认证和授权:前后端分离状态下使用Spring Security实现安全访问控制

最新推荐文章于 2024-04-02 01:05:12 发布
最新推荐文章于 2024-04-02 01:05:12 发布
阅读量697 收藏
点赞数 1
文章标签: java spring jwt python spring boot
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwMTE3MDY4MQ==&mid=2652465533&idx=2&sn=6a438b7bbff6d5f97b27b50b02743060&chksm=813004ebb6478dfd45067c2c27eb2c2d44291a703bcd2ebd0681cdf560ce80eaa8fdc42084d7&scene=126&&sessionid=0
版权

本文使用的springboot版本是2.1.3.RELEASE

一、简要描述

默认情况下,spring security登录成功或失败,都会返回一个302跳转。登录成功跳转到主页,失败跳转到登录页。如果未认证直接访问受保护资源也会跳转到登录页 。

而在前后端分离项目中,前后端是通过json数据进行交互,前端通过ajax请求和后端进行交互,ajax是无法处理302跳转的,所以我们希望不管是未登录还是登录成功,spring security都给前端返回json数据,而前端自己根据返回结果进行逻辑控制。

springsecurity默认采用的是表单登录,而我们希望的登录流程是这样的:

(1) 前端带着用户名和密码用ajax请求登录,认证成功后返回一个token值给前端

(2) 下次请求时在请求头中携带这个token,后端校验这个token通过后放行请求,否则提示未登录(返回json数据)

二、配置让springsecurity返回 json数据

2.1 未登录时访问受限资源的处理

未登录时访问资源,请求会被FilterSecurityInterceptor这个过滤器拦截到,然后抛出异常,这个异常会被

ExceptionTranslationFilter这个过滤器捕获到,并最终交给AuthenticationEntryPoint接口的commence方法处理。

所以处理办法是自定义一个AuthenticationEntryPoint的实现类并配置到springsecurity中

/**
 * 未登录时访问受限资源的处理方式
 */
public class UnLoginHandler implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        ObjectMapper mapper = new ObjectMapper();
        ObjectNode objectNode = mapper.createObjectNode();
        if(authException instanceof BadCredentialsException){
            //账号或密码错误
            objectNode.put("code", "501");
            objectNode.put("message", "账号或者密码错误");
        }else {
            objectNode.put("code", "500");
            objectNode.put("message", "未登录或token无效");
        }

        response.setHeader("Content-Type", "application/json;charset=UTF-8");
        response.getWriter().print(objectNode);
    }
}

配置到spring security中,

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ...省略其他配置,公众号Java精选,有惊喜
        //安全配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ...省略其他配置
        //设置未登录或登录失败时访问资源的处理方式
        http.exceptionHandling().authenticationEntryPoint(new UnLoginHandler());
        ...
    }
}

2.2 访问资源权限不足时的处理

当一个已登录用户访问了一个没有权限的资源时,springsecurity默认会重定向到一个403页面。可以通过自己实现 AccessDeniedHandler接口然后配置到springsecurity中来自定义

/**
 * 当前登录的用户没有权限访问资源时的处理器
 */
public class NoAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        ObjectMapper mapper = new ObjectMapper();
        ObjectNode objectNode = mapper.createObjectNode();
        objectNode.put("code","500");
        objectNode.put("message","访问失败,权限不够");
        response.setHeader("Content-Type","application/json;charset=UTF-8");
        response.getWriter().print(objectNode);
    }
}

配置到springsecurity中

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    ...省略其他配置
        //安全配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ...省略其他配置
        //设置权限不足,无法访问当前资源时的处理方式
        http.exceptionHandling().accessDeniedHandler(new NoAccessDeniedHandler());
        ...
    }
}

这样配置后,未登录,登录失败,权限不足这些场景下springsecurity就会返回json数据给前端。springsecurity系列技术文章,待更新中:https://www.yoodb.com/spring/spring-annotate.html

三、如何发token

这一节来解决发token的问题。现在已经去掉了表单登录的功能,那如何让springsecurity验证账号和密码并创建token呢。

可以自定义一个接口给前端请求,用来发token,前端提交账号和密码到这个接口,在其中调用springsecurity的认证管理器来认证账号密码,认证成功后创建一个token返回给前端

@RestController
@RequestMapping("/authenticate")
public class AuthenticationController {

    private final static ObjectMapper MAPPER=new ObjectMapper();

    //注入springsecurity的认证管理器
    @Autowired
    private AuthenticationManager authenticationManager;

    /**
     * 创建token
     * @return
     */
    @PostMapping("/applyToken")
    public JsonNode applyToken(@RequestBody UserDto userDto){
        ObjectNode tokenNode = MAPPER.createObjectNode();
        //1.创建UsernamePasswordAuthenticationToken对象
        UsernamePasswordAuthenticationToken authenticationToken=new UsernamePasswordAuthenticationToken(userDto.getUsername(),userDto.getPassword());
        //2.交给认证管理器进行认证
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);

        if(null!=authenticate){
            //认证成功,生成token返回给前端
            String token = JwtUtils.createToken(userDto.getUsername());
            if(StringUtils.isEmpty(token)){
                tokenNode.put("code","401");
                tokenNode.put("message","生成token失败");
            }else {
                tokenNode.put("code","200");
                tokenNode.put("token", token);
                tokenNode.put("message","success");
            }
            tokenNode.put("code","200");
            tokenNode.put("token", JwtUtils.createToken(userDto.getUsername()));
            tokenNode.put("message","success");
            return tokenNode;
        }else{
            tokenNode.put("code","401");
            tokenNode.put("message","登录失败");
        }
        return tokenNode;
    }
}

其中JwtUtils是一个自定义的jwt 工具类,提供了生成token和验证token的功能

四、如何让springsecurity验证token

上边实现了发token的功能,那如何让springsecurity验证这个token,并放行请求。可以自定义一个过滤器,在springsecurity的登录过滤器之前先拦截请求,然后进行token,如果验证通过了就把当前用户设置到SecurityContextHolder中,这样就完成了验证和登录。

自定义过滤器

/**
 * 验证请求携带的token是否有效
 */
@Component
public class TokenVerifyFilter extends GenericFilterBean {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        try {
            HttpServletRequest request = (HttpServletRequest) servletRequest;
            //从请求头中获取token
            String token = request.getHeader("Authorization-Token");
            if (StringUtils.hasText(token)) {
                //从token中解析用户名
                String username = JwtUtils.getUserInfo(token);
                //查询当前用户
                if(!StringUtils.isEmpty(username)){
                    UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                    if(null!=userDetails){
                        //查询不到表示用户不存在
                        //从token中获取用户信息封装成 UsernamePasswordAuthenticationToken
                        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(token, "", userDetails.getAuthorities());
                        //设置用户信息
 SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                    }
                }
            }
        } catch (Exception e) {
            //登录发生异常,但要继续走其余过滤器的逻辑
            e.printStackTrace();
        }
        //继续执行springsecurity的过滤器
        filterChain.doFilter(servletRequest, servletResponse);
    }
}

把这个过滤器设置到UsernamePasswordAuthenticationFilter之前。面试宝典:https://www.yoodb.com

完整的springsecurity安全配置如下:

/**
 * 配置springsecurity
 */
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    //用户配置,
    @Bean
    public UserDetailsService userDetailsService(){
        //在内存中配置用户
        InMemoryUserDetailsManager manager=new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("lyy").password("123").authorities("ROLE_P1").build());
        manager.createUser(User.withUsername("zs").password("456").authorities("ROLE_P2").build());
        return manager;
    }

    //配置自定义的对token进行验证的过滤器
    @Autowired
    private TokenVerifyFilter tokenVerifyFilter;

    //密码加密方式配置
    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }

    //安全配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        //匹配路径时越具体的路径要先匹配
        http.authorizeRequests().antMatchers("/","/index.html").permitAll();
        //放行申请token的url
        http.authorizeRequests().antMatchers("/authenticate/**").permitAll();
        //需要p1权限才能访问
        http.authorizeRequests().antMatchers("/resource/r1").hasRole("P1");
        //需要p2权限才能访问
        http.authorizeRequests().antMatchers("/resource/r2").hasRole("P2")
        .antMatchers("/resource/r3").hasRole("P3");//需要p3权限才能访问
        http.authorizeRequests().anyRequest().authenticated();
        http.formLogin().disable();//禁用表单登录
        //设置未登录或登录失败时访问资源的处理方式
        http.exceptionHandling().authenticationEntryPoint(new UnLoginHandler());
        //设置权限不足,无法访问当前资源时的处理方式
        http.exceptionHandling().accessDeniedHandler(new NoAccessDeniedHandler());
        http.addFilterBefore(tokenVerifyFilter, UsernamePasswordAuthenticationFilter.class);
        //设置不使用session,无状态
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    /**
     * 配置认证管理器:
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

五、总结

按上边这样配置后,前端向先请求发token的接口获取一个token,然后在每次访问后端时都在请求头中带上这个token,后端验证了这个token后就会放行请求。

完整的示例工程源码:

https://gitee.com/zhituaishangc/cnblog-springsecurity-study/tree/master/cnblog-springsecurity05-test

作者:程序晓猿

https://www.cnblogs.com/chengxuxiaoyuan/p/14020326.html

公众号“Java精选”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,笔者会第一时间删除处理!
最近有很多人问,有没有读者交流群!加入方式很简单,公众号Java精选,回复“加群”,即可入群!

Java精选面试题(微信小程序):3000+道面试题,包含Java基础、并发、JVM、线程、MQ系列、Redis、Spring系列、Elasticsearch、Docker、K8s、Flink、Spark、架构设计等,在线随时刷题!
------ 特别推荐 ------
特别推荐:专注分享最前沿的技术与资讯,为弯道超车做好准备及各种开源项目与高效率软件的公众号,「大咖笔记」,专注挖掘好东西,非常值得大家关注。点击下方公众号卡片关注。

点击“阅读原文”,了解更多精彩内容!文章有帮助的话,点在看,转发吧!
Java精选
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
SpringSecurity权限控制
qq_61544409的博客
03-21 6429
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1665
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
Spring Security 两种资源放行策略,千万别用错了!
Python毕设源码程序王哥
04-02 387
什么是ActiveMQ?ActiveMQ服务器宕机怎么办?丢消息怎么办?持久化消息非常慢怎么办?消息的不均匀消费怎么办?死信队列怎么办?ActiveMQ中的消息重发时间间隔和重发次数吗?
SpringBoot整合SpringSecurity遇到的SESSION验证问题
qq_33388068的博客
12-02 4248
SpringBoot整合SpringSecurity遇到的SESSION不一致问题。后端采用springboot+spring security前端还是jsp,所以还是session验证的方式登录。但是整合好后测试发现问题,每次登录跳转到首页之后刷新页面又重定向到了login页面
SpringBoot整合SpringSecurity权限控制(动态拦截url+单点登录
在计算机领域混战了5年的java开发工程师,正在向全栈奋斗的路上。目前在学习和分享:Java,springboot,spring,vue,系统开发,服务器运维(可做毕业设计)等相关知识。
04-03 2637
Slf4j@Component@Resource@Override//获取身份验证详细信息//用于校验mac地址白名单(这里只是打个比方,登录验证中增加的额外字段)//表单输入的用户名//表单输入的密码//校验用户名密码if (!matches) {!");@Override@Component@Resource@Override//任意登录用户名!");//从数据库获取密码//用户拥有的角色// }
SpringBoot-Security-用户权限分配-配置验证规则
weixin_34041003的博客
02-15 918
Spring Security配置 Spring Security配置是通过 @EnableWebSecurity注释和WebSecurityConfigurerAdapter共同提供基于网络的安全性。 WebSecurityConfigurerAdapter类的configure(HttpSecurity http)方法是设置 HTTP 验证规则,co...
Java毕业设计-基于VUE和SpringBoot前后端分离药房商品后台管理系统+前台售卖系统(源码+数据库).zip文件
01-14
基于Spring Boot的药店药品销售管理系统可以包含...在实现过程中,你可以使用Spring Boot框架提供的特性和库,如Spring Security实现用户认证授权Spring Data JPA实现数据访问层,Thymeleaf实现前端页面渲染等。
Guns-Separation-其他
06-12
Guns-Separation是Guns后台管理系统的前后端分离版本,项目采用前后端分离架构,代码简洁,功能丰富,开箱即用,开创快速开发平台新趋势。Guns-Separation功能介绍:1、主控面板:控制台页面,可进行工作台,分析页...
最新ssm项目家政公司服务平台的设计与实现+vue.zip
04-10
6. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证授权安全性,保护商业数据不被未授权访问。 7. **界面友好性**:前端使用Vue.js构建,提供了良好的用户体验和交互设计,使得操作界面...
最新ssm项目快餐店点餐结算系统的设计与实现+vue.zip
04-10
7. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证授权安全性,保护商业数据不被未授权访问。 8. **界面友好性**:前端使用Vue.js构建,提供了良好的用户体验和交互设计,使得操作界面...
最新ssm项目物流配送人员车辆调度管理系统的设计与实现+vue.zip
04-10
6. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证授权安全性,保护敏感物流数据不被未授权访问。 7. **界面友好性**:前端使用Vue.js构建,提供了清晰的导航、合理的布局和响应式设计,...
最新ssm项目基于Javaweb的物流信息管理系统的设计与实现+vue.zip
04-10
6. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证授权安全性,保护敏感物流数据不被未授权访问。 7. **界面友好性**:前端使用Vue.js构建,提供了适合物流管理的清晰、直观且响应式的...
最新ssm项目基于vue.js的购物商场的设计与实现+vue.zip
04-10
6. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证授权安全性,保护交易数据不被未授权访问。 7. **界面友好性**:前端使用Vue.js构建,提供了现代化的界面和良好的用户体验,使得操作...
最新ssm项目基于web的物流配送管理系统的设计与实现+vue.zip
04-10
7. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证授权安全性,保护物流数据不被未授权访问。 8. **界面友好性**:前端使用Vue.js构建,提供了现代化的界面和良好的用户体验,使得操作...
最新ssm项目基于Java Web的学生宿舍管理系统设计与实现+jsp.zip
最新发布
04-10
7. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证授权安全性,保护学生个人信息不被未授权访问。 8. **界面友好性**:前端使用JSP构建,提供了适合高校宿舍管理的清晰、直观且响应式的...
Spring-Security的页面端控制介绍
Hpeacheng的博客
11-29 503
【1】直接步入使用步骤 1.在pol.xml上引入jar包 2.在需要页面控制的jsp上写入taglib语句 3.authentication:用处是,可以获取我们当前登录的用户 authorize:用处是,控制页面上的标签是否可以使用(显示) 【2】jsp页面加入taglib <%@ page language="java" contentType="text/html; charset=U...
SpringSecurity实现登陆认证并返回token
qq_39835420的博客
09-15 3590
SpringSecurity+oauth2生成token
草鸡的SpringSecuity+JWT
rigou11的博客
06-29 181
背景:最近在搭建这玩意儿,本来就毕设那会用了一下,还是我自己全栈,也不需要前后端分离,但是现在不行了,前后端分离了。而且这边还有账号登录验证和短信验证码验证,草鸡累了。 @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/teach/c
spring security整合前后端分离项目
02-21
前后端分离的项目中,Spring Security可以用于实现用户认证授权功能。 下面是Spring Security整合前后端分离项目的一般步骤: 1. 添加依赖:在项目的构建文件中添加Spring Security的依赖,例如使用Maven的话...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值