spring security前后端分离

已于 2022-01-20 15:04:39 修改
阅读量771 收藏
点赞数 1
文章标签: spring json restful
于 2022-01-20 14:32:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YMY_666/article/details/122600916
版权

编写实现类实现UserDetailsService接口的loadUserByUsername方法
自定义从数据库查询用户密码和权限等信息

@Service
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    SysUserMapper userMapper;
    @Autowired
    SysMenuMapper menuMapper;

    /**
     * 自定义loadUserByUsername
     * 从数据库获取用户的密码和权限
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<SysUser> wrapper=new QueryWrapper<>();
        wrapper.eq("username",username);
        //查询用户
        SysUser user=userMapper.selectOne(wrapper);
        if(user==null){
            throw new UsernameNotFoundException("用户不存在");
        }
        //查询用户的权限
        List<String> permTags=menuMapper.selectPermTagByUserId(user.getId());
        List<GrantedAuthority> auths= AuthorityUtils.createAuthorityList(permTags.toArray(new String[0]));
        return new User(username, user.getPassword(), auths);
    }
}

配置密码器以及权限放行以及跨域和csrf拦截等

@Configuration
@EnableWebSecurity
//启用@PreAuthorize注解
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsService userDetailsService;

	/**
     * 配置Pbkdf2密码器
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
                .passwordEncoder(new Pbkdf2PasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //使用自定义表单登录
        http.formLogin()
                //未登录返回json
                .loginPage("/unLogin")
                //登录url
                .loginProcessingUrl("/login")
                //登录成功,返回json
                .successHandler((request, response, authentication) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    AxiosResult axiosResult=new AxiosResult(200,"登陆成功",authentication.getPrincipal());
                    out.println(new ObjectMapper().writeValueAsString(axiosResult));
                    out.flush();
                    out.close();
                })
                //登录失败,返回json
                .failureHandler((request, response, ex) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    AxiosResult axiosResult=new AxiosResult(401);
                    if (ex instanceof UsernameNotFoundException || ex instanceof BadCredentialsException) {
                        axiosResult.setMessage("用户名或密码错误");
                    } else if (ex instanceof DisabledException) {
                        axiosResult.setMessage("账户被禁用");
                    } else {
                        axiosResult.setMessage("登录失败");
                    }
                    out.println(new ObjectMapper().writeValueAsString(axiosResult));
                    out.flush();
                    out.close();
                })
                //没有权限拒绝访问,返回json
                .and().exceptionHandling().accessDeniedHandler((request, response, accessDeniedException)->{
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    AxiosResult axiosResult=new AxiosResult(403,"拒绝访问");
                    out.println(new ObjectMapper().writeValueAsString(axiosResult));
                    out.flush();
                    out.close();
                })
                //退出登录url
                .and().logout().logoutUrl("/logout")
                //退出成功,返回json
                .logoutSuccessHandler((request, response, authentication) -> {
                    response.setContentType("application/json;charset=utf-8");
                    AxiosResult axiosResult=new AxiosResult(200,"退出登录成功");
                    PrintWriter out = response.getWriter();
                    out.println(new ObjectMapper().writeValueAsString(axiosResult));
                    out.flush();
                    out.close();
                })
                //授权配置
                .and().authorizeRequests()
                    //所有请求
                    .anyRequest()
                    //都放行
                    .permitAll()
                //授权配置
                //.and().authorizeRequests()
                    //.antMatchers("/picture/pictures").hasAuthority("pictures")
                //开启跨域访问
                //.and().cors()
                //关闭csrf拦截(开启会拦截postman)
                .and().csrf().disable();
    }

}

@RestController
public class LoginController {

    @Autowired
    ISysUserService sysUserService;

    @GetMapping("/unLogin")
    public AxiosResult unLogin(){
        return new AxiosResult(401,"未登录");
    }

    @PostMapping("/register")
    public AxiosResult register(@RequestBody SysUser user){
    	//把明文编码成密文
    	String pwd= new Pbkdf2PasswordEncoder().encode(user.getPassword());
        user.setPassword(pwd);
        if(sysUserService.save(user)){
            return new AxiosResult(200,"注册成功");
        }
        return new AxiosResult(500,"注册失败");
    }
}

使用@PreAuthorize注解控制权限,标在类上代表该controller中所有接口都需要’picture’权限,如果标在方法上只作用于当前方法

@RestController
@PreAuthorize("hasAuthority('picture')")
@RequestMapping("/picture")
public class PictureController {

    @Autowired
    IPictureService pictureService;

    @PostMapping("/storage")
    public int storage(@RequestBody MultipartFile file) throws IOException {
        //图片名
        String filename=file.getOriginalFilename();
        //图片二进制数据
        byte[] binaryData = file.getBytes();
        //压缩
        byte[] thumbnail=null;
        if(filename!=null){
            File f=new File(filename);
            Thumbnails.of(file.getInputStream()).scale(0.2f).toFile(f);
            InputStream is=new FileInputStream(f);
            thumbnail=is.readAllBytes();
        }
        return pictureService.storage(filename,binaryData,thumbnail);
    }
}
YMY_666
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 6.x 系列【34】认证篇之前后端分离场景下的集成方案
记录知识、锤炼自我
05-04 1879
Spring Security提供了开箱即用的默认配置,例如默认的登录、登出页面,但在实际开发中,往往需要进行自定义改造,比如前后端分离场景下,前后端通过JSON来进行数据交互,是否操作成功都需要前端通过状态码判断,所有的页面也都需要前端自己去跳转。
Spring Security前后端分离
MostSnails的博客
08-12 3634
Spring Security前后端分离
SpringSecurity 前后端分离
weixin_44514323的博客
03-02 520
初学springSecurity时,我们发现它还是高度前后端耦合的,为了能好好改造它,我先分析了它实现的原理:它底层是javaweb中的Filter 而Filter对象有一个dofilter方法 ,这个方法基本和sevelt的doget方法的参数一样都有 httpRequst 对象, 所以它是用的httpRequest对象进行了请求的转发. 把filter匹配的url都转发到Login里面。 所以进行改造的第一步就是改变它的底层逻辑 , 不在是转发,而是用HttpReponse对象返回 json : pac
SpringSecurity(前后端分离版)[6]-跨域
listeningdu的博客
12-18 602
浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。由于我们的资源都会收到SpringSecurity的保护,所以想要跨域访问还要让SpringSecurity运行跨域访问。// 除上面外的所有请求全部需要鉴权认证。// 设置允许的header属性。// 对于登录接口 允许匿名访问。// 设置允许跨域请求的域名。// 是否允许cookie。// 设置允许的请求方式。// 设置允许跨域的路径。
Spring Security + OAuth2】前后端分离
最新发布
weixin_43676950的博客
05-16 931
跨域全称是跨域资源共享(Cross-Origin Resources Sharing,CORS),它是浏览器的保护机制,只允许网页请求统一域名下的服务,同一域名指=>协议,域名,端口号都要保持一致,如果有一项不同,那么就是跨域请求,在前后端分离的项目中,需要解决跨域的问题。当访问一个需要认证之后才能访问的接口的时候,Spring Security会使用 AuthenticationEntryPoint 将用户请求跳转到登录页面,要求用户提供登录凭证。在WebSecurityConfig,加入注销配置。
SpringSecurity前后端分离
热门推荐
X_lsod的博客
02-13 2万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
Spring Security 前后端分离
Markix的博客
11-14 3241
前后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
spring security前后端分离Demo
weixin_51993595的博客
03-12 196
总结 先上自己的总结:如果自己学习spring security,学习成本太高了。本菜鸡学了一个星期才弄明白一丢丢,一开始看大佬的博客,虽然能看懂,但是很多东西都不理解为什么这么做。只有自己去写一个demo(花费了好几天),才能彻底能清楚。 1、处理没有权限 /** * 处理没有权限 */ @Component public class CustomizeAccessDeniedHandler implements AccessDeniedHandler { @Override pu
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
springbootspringsecurity前后端分离(一个小demo)
08-21
总的来说,这个小demo展示了如何在Spring Boot和Spring Security的环境中实现前后端分离的安全控制,其中后端负责验证用户身份和授权,前端则根据后端的反馈来决定用户界面的行为。这样的设计模式在现代Web开发中...
基于SpringBoot,Spring Security前后端分离的医疗信息管理系统.zip
04-03
基于SpringBoot,Spring Security,JWT,Vue & Element 的,目前主要模块划分为门诊部分,住院登记收费、住院医生护士站三个部分。 毕业设计是高等教育阶段学生在完成学业前所进行的一项重要学术任务,旨在检验...
基于spring boot + spring security 前后端分离 的宿舍管理系统的后端项目.zip
04-04
毕业设计是高等教育阶段学生在完成学业前所进行的一项重要学术任务,旨在检验学生通过学习所获得的知识、技能以及对特定领域的深刻理解能力。这项任务通常要求学生运用所学专业知识,通过独立研究和创新,完成一个...
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3323
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity实现前后端分离登录授权详解
qq_43649937的博客
06-14 4652
SpringSecurity java Springboot
一文搞懂SpringSecurity+JWT前后端分离~
weixin_45647685的博客
04-27 1万+
1、简介 SpringSecurity属于Spring家族中的一款安全管理框架,,它提供了一套Web应用安全性的完整解决方案。主要的功能是认证和授权。 **认证 *验证当前访问系统的是不是本系统的用户,并且要确定具体是哪个用户。 **授权 *经过认证后判断当前用户是否有权限进行某个操作。 2、快速入门 2.1、创建一个SpringBoot工程 1、先创建一个最基本的SpringBoot工程,配置好相关数据库,并且编写一个Controller进行测试。 ① 导入依赖 ...
SpringSecurity实现前后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
SpringSecurity前后端分离的使用
make_progress的博客
07-07 1999
使用SpringSecurity实现安全认证,使用模拟redis的缓存机制,实现不同权限的登录设置。注:application.yml文件没有添加内容。 3.2 config包 3.2.1 WebSecurityConfig 安全配置 3.2.2 UserDetailsServiceImp 用户登录认证 3.2.3 AuthenticationEntryPointImp 用户登录状态认证 3.2.4 AccessDeniedHandlerImp 用户鉴权 3.3 filter包下Authentication
Sping Security前后端分离两种方案
sdasdas12的博客
07-10 440
Spring Security是基于Spring框架,提供了一套Web应用安全性的完整解决方案。关于安全方面的两个核心功能是认证和授权,Spring Security重要核心功能就是实现用户认证(Authentication)和用户授权(Authorization)。Spring Security进行认证和鉴权的时候,采用的一系列的Filter来进行拦截的。下图是Spring Security基于表单认证授权的流程,
spring security 前后端分离
03-16
Spring Security 前后端分离是一种常见的安全解决方案,它将前端和后端分离开来,使得前端和后端可以独立开发和部署。在这种架构下,前端负责展示页面和用户交互,后端负责处理业务逻辑和数据存储,Spring Security ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值