项目mall学习——SpringSecurity+JWT实现登录认证

最新推荐文章于 2024-03-11 19:18:36 发布
最新推荐文章于 2024-03-11 19:18:36 发布
阅读量600 收藏 3
点赞数
分类专栏: SpringSecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TonegawaKaiji/article/details/125129564
版权

本文结合macro大神mall项目以及以下三篇优秀文章总结而成:
(1)Spring Security 工作原理概览
(2)spring security——基本介绍(一)
(3)Security身份认证之UserDetailsService

一、SpringSecurity过滤器链

用户发送请求会经过Security过滤器链,通过UsernamePassword
AuthenticationFilter时检查username和password是否在数据库中。
在这里插入图片描述

二、身份认证流程图

在这里插入图片描述

三、身份认证代码跟踪

1.AbstractAuthenticationProcessingFilter

身份认证时首先经过该过滤器执行doFilter方法,其中 调用 requiresAuthentication方法判断是否需要验证,如需要则会调用验证方法(核心)attemptAuthentication,此时有三种结果:

  1. 返回Null,表示身份验证不完整。假设子类做了一些必要的工作(如重定向)来继续处理验证,方法将立即返回。假设后一个请求将被这种方法接收,其中返回的Authentication对象不为空。
  2. 返回一个 Authentication 对象。校验成功,调用successfulAuthentication方法。
  3. 验证时发生 AuthenticationException。验证失败,调用unsuccessfulAuthentication方法。

public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean implements ApplicationEventPublisherAware, MessageSourceAware {
	//......
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
        if (!this.requiresAuthentication(request, response)) {
            chain.doFilter(request, response);
        } else {
            if (this.logger.isDebugEnabled()) {
                this.logger.debug("Request is to process authentication");
            }

            Authentication authResult;
            try {
                authResult = this.attemptAuthentication(request, response);
                if (authResult == null) {
                    return;
                }

                this.sessionStrategy.onAuthentication(authResult, request, response);
            } catch (InternalAuthenticationServiceException var8) {
                this.logger.error("An internal error occurred while trying to authenticate the user.", var8);
                this.unsuccessfulAuthentication(request, response, var8);
                return;
            } catch (AuthenticationException var9) {
                this.unsuccessfulAuthentication(request, response, var9);
                return;
            }

            if (this.continueChainBeforeSuccessfulAuthentication) {
                chain.doFilter(request, response);
            }

            this.successfulAuthentication(request, response, chain, authResult);
        }
    }
    //......
}

2.UsernamePasswordAuthenticationFilter

由上一步可知,校验核心在于调用了attemptAuthentication方法,但是AbstractAuthenticationProcessingFilter类中并没有实现,而是交由其子类UsernamePasswordAuthenticationFilter实现。

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
	//......
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }
    //......
}

发现该方法将request中提取的username和password封装成了token,并调用了getAuthenticationManager方法,委托AuthenticationManager接口进行验证(authenticate方法)。

3.ProviderManager

默认情况下注入 Spring 容器的 AuthenticationManager 是 ProviderManager。ProviderManager实现了AuthenticationManager接口,。ProviderManager管理了许多AuthenticationProvider (接口),其验证逻辑是通过getProviders方法得到一系列AuthenticationProvider ,进行验证(authenticate方法),直到有一个验证成功,不继续验证。不难看出其核心代码是

Authentication result = provider.authenticate(authentication);

public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
	//......
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        //......
        Iterator var8 = this.getProviders().iterator();

        while(var8.hasNext()) {
            AuthenticationProvider provider = (AuthenticationProvider)var8.next();
            if (provider.supports(toTest)) {
                if (debug) {
                    logger.debug("Authentication attempt using " + provider.getClass().getName());
                }

                try {
                    result = provider.authenticate(authentication);
                    if (result != null) {
                        this.copyDetails(authentication, result);
                        break;
                    }
                } catch (InternalAuthenticationServiceException | AccountStatusException var13) {
                    this.prepareException(var13, authentication);
                    throw var13;
                } catch (AuthenticationException var14) {
                    lastException = var14;
                }
            }
        }
		//......
    }
    //......
}

4.AbstractUserDetailsAuthenticationProvider

AbstractUserDetailsAuthenticationProvider类实现了AuthenticationProvider,实现了authenticate方法。

public abstract class AbstractUserDetailsAuthenticationProvider implements AuthenticationProvider, InitializingBean, MessageSourceAware {
	//......
	
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication, () -> {
            return this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.onlySupports", "Only UsernamePasswordAuthenticationToken is supported");
        });
        String username = authentication.getPrincipal() == null ? "NONE_PROVIDED" : authentication.getName();
        boolean cacheWasUsed = true;
        UserDetails user = this.userCache.getUserFromCache(username);
        if (user == null) {
            cacheWasUsed = false;

            try {
                user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);
            } catch (UsernameNotFoundException var6) {
                this.logger.debug("User '" + username + "' not found");
                if (this.hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(this.messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                }

                throw var6;
            }

            Assert.notNull(user, "retrieveUser returned null - a violation of the interface contract");
        }
		//......
    }
    //......
}

其核心代码为:

UserDetails user = this.retrieveUser(username, (UsernamePasswordAuthenticationToken)authentication);

该方法交由其子类DaoAuthenticationProvider实现。

5.DaoAuthenticationProvider

public class DaoAuthenticationProvider extends AbstractUserDetailsAuthenticationProvider {
	//......
	protected final UserDetails retrieveUser(String username, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        this.prepareTimingAttackProtection();

        try {
            UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
            if (loadedUser == null) {
                throw new InternalAuthenticationServiceException("UserDetailsService returned null, which is an interface contract violation");
            } else {
                return loadedUser;
            }
        } catch (UsernameNotFoundException var4) {
            this.mitigateAgainstTimingAttack(authentication);
            throw var4;
        } catch (InternalAuthenticationServiceException var5) {
            throw var5;
        } catch (Exception var6) {
            throw new InternalAuthenticationServiceException(var6.getMessage(), var6);
        }
    }
	//......
}

其核心代码为:

UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);

发现调用了UserDetailsService接口进行具体身份验证逻辑,用户可以自定义配置其实现类以及UserDetails的实现类(拓展除了username和password以外的其他字段,如permissions、roles)。

四、自定义实现并配置UserDetailsService接口

1.自定义实现与安全配置

  • configure(HttpSecurity httpSecurity):用于配置需要拦截的url路径、jwt过滤器及出异常后的处理器;
  • configure(AuthenticationManagerBuilder auth):用于配置UserDetailsService及PasswordEncoder;
  • UserDetailsService:SpringSecurity定义的核心接口,用于根据用户名获取用户信息,需要自行实现;
  • UserDetails:SpringSecurity定义用于封装用户信息的类(主要是用户信息和权限),需要自行实现;
  • JwtAuthenticationTokenFilter:在用户名和密码校验前添加的过滤器,如果有jwt的token,会自行根据token信息进行登录,可校验token是否过期。
  • UserDetailsService中使用了业务层逻辑,详情请自行学习macro大神mall项目。
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	//......
	@Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
    // 自定义权限拦截器JWT过滤器
    registry.
    .and()
    .addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
    //......
    }
	@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService())
                .passwordEncoder(passwordEncoder());
    }
    @Bean
    public UserDetailsService userDetailsService() {
        //获取登录用户信息
        return username -> {
            UmsAdmin admin = adminService.getAdminByUsername(username);
            if (admin != null) {
                List<UmsPermission> permissionList = adminService.getPermissionList(admin.getId());
                return new AdminUserDetails(admin,permissionList);
            }
            throw new UsernameNotFoundException("用户名或密码错误");
        };
    }
	//......
}
TonegawaKaiji
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring SecurityJWT实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
springsecurity+jwt实现登录权限认证
anan_yyds的博客
06-13 576
创建springsecurity配置类,在这里使用@Bean注解来注入过滤器的bean,交给spring管理。@Configuration注解来注入bean,否则后续会导致security放行失败从而拦截了登录接口。创建登录过滤器,验证token登录权限,注意该类不需要添加@Component。在yml配置文件中编写关于token管理的基本配置。可以自定义添加未授权和未登录的返回结果。首先导入security框架的依赖。
SpringSecurity+JWT 登录授权
小蘑菇&浪天涯的博客
11-04 769
SpringSecurity+JWT 登录授权过滤器
SpringSecurity+JWT登录认证
张氏小毛驴的博客
08-11 1985
其实,到了这里我们就差将我们自定义的Filter和Provider添加到SpringSecurity的主配置中,就实现认证了,但我们这次用的是JWT方式,服务器端并没有记录登录用户的信息,因此我们需要多一个过滤器,用来拦截请求,验证Token的,如果请求携带了Token,并且token里的信息是正确的,我们才将Authentication设置已认证,让SpringSecurity过滤器链去做后续的鉴权啥的。​ 俺今天是要使用SpringSecurity实现JWT认证,前后端分离,使用JSON交互。...
Spring Security 构建基于 JWT登录认证
热门推荐
Mr. David 专栏
07-15 2万+
一言以蔽之,JWT 可以携带非敏感信息,并具有不可篡改性。可以通过验证是否被篡改,以及读取信息内容,完成网络认证的三个问题:“你是谁”、“你有哪些权限”、“是不是冒充的”。为了安全,使用它需要采用 Https 协议,并且一定要小心防止用于加密的密钥泄露。采用 JWT认证方式下,服务端并不存储用户状态信息,有效期内无法废弃,有效期到期后,需要重新创建一个新的来替换。所以它并不适合做长期状态保持,不适合需要用户踢下线的场景,不适合需要频繁修改用户信息的场景。
spring-sercurity实现JWT登录
lizsy的博客
04-18 145
基于上述流程图,我们需要实现一个登录的接口,代码如下。JWT的生成方式请参考。
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
通过这种方式,Spring Security会处理用户的登录认证,而JWT则负责在后续的API请求中传递用户信息,实现无状态的身份验证。Spring Security OAuth2库可以进一步扩展功能,例如实现OAuth2的授权流程,以便在多应用...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Spring security 整合JWT登录流程
m0_46937429的博客
01-13 4859
Spring security 的工作流程 说明 客户端发起一个请求,进入Security 过滤器链 当到LogoutFilter 的时候判断是否是登出的路径,如果是登出路径则到logoutHandler ,如果登出成功则到logoutSuccessHandler 登出成功处理,如果不是登出路径则直接进入下一个过滤器 当到UsernamePasswordSuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器登录操作,如果失败则到SuthenticationFailur
使用securityjwt进行安全登录
Proxbj的博客
09-24 668
** 使用securityjwt进行安全登录 ** 一、首先security进行用户验证和授权 jwt负责颁发令牌与校验,判断用户登录状态,如果有令牌则代表已经登录 二、 1.首先从数据库获取用户名和密码,判断用户名和密码是否正确。再将前端传回的用户名的角色和权限提取出来赋值给数据库查出来的用户对象,将密码置为空串(密码不能存在jwt的头部和载荷),接着生成令牌,这个令牌交给客户端会保存在localstoryge或者sessionstoryge或者cookie中。 此时访问登录页面会401,原因是登录页面
springboot+springsecurity+jwt 完整登录验证流程 小白都会!
Caryll的博客
07-15 810
Spingboot+springsecurity+jwt 学习参考
Mall整合SpringSecurity
成长需要沉淀。
01-01 251
Mall整合SpringSecurity 1、依赖 1.1、pom依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http
Mall脚手架总结(一)——SpringSecurity实现鉴权认证
荔枝当大佬的博客
10-06 496
在结束理论知识的学习后,荔枝开始项目学习,这个系列文章将围绕荔枝学习mall项目过程中总结的知识点来梳理。本篇文章主要涉及如何整合Spring SecurityJWT实现鉴权认证的功能!希望能帮助到一起学习mall项目的小伙伴~~~
SpringSecurity+JWT实现登陆验证的思路(有一点点源码分析)
weixin_45654405的博客
04-04 1746
看了几个SpringSecurity+JWT的登陆demo,两个demo在一些细节实现上有一些不同,然后对于各个类和接口的关系比较模糊,就决定整理一下思路。 先简单的借用一下一位UP 三更草堂的图了解一下登陆大概的流程和用到的类,这个他讲的还比较清晰。 前后端分离项目登陆流程。 SpringSecurity工作流程(过滤器链) 登陆的后端实现:要实现登录验证主要需要实现上图过滤链的橙色方块部分的过滤器(UsernamePasswordAuthenticationFilter),这个过滤器的工作原理如下图
mall整合SpringSecurityJWT实现认证和授权(一)
最新发布
weixin_42907150的博客
03-11 629
本文主要讲解mall通过整合SpringSecurityJWT实现后台用户的登录和授权功能,同时改造Swagger-UI的配置使其可以自动记住登录令牌进行发送。SpringSecurity是一个强大的可高度定制的认证和授权框架,对于Spring应用来说它是一套Web安全标准。SpringSecurity注重于为Java应用提供认证和授权功能,像所有的Spring项目一样,它对自定义需求具有强大的扩展性。
spring security设置用户jwt令牌和设置接口访问权限案例
qq_41358574的博客
10-19 1254
文章目录1.配置Swagger2.spring security配置3.用户校验逻辑注册和登录接口dao层 service层 pojo层4.加密验证逻辑5.生成令牌逻辑身份验证提供者:自定义令牌对象:6.登录认证过滤器:7.JwtToken工具类:security工具类8.权限封装:9.用户模型:10.测试生成令牌11.测试用户权限 1.配置Swagger 为了方便测试首先在swagger config中配置加入令牌项,配置token作为请求头部参数: @Configuration @EnableSwag
Spring Security介绍
weixin_53227829的博客
05-05 608
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“”和“”,一般来说,Web 应用的安全性包括两个部分,这两点也是 SpringSecurity 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。
Spring Security+JWT实现
08-20
- *1* *2* [厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证](https://blog.csdn.net/qing_gee/article/details/124016059)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值