springBoot2.X+spring security5.3.8+redis整合用户登录权限控制

最新推荐文章于 2021-10-27 13:51:05 发布
最新推荐文章于 2021-10-27 13:51:05 发布
阅读量272 收藏
点赞数
分类专栏: 技术分享共赢 文章标签: redis java 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/architecture_upper/article/details/116750259
版权

springBoot2.X+spring security5.3.8+redis整合用户登录权限控制

主要功能点介绍

1.权限过滤
2.改造attemptAuthentication,重写该方法目的在于支持JSON格式提交登录信息。
3.验证后的返回信息均实现相应接口重写相应方法,以JSON格式返回前端。
4.会话管理,session并发控制过滤器,限制同一账号同时登录数量。
5.针对集群部署场景,通过redis实现session共享。

重要代码片段

package com.hexy.hexy_umagt.config;

import java.util.ArrayList;
import java.util.List;

import javax.annotation.Resource;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.session.SessionRegistry;
import org.springframework.security.core.session.SessionRegistryImpl;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.session.CompositeSessionAuthenticationStrategy;
import org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy;
import org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy;
import org.springframework.security.web.authentication.session.SessionAuthenticationStrategy;
import org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy;
import org.springframework.security.web.session.ConcurrentSessionFilter;
import org.springframework.security.web.session.HttpSessionEventPublisher;

import com.hexy.hexy_umagt.config.security.AnonymousAuthenticationEntryPoint;
import com.hexy.hexy_umagt.config.security.CustomConcurrentSessionFilter;
import com.hexy.hexy_umagt.config.security.DefaultUserDetailsService;
import com.hexy.hexy_umagt.config.security.InvalidSessionHandler;
import com.hexy.hexy_umagt.config.security.LoginFailureHandler;
import com.hexy.hexy_umagt.config.security.LoginSuccessHandler;
import com.hexy.hexy_umagt.config.security.LoginUserAccessDeniedHandler;
import com.hexy.hexy_umagt.config.security.LogoutSuccessHandler;
import com.hexy.hexy_umagt.config.security.MyAuthenticationProvider;
import com.hexy.hexy_umagt.config.security.MyConcurrentSessionControlAuthenticationStrategy;
import com.hexy.hexy_umagt.config.security.MyUsernamePasswordAuthenticationFilter;
import com.hexy.hexy_umagt.config.security.RestHttpSessionIdResolver;
import com.hexy.hexy_umagt.config.security.SessionInformationExpiredHandler;

/**
 * 支持JSON登录提交,返回json数据(同时支持表单提交验证)
 * session并发控制,只允许一个用户同时在线。
 * @author hxy
 *
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DefaultUserDetailsService userDetailsService;
    /**
     * 登出成功的处理
     */
    @Autowired
    private LoginFailureHandler loginFailureHandler;
    /**
     * 登录成功的处理
     */
    @Autowired
    private LoginSuccessHandler loginSuccessHandler;
    /**
     * 登出成功的处理
     */
    @Autowired
    private LogoutSuccessHandler logoutSuccessHandler;
    /**
     * 未登录的处理
     */
    @Autowired
    private AnonymousAuthenticationEntryPoint anonymousAuthenticationEntryPoint;
    /**
     * 超时处理
     */
    @Autowired
    private InvalidSessionHandler invalidSessionHandler;
    /**
     * 顶号处理
     */
    @Autowired
    private SessionInformationExpiredHandler sessionInformationExpiredHandler;
    
    /**
     * 登录用户没有权限访问资源
     */
    @Autowired
    private LoginUserAccessDeniedHandler accessDeniedHandler;

    @Autowired
    private MyAuthenticationProvider authenticationProvider;
    
    @Resource
    private SessionRegistry sessionRegistry;
    /**
     * 配置认证方式等
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
        auth.authenticationProvider(authenticationProvider);
    }

    /**
     * http相关的配置,包括登入登出、异常处理、会话管理等
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable();
        http.authorizeRequests()
                // 放行接口
                .antMatchers("/register","/login").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                // 异常处理(权限拒绝、登录失效等)
                .and().exceptionHandling()
                .authenticationEntryPoint(anonymousAuthenticationEntryPoint)//匿名用户访问无权限资源时的异常处理
                .accessDeniedHandler(accessDeniedHandler)//登录用户没有权限访问资源
                // 登入
                .and().formLogin().permitAll()//允许所有用户
//                .successHandler(loginSuccessHandler)//登录成功处理逻辑
//                .failureHandler(loginFailureHandler)//登录失败处理逻辑
                // 登出
                .and().logout().permitAll()//允许所有用户
                .logoutSuccessHandler(logoutSuccessHandler)//登出成功处理逻辑
                .deleteCookies(RestHttpSessionIdResolver.AUTH_TOKEN)
                // 会话管理
                .and().sessionManagement();
//                .sessionAuthenticationStrategy(concurrentSession());
//                .invalidSessionStrategy(invalidSessionHandler) // 超时处理
//                .maximumSessions(1)//同一账号同时登录最大用户数
//                .expiredSessionStrategy(sessionInformationExpiredHandler); // 顶号处理;

        http.addFilterAt(myAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
        //session并发控制过滤器
        http.addFilterAt(concurrentSessionFilter(), ConcurrentSessionFilter.class);
        
    }

  //在全局中注入Bean:(Spring Security 提供了BCryptPasswordEncoder类,实现Spring的PasswordEncoder接口使用BCrypt强)
  @Bean
  public BCryptPasswordEncoder bcryptPasswordEncoder(){
  	return new BCryptPasswordEncoder();
  }
  

  @Bean
  public SessionRegistry sessionRegistry() {
      return new SessionRegistryImpl();
  }

  //SpringSecurity内置的session监听器
  @Bean
  public HttpSessionEventPublisher httpSessionEventPublisher() {
      return new HttpSessionEventPublisher();
  }
  
  @Bean()
  MyUsernamePasswordAuthenticationFilter  myAuthenticationFilter() throws Exception {
	
	  //自定义登录验证获取用户名密码方式兼容JSON及表单提交
	  MyUsernamePasswordAuthenticationFilter  filter = new MyUsernamePasswordAuthenticationFilter();

	  //自定义json上送登录信息时,重新登录方法改变默认的getParameter获取,解析json获取,同时重定向登录成功需要重新set
	  filter.setAuthenticationSuccessHandler(loginSuccessHandler);
	  filter.setAuthenticationFailureHandler(loginFailureHandler);

      filter.setAuthenticationManager(authenticationManager());
     
      //session并发控制,因为默认的并发控制方法是空方法.这里必须自己配置一个
      //不可这么写----》filter.setSessionAuthenticationStrategy(new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry()));
      //错误点,这里一定要引用自己重写的session(否则后面是取不到principals的,无论如何都是null)
      filter.setSessionAuthenticationStrategy(concurrentSession());
      return filter;
  }
  
  @Bean
  @Override
  protected AuthenticationManager authenticationManager() throws Exception {
      return super.authenticationManager();
  }
  
  
  @Bean
  public CompositeSessionAuthenticationStrategy concurrentSession() {

//           ConcurrentSessionControlAuthenticationStrategy concurrentAuthenticationStrategy = new ConcurrentSessionControlAuthenticationStrategy(sessionRegistry());
	  		MyConcurrentSessionControlAuthenticationStrategy concurrentAuthenticationStrategy = new MyConcurrentSessionControlAuthenticationStrategy(sessionRegistry());
           concurrentAuthenticationStrategy.setMaximumSessions(1);
//           concurrentAuthenticationStrategy.setExceptionIfMaximumExceeded(true);
           List<SessionAuthenticationStrategy> delegateStrategies = new ArrayList<SessionAuthenticationStrategy>();
           delegateStrategies.add(concurrentAuthenticationStrategy);
           delegateStrategies.add(new SessionFixationProtectionStrategy());
           delegateStrategies.add(new RegisterSessionAuthenticationStrategy(sessionRegistry()));

           CompositeSessionAuthenticationStrategy authenticationStrategy =  new CompositeSessionAuthenticationStrategy(delegateStrategies);
           return authenticationStrategy;
   }

   @Bean()
   ConcurrentSessionFilter concurrentSessionFilter() {
       CustomConcurrentSessionFilter concurrentSessionFilter = new CustomConcurrentSessionFilter(sessionRegistry(), sessionInformationExpiredHandler);
       return concurrentSessionFilter;
   }
}

以上片段仅展示所有功能点,具体重写内容可通过git了解。代码均已上传,且已验证过。

session共享使用redis主要要启动注解

@Slf4j
@EnableTransactionManagement
@MapperScan("com.hexy.hexy_umagt.mapper")
@SpringBootApplication
@EnableDubbo
@EnableRedisHttpSession(maxInactiveIntervalInSeconds = 1800)//session共享redis实现
public class HexyUmagtApplication {

	public static void main(String[] args) {
		SpringApplication.run(HexyUmagtApplication.class, args);
	}
}

所有重写的实现类就不直接贴出来,详情见GIt吧。
GIT地址:https://gitee.com/hellohexiaoyu/commonframework

最后说明下整个security框架其实还是比较繁琐的,不注意时会遇到很多棘手问题,网络上有很多博客,但是提供的内容不一定适用自己,所以遇到问题还是要多看源码,先理解整个框架运行原理。剩下的问题基本都会迎刃而解。

architecture_upper
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+spring security+redis实现登录权限管理
午后苦咖啡
11-11 2921
笔者负责的电商项目的技术体系是基于SpringBoot,为了实现一套后端能够承载ToB和ToC的业务,需要完善现有的权限管理体系。 在查看Shiro和Spring Security对比后,笔者认为Spring Security更加适合本项目使用,可以总结为以下2点: 1、基于拦截器的权限校验逻辑,可以针对ToB的业务接口来做相关的权限校验,以笔者的项目为例,ToB的接口请求路径以/openshop...
SpringBoot-搭建SpringSecurity(保姆级别)
最新发布
2301_79098879的博客
05-04 792
分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》《Java高级架构知识》《算法知识》《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!g?成功实现需求!7.自定义登录界面=========(1)主界面index中指定login请求登录(2)配置login.html登录的信息发送到哪里分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》
springboot + spring security + jwt + redis详细(一)
qq_38324424的博客
04-24 836
作为一个刚入门,没多久的新手小白,由于项目需要,所以学习了一下spring security,基本上此篇文章是根据各路大神撰写的博客结合而来,为了同样刚接触的新手小白少踩点坑,有什么问题还请大神们多多指点 创建用户表: CREATE TABLE `sys_user` ( `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, `...
SpringBoot2.x+SpringSecurity集成及SpringSecurity实现Web系统权限认证系统实现
u011930054的博客
07-17 587
针对SpringSecurity就不进行介绍了,功能强大,与shiro一样都能实现权限系统实现。 这里先介绍一下实验项目的背景: 一、Web项目系统实现前后端分离,前端页面上按钮的CRUD,需要前端根据用户返回的权限属性实现按钮的可用或不可用(显示或不显示都可以)。 二、后端使用SpringSecurity实现接口API权限的判断,比如用户1请求了一个url:/hello 如果这个用户没有权限则后端系统直接返回json格式提醒权限不足。 三、用户的权限及菜单都是数据库中设置,系统动态判断权限。 先上一张数据
springboot2.x+Spring-Security+JWT
Jiangbohao_的博客
05-19 592
springboot2.x+Spring-Security+JWT的整合 jwt(json web token) jwt官网:https://jwt.io/ 使用的是HS256算法 一个JWT由三个部分组成:header,payload,signature。分别保存了不同的信息 header部分由以下的json结构生成: typ用来标识整个token是一个jwt字符串,alg代表签名和摘要算法,一般签发JWT的时候,只要typ和alg就够了,生成方式是将header部分的json字符串经过Base64Ur
spring security】前后端分离,限制用户登录(一个账号同一时间只能在一段登录)
Meditation_Crazy
10-27 2188
前言 实现这块功能的时候,通过搜索,简单配置了下: 但是没生效。然后就是看代码,百度,还是没成功。 最后偶尔查到了这个: 既然找到了源码,那就断点,跑一下试试,结果,登录过程中,并没有进这个类org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy。 然后根据类名,查找相关配置,就找到了其他的一些配置。 http://www.jetchen.cn/spring
官方完整包 spring-framework-5.3.8.RELEASE-dist.zip
06-11
官方完整包 spring-framework-5.3.8.RELEASE-dist.zip官方完整包 spring-framework-5.3.8.RELEASE-dist.zip
官方源码 spring-framework-5.3.8.zip
06-11
官方源码 spring-framework-5.3.8.zip官方源码 spring-framework-5.3.8.zip
Maven + Tapestry5.3.8 + Spring4.0.5 + Oracle10g
09-14
这是Tapestry5.3.8 版本的一个大Demo,集合Spring4.0, 采用Maven 项目管理工具,没有集合Hibernate。 之所以说是个大Demo,是因为这项目中包含的内容并不少,包含: 1)解决了Tapestry5.3.8中文Bug问题 2)Tapestry...
spring-5.3.8-dist.zip
07-10
Spring包 不需要积分就可以下载
OpenWBS 企业建站CMS(手机+PC+微信) v5.3.8
09-29
OpenWBS企业建站系统是以asp+access进行开发的互联网商务建站软件系统。 OpenWBS V4.0 企业建站系统,采用新一代全新架构,分层设计,拥有优秀的执行效率、扩展性和稳定性,一个快速帮您
SpringSecurity下,使用Redis实现验证码验证,用户错误登陆次数限制,锁定/释放用户
诗和远方,任重道远
03-04 2947
SpringSecurity下,使用Redis实现验证码验证,用户错误登陆次数限制,锁定/释放用户写在前面一、接口设计1.1、验证码接口1.2、登陆接口二、验证码验证逻辑2.1、验证码生成,几种生成方式可供参考,[参考链接](https://blog.csdn.net/qq_42105629/article/details/104630283)2.2、验证码文本,临时存储,基于Redis,有效期 ...
springboot spring session redis spring security 相同用户单个session的解决方案
Dream - to be coder
06-08 1万+
首先还是吐槽,百度了两天,尝试了十多种方案,各种重写,无效。。。。。最后,还是在官网找到解决方案。 哎。。。已经很多次了。官网。官网。官网。。以后要多看官网。 还是描述下需求吧。很简单,相同的用户登录时,只能保留最后一个session。防止多处登录。也不算是单点。 在开始贴代码之前,各位看官一定要注意条件: springboot+spring session redis+spring...
springboot+springsecurity+mybatis+JWT+Redis 实现前后端离(实战篇)
zzxzzxhao的博客
10-26 5万+
写在开头:这篇是实战篇,即默认各位看官具备相应的基础 目录 一、springboot 1.新建项目 2.application.yml的配置 3.写一个小demo 二、druid 三、springsecurity 1.引入相关依赖 2.写了几个工具类 3.实现springsecurity各个核心接口,处理用户各种状态 2.权限访问控制 3.jwt生成token的工具类 4...
基于springboot2.x 的redis配置及使用
huang_550的专栏
10-18 7149
使用背景 目前公司使用的都是springboot1.5.x + oauth2 + redis权限认证服务;鉴于学习oauth2的目的,搭建简单的demo demo工程使用springboot2.0.6 为基础构建 问题 出现警告:无法连接到redis 2018-10-18 12:00:50.136 WARN 1996 --- [io-10110-exec-2] o.s.s.o.pro...
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis 一 认证授权服务(微服务)
帅气Dee海绵宝宝
02-13 2万+
认证和授权服务 正在做认SpringCloud的证授权,第一点想到的事Shiro认证和授权成熟而且便利,不过想到和SpringCloud的集成可能会有很多的问题,所以查了很多资料,大概SpringCloud都是运用OAuth2和Security做微服务的认证和授权,也基本上是搞一个认证授权服务,来进行SpringCloud的认证和授权。一下是查看借阅的资料地址。 理解OAuth 2.0——阮一峰 ...
Springboot+Spring-Security+JWT+Redis实现restful Api的权限管理以及token管理(超详细用爱发电版)
热门推荐
ech13an的博客
06-24 7万+
前言 其实挺早就想写一篇关于jwt的博文去好好总结一下之前踩过的坑了,但是事情有点太多了,一直没抽出时间来写,刚好现在有点时间可以好好静下来写一遍(可能)有点质量的博文吧,毕竟一直都是看别人的博文去学习,我也好好写一遍吧哈哈。既然如果偶然搜到这篇文章的话,我相信大家应该都了解了什么是jwt,比较想知道怎么使用springboot+spring-security去实现,当然也可以使用shiro,其...
springboot2+springcloud+security-oauth2+redis实现单点登录
04-01 1万+
springboo2+springcloud+security-oauth2+redis实现单点登录 参考文献 帅气dee海绵宝宝 史上最简单的 Spring Cloud 教程 spring-security-4 (4)spring security 认证和授权原理 Spring Security Oauth2 认证(获取token/刷新token)流程(password模式) spring-oa...
配置spring-securityredis中session的同步处理,通过sessionRegistry统计在线用户
Janche的博客
04-15 8420
问题描述: 登录用户的session在redis失效、清除或者用户退出系统后,系统中的sessionRegistry中session依然存在,并未同步失效 系统架构: Springboot2 + SpringSecurity + spring-session-data-redis + Redis 1. Redis配置(当然可以只加注解,使用默认配置) /** redis配置 */ @Confi...
spring框架5.3.8怎么下载
10-20
你可以通过Spring官网(https://spring.io/)下载Spring框架5.3.8。在官网的首页上,你可以找到“GET STARTED WITH SPRING”这个模块,点击“Download”按钮即可下载Spring框架的最新版本。你也可以在官网的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值