Spring Security(学习笔记) --Json登录的两种方式!

最新推荐文章于 2024-05-31 15:27:54 发布
最新推荐文章于 2024-05-31 15:27:54 发布
阅读量432 收藏 4
点赞数 1
分类专栏: Spring Security 文章标签: spring 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TONGZHOUGONGDU/article/details/138136662
版权

重点标识

Json登录。
Security默认是key-value的形式的。

前后端分离,Json处理比较方便。

Security默认是通过request.getpartmater这种方式获取,所以不支持。

自定义登录接口(方法一)

上一篇已经说过了,Spring容器里面是没有AuhtenticationManager,但是有AuhtenticationManagerBuilder。

创建一个登录接口:


@Controller
public class LoginController {

    @Autowired
    AuthenticationManager authenticationManager;

    @PostMapping("/login")
    @ResponseBody
    public String login(@RequestBody User user, HttpSession session){

        //未认证令牌,参考UsernamePasswordAuthenticationFilter这个来写就行了
        try {
            UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(user.getUsername(), user.getPassword());

            Authentication auth = authenticationManager.authenticate(authRequest);

            //这里还有一点要注意,我们一般都是从SecurityContextHolder取到用户信息的,那这里也别忘了给他放进去
            SecurityContextHolder.getContext().setAuthentication(auth);
            //还有一点要注意,新版的Security是从session中获取的,那本次会话的下次请求想要拿到,也需要丢到session中去
            session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY,SecurityContextHolder.getContext());
            return auth.getName();

        } catch (AuthenticationException e) {
            //throw new RuntimeException(e);
            //如果出现错误,这里简单点,就不封装了,直接返回好了
            return e.getMessage();
        }
    }
}

向Spring容器中注入一个AuthenticationManager 。


@Configuration
public class SecurityConfig {


    UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("admin").password("{noop}123").build());
        return inMemoryUserDetailsManager;
    }

    @Bean
    AuthenticationManager authenticationManager(){
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
       daoAuthenticationProvider.setUserDetailsService(userDetailsService());
        ProviderManager providerManager = new ProviderManager(daoAuthenticationProvider);
        return providerManager;
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http.authorizeHttpRequests(a->a.requestMatchers("/login").permitAll().anyRequest().authenticated())
                .csrf(c->c.disable());
        return http.build();
    }

}

User类也给大家


public class User {

    private String username;

    private String password;

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

看一下测试结果:

在这里插入图片描述
再看一下,同一个会话中,另一个请求能不能获取到用户信息:

在这里插入图片描述
ok ,都没问题,实际上,像我们之前写的验证码,如果不想采用过滤器的形式,也可以通过自定义登录这种方式,写在authenticate之前,try里面,这样验证错误被捕捉,也可以直接返回。

修改过滤器UsernamePasswordAuthenticationFilter(方法二)

准备一个过滤器,继承自UsernamePasswordAuthenticationFilter,在它的基础上,改一改就行了。


public class JsonFilter extends UsernamePasswordAuthenticationFilter {

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {

            String contentType = request.getContentType();
            if (contentType.equalsIgnoreCase(MediaType.APPLICATION_JSON_VALUE) || contentType.equalsIgnoreCase(MediaType.APPLICATION_JSON_UTF8_VALUE)) {
                //json请求
                String username = null;
                String password = null;
                try {
                    User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
                    username = user.getUsername();
                    username = username != null ? username.trim() : "";
                    password = user.getPassword();
                    password = password != null ? password : "";
                } catch (IOException e) {
                    throw new RuntimeException(e);
                }


                UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(username, password);
                this.setDetails(request, authRequest);
                return this.getAuthenticationManager().authenticate(authRequest);
            } else {
                //key -value
                return super.attemptAuthentication(request, response);

            }
        }
    }
}

然后,配置一下。


@Configuration
public class SecurityConfig {


    @Bean
    JsonFilter jsonFilter(){
        JsonFilter jsonFilter = new JsonFilter();
        jsonFilter.setFilterProcessesUrl("/login");
        jsonFilter.setAuthenticationSuccessHandler(((request, response, authentication) -> {

            response.getWriter().write(authentication.getName());
        }));

        jsonFilter.setAuthenticationFailureHandler(((request, response, exception) -> {
            response.setContentType("text/html;charset=utf-8");
            response.getWriter().write(exception.getMessage());
        }));


        jsonFilter.setAuthenticationManager(authenticationManager());
        //配置Security的存储策略,如果我们没有定义jsonFilter,系统会给UsernamePasswordAuthenticationFilter设置SecurityContextRepository
        //这个说白了,就是,同一个会话的后续请求认证也要存上
        jsonFilter.setSecurityContextRepository(new HttpSessionSecurityContextRepository());
        return jsonFilter;
    }

    UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("admin").password("{noop}123").build());
        return inMemoryUserDetailsManager;
    }

    @Bean
    AuthenticationManager authenticationManager(){
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
       daoAuthenticationProvider.setUserDetailsService(userDetailsService());
        ProviderManager providerManager = new ProviderManager(daoAuthenticationProvider);
        return providerManager;
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http.authorizeHttpRequests(a->a.anyRequest().authenticated())
                //.addFilter()  添加一个过滤器,但是自动排序,一般不用这个
                //添加一个过滤器,在某一个过滤器前面
                .addFilterBefore(jsonFilter(), UsernamePasswordAuthenticationFilter.class)
                .csrf(c->c.disable());
        return http.build();
    }

}

这样就ok了,同理,之前的验证码,也可以在这个过滤器里面实现的。

结语

生命不息,奋斗不止,加油!

同舟共度
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1738
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
详解Spring Security如何配置JSON登录
10-19
主要介绍了详解Spring Security如何配置JSON登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security基于json登录实现过程详解
10-14
主要介绍了Spring Security基于json登录实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security OAuth2.0 - 学习笔记
瞅你咋滴。
07-24 651
Spring Security是解决安全访问控制的问题,就是认证和授权。Spring Security的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问所期望的资源,对web资源的保护是通过Filter来实现的。当初始化Spring Security时,在org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration。
Spring Security学习笔记-登录
qq_35876261的博客
05-03 91
由于HTTP是无状态的,当用户登录成功后断开连接,等下次再次登录时不会记录你之前的登录状态,所以我们必须自己保存登录状态,一般有两种方法有状态和无状态两种方法 有状态登录 服务器会保存局部信息,会保存回话的客户信息,然后给客户端一个cookie来记录SessionID,客户端访问时会携带SessionID,服务器通过SessionID找到用户信息。 优点:便于管理,可以随时对客户信息进行操作 缺点: 当登用户过多时,服务器保存数据太多会造成一定压力 不支持集群部署 在移动端可能不支持cooki
Spring Security学习笔记
小松鼠的博客
08-08 961
Spring Security是基于Spring的一套权限框架,它有两大重要核心功能:用户认证和用户授权。用户认证指的是某个用户能否访问该系统,用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般在系统中,不同的用户会分配不同的角色,不同的角色也对应不同的权限。...
spring security学习笔记(二)--授权
bjjx123456的博客
10-01 529
例:只有这个user在其对应的role对应的menu表中的perms字段(权限字段)中有sys:student:operation才可以访问。我们知道springboot中有全局异常处理器,当发生异常后会如果没在controller层,service层或者dao层进行处理会向上抛出给全局异常处理器,从而统一返回结果。SpringSecurity也有异常处理机制,我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
SpringSecurity学习笔记
ErrorRua的博客
10-19 1394
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架**Shiro**,它提供了更丰富的功能,社区资源也比Shiro丰富。
B站三更草堂SpringSecurity学习笔记
qq_50660356的博客
11-27 1719
三更 Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架 Shiro,它提供了更丰富的功能,社区资源也比 Shiro 丰富。一般来说中大型的项目都是使用 SpringSecurity 来做安全框架。小项目有 Shiro 的比较多,因为相比与 SpringSecurity,Shiro 的上手更加的简单。
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
SpringSpring Security学习笔记
passnight的博客
09-23 227
Spring Security学习笔记
Spring Boot学习笔记-Spring Security(一)
快哉此风的博客
03-11 520
文章目录Spring Security简介使用引入Spring Security依赖:配置方式使用配置文件配置继承WebSecurityConfigurationAdapter基于内存的认证HttpSecurity登录表单详细配置注销登录配置多个HttpSecurity Spring Security 简介 Spring Security是一个能够为基于Spring生态圈,提供安全访问控制解决方案...
springboot基本使用十二(PageHelper分页查询)
最新发布
weixin_41670405的博客
05-31 422
startPage(page,pageSize)方法进行分页查询,这个方法需要传入两个参数,第一个参数为页码(page自定义名称),第二个为每页的数量(pageSize自定义名称)分页查询还得到数据总量。
spring-boot-starter-json
09-05
Spring Boot Starter JSON 是一个用于在 Spring Boot 项目中集成 JSON 处理的起步依赖。它提供了对 JSON 数据的序列化和反序列化支持,方便在 Spring Boot 应用中处理 JSON 数据。 通过引入 spring-boot-starter-json 依赖,Spring Boot 会自动为你配置一个 JSON 处理器,默认使用 Jackson。你可以使用注解来指定需要将 Java 对象转换为 JSON 或将 JSON 转换为 Java 对象的方式。 这个起步依赖对于构建 RESTful API 或处理前后端数据交互非常有用。它简化了 JSON 处理的配置过程,并提供了一些方便的工具和注解,使开发更加高效。 如果你想要在 Spring Boot 项目中使用 JSON 处理功能,可以在项目的 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-json</artifactId> </dependency> ``` 这样,在你的项目中就可以直接使用 JSON 处理的相关功能了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值