spring security使用总结

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量760 收藏
点赞数
分类专栏: java spring security 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Java_glory_/article/details/121475457
版权

spring security 使用总结

两大核心:1、认证 2授权

认证:就是常见的用户名密码校验 通过实现UserDetailsService 中 loadUserByUsername 方法 完成用户认证
授权:通过继承BasicAuthenticationFilter实现doFilterInternal 方法实现授权 (暂时还未用到,个人理解,期待指导)

spring security 里面封装的内容很多 里面都是通过filter使用责任链的模式来实现的

暂时只用到了认证
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {
private UserDetailsService userDetailsService;
private TokenManager tokenManager;
private IndustryPasswordEncoder industryPasswordEncoder;
private RedisTemplate redisTemplate;

@Reference
private UserInfoService userInfoService;

@Autowired
public TokenWebSecurityConfig(UserDetailsService userDetailsService, IndustryPasswordEncoder industryPasswordEncoder,
                              TokenManager tokenManager, RedisTemplate redisTemplate) {
    this.userDetailsService = userDetailsService;
    this.industryPasswordEncoder = industryPasswordEncoder;
    this.tokenManager = tokenManager;
    this.redisTemplate = redisTemplate;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.sessionManagement().invalidSessionStrategy(new MyInvalidSessionStrategy())
            .and().exceptionHandling()
            .authenticationEntryPoint(new CustomAuthenticationEntryPoint()) //屏蔽密码错误弹框
            .and().csrf().disable()
            .authorizeRequests()
            .anyRequest().authenticated()
            .and().logout().logoutUrl("/logout")
            .addLogoutHandler(new TokenLogoutHandler(tokenManager, redisTemplate))
            .and()
            .rememberMe().key("xxx").alwaysRemember(true)
            .rememberMeServices(new RememberMeServiceImpl(userInfoService, authenticationManager()))              
            //.addFilter(new TokenLoginFilter(authenticationManager(), tokenManager, redisTemplate)) //登录认证过滤器     
            //.addFilter(new TokenAuthenticationFilter(authenticationManager(), tokenManager, redisTemplate))//授权filter暂时不需要
            .and()
            .httpBasic();
}
//屏蔽密码错误弹框
class CustomAuthenticationEntryPoint extends BasicAuthenticationEntryPoint {
    CustomAuthenticationEntryPoint() {
        this.setRealmName("xxx");
    }

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException)
            throws IOException {
        // 能屏蔽掉浏览器弹出登录框
        response.setHeader("WWW-Authenticate", "FormBased");
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        // 自定义401处理
        response.getWriter().write(JSONObject.toJSONString(ApiResponse.error(401, "用户名或者密码错误")));
    }
}
//配置不要拦截的请求
@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/test1", "/test/test2");
}

}

记住我过滤器:用于业务场景小程序登陆 前端会将openid放入header中 重写autoLogin方法
public class RememberMeServiceImpl implements RememberMeServices {

private UserInfoService userInfoService;
private AuthenticationManager authenticationManager;

private AuthenticationDetailsSource<HttpServletRequest, ?> authenticationDetailsSource = new WebAuthenticationDetailsSource();


public RememberMeServiceImpl(UserInfoService userInfoService, AuthenticationManager authenticationManager) {
    this.userInfoService = userInfoService;
    this.authenticationManager = authenticationManager;
}

@Override
public Authentication autoLogin(HttpServletRequest request, HttpServletResponse response) {

    String openid = request.getHeader("user-source");
    log.info("autoLogin:{}", openid);
    //只有小程序 走rememberme
    if (StringUtils.isBlank(openid)) {
        return null;
    }
    UserBean userBean = userInfoService.getUserMsgByOpenid(openid);
    if (userBean == null) {
        return null;
    }
    SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority("USER");
    IndustrySessionInfo info = new IndustrySessionInfo(userBean.getId().longValue()
            , userBean.getUsername(), userBean.getPassword(), Collections.singletonList(grantedAuthority));
    RememberMeAuthenticationToken auth = new RememberMeAuthenticationToken("qianlima", info, new ArrayList<>());
    auth.setDetails(this.authenticationDetailsSource.buildDetails(request));
    return auth;
}

@Override
public void loginFail(HttpServletRequest httpServletRequest, HttpServletResponse response) {

}

@Override
public void loginSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) {

}

}

到这暂时就结束了,只是security认证的简单使用,后续会继续扩展更新,技术道路永无止路,继续成长

chen's blog
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security系列教程14--基于自定义的认证提供器实现图形验证码
一一哥
09-26 1074
前言 在上一个章节中,一一哥 带大家实现了如何在Spring Security中添加执行自定义的过滤器,进而实现验证码校验功能。这种实现方式,只是实现验证码功能的方式之一,接下来我们再学习另一种实现方式,就是利用AuthenticationProvider来实现验证码功能,通过这个案例,我们学习如何进行自定义AuthenticationProvider。 一. 认证提供器简介 在上一章节中,我带各位利用自定义的过滤器实现了图形验证码效果,接下来我们利用另一种方式,基于自定义的认证提供器来实现图形验证码
spring security 5 (5)-自定义认证
JAVA博客
03-10 5606
第3篇讲过,用户登录时,系统会读取用户的UserDetails对其认证,认证过程是由系统自动完成的,主要是检查用户密码。而在现实中,登录方式并不一定是检查密码,也可能是验证码或其他,此时就需要自定义认证。 AuthenticationProvider 自定义认证逻辑在AuthenticationProvider的authenticate方法中完成,第4篇讲过,认证的入参是一个未认证Authen...
Spring Security 详解
最新发布
As_Yua的博客
07-31 2639
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Springboot+SpringSecurity实现图片验证码功能
lyy的博客
01-16 6413
到目前,我学会了两种方法,在这里分享给大家。 第一种 在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。 第一步:实现自定义的WebAuthenticationDetails 该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthenticationDetail...
Spring Security在登录验证中增加额外数据(如验证码)
weixin_34248849的博客
07-13 980
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthe...
spring boot 单体项目 集成 spring security 实现 登录认证 权限认证 jwt token认证
weixin_40773253的博客
05-06 1756
这篇博文讲述的是不集成oath,通过自己编写jwt 的 token 生成器 实现 spring security 的 登录权限token认证的实现方法。 目录结构如下: pom文件 加入 springsecurity 和 JWT的引用包 <!-- spring security --> <dependency> <groupId&gt...
springsecuritySpring安全学习总结
01-29
Spring安全学习总结 ...spring security 学习总结总结是逐步进行重建的,逐步版本我都使用了git tag来管理。例如,最开始的tag是step1 ,那么可以使用 git checkout step1 来获得这一版本。版本历史见 。
Spring Security 学习总结1_3
03-14
"springsecurity-namespace"可能指的是Spring Security的XML命名空间配置。在Spring Security的早期版本中,使用XML配置是最常见的实践。例如,你可能会看到以下片段: ```xml **" access="hasRole('ROLE_ADMIN')...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链的机制和特性可以总结为以下几点: * Spring Security 的 FilterChainProxy 可以代理多条过滤器链,并根据不同的 URI 匹配策略进行分发。 * 每个请求每次只能被分发到一条过滤器链。 * 每...
关于一个新手的SpringSecurity入门总结
04-21
在这个入门总结中,我们将探讨如何为新手配置和使用SpringSecurity。 首先,SpringBoot 已经为我们提供了SpringSecurity的自动配置。在默认情况下,当我们启动应用时,控制台会输出一个UUID值,这个值用于默认账户...
初学spring security(五)-----Remember Me功能实现
m0_48631806的博客
03-25 193
Spring Security 中Remember Me为“记住我”功能,用户只需要在登录时添加remember-me复选框,取值为true。Spring Security会自动把用户信息存储到数据源中,以后就可以不登录进行访问。需要实现实现依赖Spring-JDBC,此处导入mybatis启动器,MySQL驱动。
前后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 4062
前后端分离架构 -- SpringSecurity用法+自定义token校验
Spring Security添加IP限制功能
MINWH的专栏
05-08 7315
项目中要为SpringSecurity添加IP限制功能,一开始的做法是继承DaoAuthenticationProvider,在additionalAuthenticationChecks方法中使用WebAuthenticationDetails的getRemoteAddress获取客户端IP,然后判断是否需要限制登录。在tomcat上单独部署时,这样做一切正常,当使用apache作为前端代理
spring boot oauth2 支持不同登录类型 自定义token信息返回
Riteny的博客
06-09 1193
近期在项目需求上需要用到不同的用户类型,并且不同的用户,check_token 返回的信息也需要不一样 在这里例子发上来,希望能够帮到别人,同时也给自己留个记录 首先,先添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</arti
万字长文,SpringSecurity
mySoul
06-30 1038
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
Spring Security 认证流程
m0_59448100的博客
10-04 723
Spring Security 认证流程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值