SpringBoot 整合 SpringSecurity

已于 2023-12-29 09:32:49 修改
阅读量350 收藏 1
点赞数 1
分类专栏: SpringBoot 文章标签: java spring spring boot
于 2023-06-29 08:54:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baihaibo1024/article/details/131401058
版权

1. 项目目录

在这里插入图片描述

2. pom.xml

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-web</artifactId>
	<version>2.6.3</version>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
	<version>2.6.3</version>
</dependency>

3. 创建实体类

LoginForm

package com.cnbai.entity;

/**
 * 登录参数
 */
public class LoginForm {

    private String username;
    private String password;

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

User

package com.cnbai.entity;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.ArrayList;
import java.util.Collection;

/**
 * 实现 SpringSecurity 提供的 UserDetails 接口,保存登录信息
 */
public class User implements UserDetails {

    private String username;
    private String password;

    /** 用户的权限集,默认需要添加前缀 */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        ArrayList<SimpleGrantedAuthority> list  = new ArrayList<>();
        list.add(new SimpleGrantedAuthority("USER"));
        return list;
    }

    /** 用户的加密后的密码,不加密会使用前缀 */
    @Override
    public String getPassword() {
        return password;
    }

    /** 应用内唯一的用户名 */
    @Override
    public String getUsername() {
        return username;
    }

    /** 账户是否过期 */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /** 账户是否锁定 */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    /** 凭证是否过期 */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /** 用户是否可用 */
    @Override
    public boolean isEnabled() {
        return true;
    }
}

4. 创建拦截器

SessionInterceptor

package com.cnbai.intercepter;

import com.cnbai.cache.RequestCache;
import com.cnbai.cache.SystemCache;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

/**
 * 自定义拦截器,所有请求之前优先判断 token
 */
public class SessionInterceptor implements HandlerInterceptor {

    /**
     * 在处理请求之前被调用
     */
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String token = request.getHeader("token");
        if (token == null) {
            return false;
        }
        HttpSession session = SystemCache.getSession(token);
        if (session == null) {
            return false;
        }
        RequestCache.setSession(session);
        return true;
    }

    /**
     * 在处理请求之后,页面视图渲染之前被调用
     */
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {
        RequestCache.cleanSession();
    }

    /**
     * 在处理请求完成且页面视图渲染完成后被调用
     */
    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {
        System.out.println("after...");
    }
}

5. 创建配置类

WebConfig

package com.cnbai.config;

import com.cnbai.intercepter.SessionInterceptor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 实现 spring 拦截器,自定义拦截范围
 */
@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SessionInterceptor())
                .addPathPatterns("/**")
                .excludePathPatterns("/login");
    }
}

SystemConfig

package com.cnbai.config;

import com.cnbai.cache.SystemCache;
import org.springframework.boot.CommandLineRunner;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.annotation.Order;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * Spring容器启动之后,预加载资源,初始化 cache
 */
@Configuration
@Order(1)
public class SystemConfig implements CommandLineRunner {

    @Override
    public void run(String... args) throws Exception {
        SystemCache.init();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

DiscoverSecurityConfig

package com.cnbai.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import javax.annotation.Resource;

/**
 * SpringSecurity 配置类
 */
@Configuration
@EnableWebSecurity
public class DiscoverSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private UserDetailsService userDetailsService;

    @Resource
    private PasswordEncoder passwordEncoder;

    /** 身份认证 */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }

    /** 认证管理 */
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManager();
    }

    /** 核心过滤器 */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
                .antMatchers("/resources/**")
                .antMatchers("/static/**");
    }

    /** 安全过滤器链 */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .antMatchers("/**").permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .exceptionHandling()
                .accessDeniedPage("/404")
                .and()
                .csrf()
                .disable();
    }
}

6. 创建缓存

SystemCache

package com.cnbai.cache;

import javax.servlet.http.HttpSession;
import java.util.HashMap;
import java.util.Map;

/**
 * 枚举实现单例,维护全局缓存
 * eq: 缓存 token 和 session 的关系
 */
public class SystemCache {

    /** 初始化 cache */
    public static void init() {
        SessionCache.SESSION_CACHE.init();
    }

    /** 获取 session */
    public static HttpSession getSession(String token) {
        return SessionCache.SESSION_CACHE.getSession(token);
    }

    /** 缓存 token 和 session 的关系 */
    public static void addSession(String token, HttpSession session) {
        SessionCache.SESSION_CACHE.add(token, session);
    }

    /** 清空 session */
    public static void clearSession(String token) {
        SessionCache.SESSION_CACHE.clearSession(token);
    }

    //====================================================================================

    private enum SessionCache {

        SESSION_CACHE;

        private final Map<String, HttpSession> cache;

        /** 初始化 cache */
        private void init() {
            cache = new HashMap<>(1);
        }

        /** 缓存 token 和 session 的关系 */
        private void add(String token, HttpSession session) {
            this.cache.put(token, session);
        }

        /** 获取 session */
        private HttpSession getSession(String token) {
            return this.cache.get(token);
        }

        /** 清空 session */
        private void clearSession(String token) {
            this.cache.remove(token);
        }
    }
}

RequestCache

package com.cnbai.cache;

import com.cnbai.entity.User;
import org.springframework.security.core.context.SecurityContextHolder;
import javax.servlet.http.HttpSession;

/**
 * 用于存储鉴权用户,session 管理等,此类只维护每一次请求的缓存
 */
public class RequestCache {

    private static final ThreadLocal<HttpSession> THREAD_LOCAL = new ThreadLocal<>();
    private static final String CURRENT_USER = "user";

    /** 添加 session 到 ThreadLocal */
    public static void setSession(HttpSession httpSession) {
        THREAD_LOCAL.set(httpSession);
    }

    /** 获取 session */
    public static HttpSession getHttpSession() {
        return THREAD_LOCAL.get();
    }

    /** 清空 session */
    public static void cleanSession() {
        THREAD_LOCAL.remove();
    }

    /** 添加 user 到 session */
    public static void setUser(User user) {
        getHttpSession().setAttribute(CURRENT_USER, user);
    }

    /** 获取 user */
    public static User getUser() {
        Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if (principal instanceof User) {
            return (User) principal;
        } else {
            return (User) getHttpSession().getAttribute(CURRENT_USER);
        }
    }
}

7. 创建 Service

UserServiceImpl

package com.cnbai.service;

import com.cnbai.cache.RequestCache;
import com.cnbai.cache.SystemCache;
import com.cnbai.entity.LoginForm;
import com.cnbai.entity.User;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import java.util.UUID;

/**
 * 用户接口
 */
public class UserServiceImpl {

    @Resource
    private AuthenticationManager authenticationManager;

    /**
     * 登录
     */
    public User login(LoginForm loginForm, HttpServletRequest request) {
        
        // 1. 通过 用户名 查询数据库用户信息
        User userDetail = queryByName(loginForm.getUsername());

        // 2. 验证密码
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetail, loginForm.getPassword());
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);
        SecurityContextHolder.getContext().setAuthentication(authenticate);
        Object principal = authenticate.getPrincipal();
        if (principal instanceof User) {
            User user = (User) principal;
            RequestCache.setSession(request.getSession());
            RequestCache.setUser(user);
        }

        // 3. 缓存 token 和 session 的关系
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        SystemCache.addSession(token, RequestCache.getHttpSession());

        // 4. 返回结果
        return RequestCache.getUser();
    }


    /**
     * 注销
     */
    public void logout(HttpServletRequest request) {
        RequestCache.cleanSession();
        SecurityContextHolder.clearContext();
        SystemCache.clearSession(request.getHeader("token"));
    }
}
baihb1024
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot】集成SpringSecurity+JWT实现多服务单点登录,原来这么easy
墩墩分墩
09-25 2024
- **单点登录(SingleSignOn,SSO)**,当用户在身份`认证服务器`上登录一次以后,即可**获得访问单点登录系统中其他关联系统和应用软件的权限**,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,`用户只需一次登录就可以访问所有相互信任的应用系统`。这种方式减少了由登录产生的时间消耗,辅助了用户管理,是目前比较流行的一种**分布式登录方式**。
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4804
本文重点解析了SpringSecurity登录过程中的详细流程,以及整体总结
springBoot整合spring security+JWT实现单点登录与权限管理前后端分离--筑基中期
qq_43788185的博客
09-05 1380
写在前面 在前一篇文章当中,我们介绍了springBoot整合spring security单体应用版,在这篇文章当中,我将介绍springBoot整合spring secury+JWT实现单点登录与权限管理。 本文涉及的权限管理模型是基于资源的动态权限管理。数据库设计的表有 user 、role、user_role、permission、role_permission。 单点登录当中,关于访问者信息的存储有多种解决方案。如将其以key-value的形式存储于redis数据库中,访问者令牌中存放key。校验
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
最新发布
m0_60721967的博客
03-14 989
至此,文章终于到了尾声。技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;项目经历:只写明星项目,描述遵循 STAR 法则;简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;以及最后为大家准备的福利时间:简历模板+Java面试题+热门技术系列教程视频. 技术能力:先写岗位所需能力,再写加分能力,不要写无关能力;2. 项目经历:只写明星项目,描述遵循 STAR 法则;3. 简历印象:简历遵循三大原则:清晰,简短,必要,要有的放矢,不要海投;
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2758
SpringSecurity实现登录登出
SpringSecurity实现登录和自定义权限认证
qq_49721447的博客
12-07 3941
springboot整合SpringSecurity实现登录和自定义权限认证
SpringBoot集成SpringSecurity(十七、手机号登录
伍妖捌的小屋
05-23 920
前言 SpringSecurity默认不支持短信验证码登录,而现在手机验证码登录随处可见,下面对SpringSecurity进行集成手机短信登录实现 public class MobileAuthenticationToken extends AbstractAuthenticationToken { private static final long serialVersionUID = 540L; private final Object principal; // 认证前是手机号,
【工作记录】基于springboot3+springsecurity6实现多种登录方式(一)
泽济天下的专栏
01-17 2186
本文针对基于springboot3和springsecurity实现用户登录认证访问以及异常处理做个记录总结,也希望能帮助到需要的朋友。
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
springboot整合springSecurity
04-19
springboot整合springSecurity
SpringBoot整合Spring Security的详细教程
08-18
主要介绍了SpringBoot整合Spring Security的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
springboot整合springsecurity、jwt权限验证
08-10
该资源包整合基于springboot整合springsecurity结合jwt做权限验证、配置完善,可以直接作为项目的基础框架集成使用,使用mybatis作为持久层框架,基础框架搭建完成,只需要写业务代码集合,便于快捷开发。
spring security手动登录
huiyuangyy的博客
08-02 2243
最近在做项目时,需要第三方登录,然后获取用户名和密码再通过spring security登录认证。搜索网上多出发现两种方案: 第一种: 先经过自己的action完成需要做的事情之后,跳转到j_spring_security_check也就是spring security的认证,经过多次尝试总是找不到j_spring_security_check 报404,有知道怎么做的朋友欢迎留言 第二种: 先
厉害,我带的实习生仅用四步就整合SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
最全SpringBootSpringSecurity账号和手机验证码登录多重认证实践
Soinq的博客
12-11 3082
文章目录一: Spring Boot 引入Security 的 pom依赖1.1: 首先引入pom jar 包1.2: 配置 WebSecurityConfig@EnableWebSecurity 作用 :在这个配置类中,我们主要做了以下几个配置:二: 账号权限登录流程账号登录认证流程过滤器 JwtLoginFilter三: 手机号权限登录流程手机号登录认证流程过滤器 SmsCodeLoginFilter四: token 过滤认证校验token 认证过滤器 JwtTokenAuthenticationFil
Spring boot 项目(二十二)——集成Spring Security,完成用户登录
weixin_45974176的博客
06-05 1225
集成SpringSecurity + mybatisplus完成自定义登录验证
springboot集成security(手机号+验证码)
zlhmeng的博客
04-04 829
springboot集成security,手机号验证码的方式
使用SpringSecurity实现登录及鉴权
qq_50376377的博客
06-14 746
前一段时间公司要求登录和鉴权使用SpringSecurity,看了很多都感觉不太适合企业开发,于是自己整理了一下,基于@PreAuthorize注解鉴权,大大的方便的权限控制。
springboot 整合springsecurity
10-13
要在Spring Boot整合Spring Security,需要在pom.xml文件中添加Spring Security依赖项,并创建一个Security配置类来配置安全性规则和用户身份验证。以下是一个简单的示例: 1. 添加依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 创建Security配置类: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() .and() .formLogin() .and() .logout().logoutSuccessUrl("/login"); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 在上面的示例中,我们配置了三个安全规则:只有具有ADMIN角色的用户才能访问/admin路径,具有ADMIN或USER角色的用户才能访问/user路径,其他所有请求都需要进行身份验证。我们还配置了一个自定义的UserDetailsService来加载用户信息,并使用BCryptPasswordEncoder来加密密码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值