SpringBoot3.0 + SpringSecurity 分离版

最新推荐文章于 2024-05-09 22:40:29 发布
最新推荐文章于 2024-05-09 22:40:29 发布
阅读量1.3k 收藏 8
点赞数 1
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ying_ph/article/details/130644638
版权

1.序 

SpringBoot2.6 + SpringSecurity 分离版_securityconfig配置_一枚小蜗牛H的博客-CSDN博客

参考2.6,升级SpingBoot3.0 相对于SpringSecurity也升级到了6.0相对应配置变化。

由于升级到3.0,jdk也必须是17+。首先没有了javax包,需要的都需要改,jwt也是一样。swagger配置的也不生效了,3.0只支持openapi3,knife4j包要升级到4.0,具体看knife4j官网。

2.Security配置类修改

请看代码对比修改

package com.cn.config.security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

import java.util.Collections;

/**
 * @program: demo
 * @Description 配置
 * @Date 2023/3/8
 */
@Configuration
@EnableWebSecurity
@EnableMethodSecurity//开启注解权限配置
public class SecurityConfig {
    /**
     * 自定义授权拦截器
     */
    @Autowired
    private MyLoginJwtFilter myLoginJwtFilter;
    /**
     * 自定义UserDetailsService实现
     */
    @Autowired
    private MyUserDetailService myUserDetailService;
    /**
     * 认证失败
     */
    @Autowired
    private MyAuthenticationEntryPoint myAuthenticationEntryPoint;
    /**
     * 授权失败
     */
    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;
    /**
     * 注销成功
     */
    @Autowired
    private MyLogoutSuccessHandler myLogoutSuccessHandler;

    /**
     * 强散列哈希加密实现 没有这个会报错 There is no PasswordEncoder mapped for the id “null“
     */
    @Bean
    public BCryptPasswordEncoder newBCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //暴露出来 解决无法直接注入 AuthenticationManager
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }

    /**
     * 配置类
     *
     * @param httpSecurity HttpSecurity
     * @throws Exception Exception
     */
    @Bean
    SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                //过滤请求
                .authorizeHttpRequests()
                //对于登录login 注册register 验证码captchaImage 放开
                .requestMatchers("/login/**").permitAll()
                //测试功能 放开
                .requestMatchers("/test/**").permitAll()
                //静态资源 放开
                .requestMatchers(HttpMethod.GET, "/", "/*.html", "/*.css", "/*.js", "/*/*.html", "/*/*.css", "/*/*.js", "/*/api-docs/**","/webjars/**","/*.ioc").permitAll()
                .anyRequest()
                //所有请求都必须认证
                .authenticated()
                .and()
                .formLogin()
                .and()
                .exceptionHandling()
                //没登录提示信息
                .authenticationEntryPoint(myAuthenticationEntryPoint)
                //授权失败
                .accessDeniedHandler(myAccessDeniedHandler)
                //退出登录提示信息
                .and().logout().logoutUrl("/logout")
                .logoutSuccessHandler(myLogoutSuccessHandler)
                //跨域处理方案
                .and().cors().configurationSource(configurationSource())
                //关闭csrf
                .and().csrf().disable()
        ;

        //替换自带的filter
        //at: 用来某个 filter 替换过滤器链中哪个 filter
        //before: 放在过滤器链中哪个 filter 之前
        //after: 放在过滤器链中那个 filter 之后
        httpSecurity.addFilterBefore(myLoginJwtFilter, UsernamePasswordAuthenticationFilter.class);

        return httpSecurity.build();
    }


    /**
     * 跨域解决方案
     *
     * @return CorsConfigurationSource
     */
    CorsConfigurationSource configurationSource() {
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedHeaders(Collections.singletonList("*"));
        corsConfiguration.setAllowedMethods(Collections.singletonList("*"));
        corsConfiguration.setAllowedOrigins(Collections.singletonList("*"));
        corsConfiguration.setMaxAge(3600L);
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);
        return source;
    }

}

 2.1.不需要继承了,配置类注释

 2.2.校验类换成HttpSecurity

 2.3.过滤链过期修改与更新

 3.自定义拦截器

package com.cn.config.security;

import com.cn.common.Constants;
import com.cn.utils.JwtUtil;
import com.cn.utils.RedisCacheUtil;
import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import java.io.IOException;

/**
 * @program: SpringSecurityDemo
 * @Description LoginFilter
 * @Date 2023/3/8
 */
@Slf4j
@Component
public class MyLoginJwtFilter extends OncePerRequestFilter {
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private RedisCacheUtil redisCacheUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //鉴权验证
        //获取token
        String token = JwtUtil.getHeaderToken(request);
        if (StringUtils.isNotBlank(token)) {
            //获取用户名
            String username = JwtUtil.parseTokenName(token);
            if (StringUtils.isNotBlank(username)) {
                //判断是否有效
                String redisKey = Constants.REDIS_USER + token;
                if (redisCacheUtil.isKey(redisKey)) {
                    //获取资源
                    UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                    UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails.getUsername(), null, userDetails.getAuthorities());
                    //存入资源
                    authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                }
            }
        }
        //放行
        filterChain.doFilter(request, response);
    }
}

一枚小蜗牛H
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot3.0 + SpringSecurity6.0 +OAuth2 使用Github作为授权登录
weixin_46076174的博客
06-16 3519
开放授权(OAuth)是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。过程如下: (A)用户打开客户端以后,客户端要求用户给予授权。 (B)用户同意给予客户端授权。 (C)客户端使用上一步获得的授权,向认证服务器申请令牌。 (D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。 (E)客户端使用令牌,向资源服务器申请获
SpringBoot+SpringSecurity+SpringSession
dsghre的专栏
12-02 778
在一次的web项目开发中,初期用了公司的负载均衡,后台2台服务器,用了会话保持,所以在用户登录后没有问题。后来更换了域名和主体,没法实现会话保持,改成了springsession,记录下来操作。 一、加入依赖 <dependency> <groupId>org.springframework.session</groupId> <artifactId&...
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证 的实现 增、删、改、查
09-03
IDEA+Springboot+Mybatis+MySql+Swagger3.0+JWT权限验证 的实现 增、删、改、查
maku-boot 是采用SpringBoot3.0SpringSecurity6.0、Mybatis-Plus等框架,开发的
04-22
maku-boot 是采用SpringBoot3.0SpringSecurity6.0、Mybatis-Plus等框架,开发的一套SpringBoot低代码开发平台,使用门槛极低,且采用MIT开源协议,完全免费开源,可免费用于“ 商业项目”等场景。采用组件模式,扩展不同的业务功能,可以很方便的实现各种业务需求,且不会导致系统臃肿,若想使用某个组件,按需引入即可,反之亦然。支持Online在线表单开发,可快速开发业务,无需部署及重启服务等优点
springboot3+springsecurity+redis 整合登录认证以及权限校验
最新发布
PleaseBeStrong的博客
05-09 547
,以验证用户提供的凭据是否有效。当用户尝试通过用户名和密码进行身份验证时,系统会将认证请求传递给 UsernamePasswordAuthenticationFilter。该过滤器负责从请求中提取用户名和密码,
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 9291
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Spring3 Web Security机制
远远的山
12-30 1935
spring3.0.x中,加入了基于角色和url删选的Web Security控制。 1. 首先在在web.xml中加入spring security filter: springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy
SpringBoot3本下SpringSecurity的HttpSecurity配置
InkSlab_的博客
05-29 3077
springSecurity中配置HttpSecuritry部分方法爆红
SpringBoot3.0 + SpringSecurity6.0+JWT
热门推荐
胖胖爱吃肉~的博客
03-03 2万+
SpringBoot3.0 + SpringSecurity6.0+JWTSpring SecuritySpring 家族中的一个安全管理框架。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作搭建一个SpringBoot工程① 设置父工程 添加依赖 配置文件application.yml ② 创建启动类 ③ 创建Controller 启动项目,查看接口文档地址:http://localhost:4
基于SpringBoot3.0Spring Security + jwt 示例
mia_tong1111的博客
08-22 6283
基于SpringBoot3.0Spring Security + jwt 示例
Springboot3.0+Security6.0+jwt+jdk17登陆认证
weixin_42531072的博客
04-19 6073
集各位大佬的精华,弄出来的一套基于jdk17,Springboot3.0SpringSecurity6.0,jwt的认证体系。
Spring Boot 3.0 Security 6定制UserDetailsService,动态权限,Thymeleaf,密码强度、过期、锁定、解锁、禁用、历史新密码编辑距离、登录日志、Envers
allway2的博客
11-26 7302
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。
SpringBootSpringSecurity 配置
norang的博客
09-21 601
SecurityConfig 配置类 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { //定制请求的授权规则 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/").permi
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发...
java+spring-boot-jwt + spring security集成实战项目.zip
08-17
java+项目实战
【8】Spring Boot 3 集成组件:安全组件 spring security【官网概念篇】
wangluoanquan111的博客
01-25 1081
是一个框架,它提供身份验证授权和针对常见攻击的保护。它具有保护命令式和响应式应用程序的一流支持,是保护基于spring的应用程序的事实上的标准。SpringSecurity默认使用。但是,您可以通过将公开为来定制它。如果您正在从Spring Security 4.2迁移。通过公开NoOpPasswordEncoder bean,您可以恢复到以前的行为。@Bean定义一个Filter集成Filter,or添加到 SecurityFilterChain@Beanhttp// ...
Spring Security 6.0(spring boot 3.0) 下认证配置流程
hjg719的博客
12-13 2万+
Spring Security 6.0(spring boot 3.0) 下认证配置流程
Springboot3.0 +SpringSecurity6权限管理系统
08-26
SpringBoot是一个开源的Java开发框架,它可以帮助开发者快速搭建基于Spring框架的应用程序。而Spring SecuritySpring框架中用于实现安全认证和授权的模块。 关于Spring Boot 3.0Spring Security 6的权限管理系统,目前最新本的Spring Boot是2.x系列,而Spring Security的最新本是5.x系列。所以,目前还没有Spring Boot 3.0Spring Security 6的正式本发布。 不过,你可以使用Spring Boot 2.x和Spring Security 5.x来构建一个基于权限管理的系统。Spring Security提供了丰富的功能,比如身份验证、授权、角色管理等。你可以使用它来实现用户登录、访问控制和权限管理等功能。 具体的实现步骤可以参考官方文档或者一些教程资源,比如在CSDN上有很多关于Spring Boot和Spring Security的教程可以参考。你可以搜索相关的教程来了解如何搭建一个基于Spring Boot和Spring Security的权限管理系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值