下面只是个样子,*为加密。此时已经添加完成了。
项目之单点登录
daai5201314的博客
10-18 474
早期单一服务器,用户认证。缺点:单点性能压力,无法扩展分布式,SSO(single sign on)模式解决 :用户身份信息独立管理,更好的分布式管理。可以自己扩展安全策略跨域不是问题缺点:认证服务器访问压力较大。业务流程图{用户访问业务时,必须登录的流程}{单点登录的过程}
若依微服务登录流程源码分析1
qq_41683000的博客
12-09 1738
若依微服务登录流程源码分析1
若依前后端分离:增加新的登录接口,用于小程序或者APP获取token,并使用若依的验证方法
热门推荐
yyongsheng的博客
10-29 1万+
LoginController类具体代码登录校验 ——AppLoginService类具体代码AppAuthenticationProvider 类具体代码AppUserDetailsServiceImpl类具体代码此时运行时,会有冲突!!!需要在 xxx-framework/src/main/java/....../SecurityConfig中条件如图:此时启动项目不会报冲突的错千万千万要添加!!!下图中的LongUser类要添加东西。
详解Ruoyi-Vue的登录Springsecurity+JWT
weixin_59015876的博客
04-10 975
这段代码配置了允许无需登录即可访问的URL(如:登录、注册等),以及需要登录才能访问的其他URL。它还禁用了CSRF(跨站请求伪造)保护,添加了自定义的JWT认证过滤器,并设置了无状态的会话策略。请注意,仅当请求头中包含有效的JWT时,此过滤器才会执行这些操作。如果登录成功,将返回的JWT存储在浏览器的。JWT的有效期是有限的,为了避免用户在登录后不久就需要重新登录,你可以实现JWT的刷新机制。前端在发现JWT即将过期时,可以调用这个接口来获取一个新的JWT。方法中,从请求头中获取JWT,然后使用。
spring security elementui前后端分离登陆
05-24
Spring Security和ElementUI可以很好地配合使用,实现前后端分离登录。 首先,你需要在Spring Boot中集成Spring Security。可以通过引入spring-boot-starter-security依赖来实现。在配置类中,你需要实现WebSecurityConfigurerAdapter,重写configure()方法,配置Spring Security的相关参数和行为。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint unauthorizedHandler; @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Override public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder .userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } @Bean(BeanIds.AUTHENTICATION_MANAGER) @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http .cors() .and() .csrf() .disable() .exceptionHandling() .authenticationEntryPoint(unauthorizedHandler) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated(); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` 在上述代码中,我们配置了自定义的用户认证服务(CustomUserDetailsService),密码加密方式(BCryptPasswordEncoder),JWT认证过滤器(JwtAuthenticationFilter),以及请求权限控制规则。 接下来,我们需要实现登录接口和JWT认证过滤器。具体实现可以参考下面代码: ```java @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtTokenProvider tokenProvider; @PostMapping("/login") public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken( loginRequest.getUsernameOrEmail(), loginRequest.getPassword() ) ); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = tokenProvider.generateToken(authentication); return ResponseEntity.ok(new JwtAuthenticationResponse(jwt)); } } @Component public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvider; @Autowired private CustomUserDetailsService customUserDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String jwt = getJwtFromRequest(request); if (StringUtils.hasText(jwt) && tokenProvider.validateToken(jwt)) { Long userId = tokenProvider.getUserIdFromJWT(jwt); UserDetails userDetails = customUserDetailsService.loadUserById(userId); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (Exception ex) { logger.error("Could not set user authentication in security context", ex); } filterChain.doFilter(request, response); } private String getJwtFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 在上述代码中,我们实现了登录接口(AuthController),使用AuthenticationManager进行用户认证,使用JwtTokenProvider生成JWT token,并返回给客户端。 同时,我们实现了JWT认证过滤器(JwtAuthenticationFilter),在每个请求到达后端时,检查请求头中是否携带有效的JWT token,如果是,则将用户信息放入Spring Security上下文中,以便后续进行权限控制。 在ElementUI中,我们可以使用axios库发送登录请求,获取JWT token,并存储在localStorage中,以便后续请求时携带: ```javascript // 登录 axios.post('/api/auth/login', { usernameOrEmail: this.form.username, password: this.form.password }).then(response => { const token = response.data.accessToken localStorage.setItem('accessToken', token) axios.defaults.headers.common.Authorization = `Bearer ${token}` this.$router.push({ path: '/' }) }).catch(error => { console.log(error) }) ``` 在每个请求中,我们需要在请求头中添加Authorization字段,携带JWT token: ```javascript // 示例:获取用户列表 axios.get('/api/users', { headers: { Authorization: `Bearer ${localStorage.getItem('accessToken')}` } }).then(response => { console.log(response.data) }).catch(error => { console.log(error) }) ``` 以上就是如何使用Spring Security和ElementUI实现前后端分离登录的基本步骤。当然,具体实现还需要考虑更多细节和安全性问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Liu_Shihao

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值