sprinboot_springSecurity_vue

已于 2023-12-23 17:10:45 修改
阅读量383 收藏 12
点赞数 13
文章标签: spring java 后端
于 2023-12-18 22:14:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c15531440023/article/details/135072120
版权

 一、登录功能开发

前期准备:

编写SecurityConfig配置类,其中包括注入密码加密器、认证管理器、过滤器链、

 //注入过滤链
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception{
        //关闭csrf()攻击防护
        http.csrf().disable();
        //允许跨域
        http.cors();
        //关闭iframe窗口防护
        http.headers().frameOptions().disable();
        //关闭session会话
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //配置认证过滤器
        http.addFilterAfter(jwtAuthenticationTokenFilter,UsernamePasswordAuthenticationFilter.class);
        //配置所有请求必须认证
        http.authorizeRequests().anyRequest().authenticated();
        //配置认证失败处理
        http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint);
        return http.build();
    }

DaoAuthenticationProvider

  // 注入DaoAuthenticationProvider
    @Bean
    public DaoAuthenticationProvider authenticationProvider(){
        DaoAuthenticationProvider auth = new DaoAuthenticationProvider();
        auth.setUserDetailsService(userDetailsService);
        
        auth.setPasswordEncoder(passwordEncoder());
        return auth;
    }

,配置忽略路径

//配置忽略路径
    @Bean
    public WebSecurityCustomizer securityCustomizer() throws Exception{
        return (web) -> {
            web.ignoring().antMatchers("/api/captcha",
                    "/api/login",
                    "/doc.html",
                    "/webjars/**",
                    "/swagger-resources/**",
                    "/v2/api-docs/**");
        };
    }

一.后端:

        1.验证码实现:

                (1)使用CaptchaUtil工具类创建一个验证码图片

                (2)获取验证码内容(code)和验证码ID,以前缀+ID为key,码为值存入到redis数据库中

                (3)向前端响应数据,包括验证码ID和getImageBase64Data()方法生成的带前缀的验证码图片压缩的字符串。

 public Result captcha(){
        //1.获取验证码
        LineCaptcha captcha = CaptchaUtil.createLineCaptcha(200, 40, 4, 20);
        //获取验证码压缩图片
        String imageBase64Data = captcha.getImageBase64Data();
        //获取验证码内容
        String captchaCode = captcha.getCode();
        //获取验证码id
        String captchaId = UUID.randomUUID().toString();
        //2.将验证码信息存到redis中 key 为wy:login:captcha:+id redis中会以冒号为分割创建文件夹
        redisTemplate.opsForValue().set(RedisConstant.CAPTCHA_PRE+captchaId,
                captchaCode,RedisConstant.CAPTCHA_EXPIRE_TIME, TimeUnit.SECONDS);

        //3.响应数据
        HashMap<String,Object> map = new HashMap<>();
        map.put("captchaId",captchaId);
        map.put("imageBase64",imageBase64Data);
        return Result.success(map);
    }

        2.jwt认证过滤器

              (1)继承OncePerRequestFilter类,重写doFilterInternal()方法

                (2) 从请求头中获取token,如果没有token(未登录)放行,有就继续

              (3)解析token(包括创建token需要的信息)

              (4)刷新token和redis中存储的用户的有效期

              (5)将用户信息存入securityContextHolder中,使得过滤链上每个环节都能通过SecurityContextHolder拿到用户信息。放行。

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private RedisTemplate<String,Object> redisTemplate;
    @Autowired
    private JwtUtils jwtUtils;
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //1.获取token
        String token = request.getHeader("authorization");
        //System.out.println(token);
        if (!StringUtils.hasText(token)){
            //放行
            filterChain.doFilter(request,response);
            return;
        }
        //2.解析token
        Integer userId;
        Integer userType;
        try {
             userId = jwtUtils.getUserIdFromToken(token);
             userType = jwtUtils.getUserTypeFromToken(token);
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }

        //3.刷新token和redis的有效期
        String refreshToken = jwtUtils.refreshToken(token);
        response.setHeader("Access-Control-Expose-Headers","Authorization");
        response.addHeader("Authorization",refreshToken);

        if (SystemConstant.USER_TYPE_WUZHU==userType){

            SysUser sysUser = (SysUser) redisTemplate.opsForValue().get(RedisConstant.LOGIN_SYSTEM_USER_PRE + userId);
            if (Objects.isNull(sysUser)){
                throw new RuntimeException("用户未登录");
            }
            //刷新redis有效期
            redisTemplate.expire(RedisConstant.LOGIN_SYSTEM_USER_PRE + userId, RedisConstant.LOGIN_SYSTEM_USER_EXPIRE_TIME, TimeUnit.MINUTES);
            //3.将用户信息存入securityContextHolder中
            UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(sysUser, null, null);
            SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            filterChain.doFilter(request,response);
        }else {
            LiveUser liveUser = (LiveUser) redisTemplate.opsForValue().get(RedisConstant.LOGIN_LIVE_USER_PRE + userId);
            if (Objects.isNull(liveUser)){
                throw new RuntimeException("用户未登录");
            }
            redisTemplate.expire(RedisConstant.LOGIN_LIVE_USER_PRE+userId,RedisConstant.LOGIN_LIVE_USER_EXPIRE_TIME,TimeUnit.MINUTES);
            UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(liveUser, null, null);
            SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            filterChain.doFilter(request,response);
        }


    }
}

        3.登录接口

                返回result带有token令牌的map集合

        4.实现UserDetailsService

                基于数据库查询用户名对应的用户信息

       5.登录业务层

                (1)校验验证码

                        ①从redis中取出验证码和前端输入的验证码将进行比较,错误抛出异常

 private void validCaptcha(String captchaId, String captchaCode) {
        //1.从redis中获取验证码
        String captchaCode2 = (String) redisTemplate.opsForValue().get(RedisConstant.CAPTCHA_PRE + captchaId);
        if (!captchaCode.equalsIgnoreCase(captchaCode2)){
            throw new RuntimeException("验证码有误");
        }
    }

                (2)校验用户名密码返回认证信息

                        ①将用户名密码封装成usernamePasswordAuthenticationToken

                        ②通过authenticationManager调用认证方法,返回认证对象,认证对象为空抛出异常,反之返回认证对象

private Authentication validUsernameAndPassword(String username, Integer userType, String password) {
        username = username+":"+userType;
        //将用户名密码封装成usernamePasswordAuthenticationToken
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(username, password);
        //进行认证
        Authentication authentication = authenticationManager.authenticate(usernamePasswordAuthenticationToken);
        if(Objects.isNull(authentication)){
            throw new RuntimeException("用户名或密码错误");
        }
        return authentication;

    }

                 (3)将用户信息存入redis,并响应token数据

                         ①用户信息在认证对象的主体中

                         ②创建token返回result带有token令牌的map集合

 private Result responseToken(Integer userType, Authentication authentication) {
        int userId;
        String username;
        //用户类型为物主
        if (userType== SystemConstant.USER_TYPE_WUZHU){
            SysUser sysUser = (SysUser) authentication.getPrincipal();
            userId = sysUser.getUserId();
            username = sysUser.getUsername();
            //将物主信息存到redis中
            redisTemplate.opsForValue().set(RedisConstant.LOGIN_SYSTEM_USER_PRE + userId, sysUser, RedisConstant.LOGIN_SYSTEM_USER_EXPIRE_TIME, TimeUnit.MINUTES);

        }else {
            LiveUser liveUser = (LiveUser) authentication.getPrincipal();
            userId = liveUser.getUserId();
            username = liveUser.getUsername();
            //将业主信息存入redis
            redisTemplate.opsForValue().set(RedisConstant.LOGIN_LIVE_USER_PRE + userId, liveUser, RedisConstant.LOGIN_LIVE_USER_EXPIRE_TIME, TimeUnit.MINUTES);
        }
        //创建token
        String token = jwtUtils.generateToken(userId, username, userType);
        HashMap<String, String> map = new HashMap<>();
        map.put("token",token);
        return Result.success(map);
    }

二.前端

        (1)验证码获取,将返回结果绑定到img标签的src属性中,带有前缀会自动解压

        (2)login()方法,将响应结果中的token存储到session storage中

        (3)配置http.js

                ①请求之前的拦截器,从session storage中获取token添加到请求头中(key为后端jwt过滤器中获取token的key)

//请求发送之前的拦截器
axios.interceptors.request.use(
  config => {
    let token = sessionStorage.getItem("authorization")
    //如果token存在,把token添加到请求的头部
    if (token) {
      config.headers['authorization'] = token
    }
    return config
  },
  error => {
    console.log(error)
    return Promise.reject(error)
  }
)

                ②请求返回之后的处理,从响应头中获取token并更新session storage中的token(前端刷新token)


//请求返回之后的处理
axios.interceptors.response.use(

  response => {
    if(response.headers.authorization){
      sessionStorage.setItem("authorization",response.headers.authorization)
  }
    const res = response.data

    if (res.code !== 200) {
      Message({
        message: res.msg || '服务器出错',
        type: 'error',
        duration: 5 * 1000
      })
      return Promise.reject(new Error(res.msg || '服务器出错'))
    } else {
      return res
    }
  },
  error => {
    console.log('err' + error) 
    Message({
      message: error.msg || '服务器出错!',
      type: 'error',
      duration: 5 * 1000
    })
    return Promise.reject(error)
  }
)

三.密码加密传输

3.1 节 加密的几种方式

在Java开发的过程中,很多场景下都需要加密解密,比如对敏感数据的加密,对配置文件信息的加密,通信数据的加密等等。

加密分为三类:

  1. 摘要加密(digest)

  2. 对称加密(symmetric)

  3. 非对称加密(asymmetric)

 3.1.1 摘要加密(digest)

说明:数字摘要是将任意长度的消息变成固定长度的短消息,它类似于一个自变量是消息的函数,也就是Hash函数。数字摘要就是采用单向Hash函数将需要加密的明文“摘要”成一串固定长度(128位)的密文这一串密文又称为数字指纹,它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。 常见的有:

  1. MD5

  2. SHA

  3. 16进制编码

  4. Base64编码

 3.1.2 对称加密算法(symmetric)

 

对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥(mi yao)一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。常见的有:

  1. DES

  2. AES(新)

3.1.3 非对称加密 (asymmetric) 

 非对称加密算法:又称为公开密钥加密算法,需要两个密钥,一个为公开密钥(PublicKey)即公钥,一个为私有密钥(PrivateKey)即私钥。两者需要配对使用。用其中一者加密,则必须用另一者解密。

常见的有:

  1. RSA 算法

  2. 数字签名

3.2 节 常见加密工具类使用

Hutool-all包含Hutool-crypto模块,hutool-crypto中包含创建的算法工具类,具体如下:

 

<banana>
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringBoot_SpringSecurity_JWT_RBAC:前后端分离,基于 JWT、RBAC 的登录拦截设计
05-01
SpringBoot_SpringSecurity_JWT_RBAC
SpringBoot+SpringSecurity+Vue实现动态权限(一)
weixin_51110958的博客
06-22 2907
之前都是使用若依框架来实现的动态权限和菜单功能,但是一直想尝试自己来实现动态权限。所以这两天准备整合一下自己的所学知识,依据RBAC权限模型,使用SpringBoot+SpringSecurity+Vue来自己实现一下动态权限。......
SpringBoot+Spring Security+Vue实现通用的权限管理系统
syh_IT
07-12 4135
Spingboot+vue实现通用的权限管理系统
springboot+vue+springsecurity
m0_45209551的博客
05-23 955
27、excel数据导出 1.vhr-framework.pom.xml <dependency> <groupId>com.alibaba</groupId> <artifactId>easyexcel</artifactId> <version>3.1.0</version> </dependency&gt
SpringBoot+SpringSecurity+Vue实现动态权限(四)
weixin_51110958的博客
07-18 1403
在上一篇SpringBoot+SpringSecurity+Vue实现动态权限(三)中已经完成了vue-admin-template的整合以及动态菜单的实现。动态权限大体已经完成了,这一章我们需要修改逻辑,将权限标识存入redis中,后端通过redis中的权限标识来实现权限控制。...
SpringBoot整合SpringSecurity和JWT
hello,word!
03-03 4039
SpringBoot整合SpringSecurity和JWT,SpringSecurity提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限。
SpringBoot 整合 SpringSecurity
Lyndon的专栏
10-23 3423
SpringBoot整合Spring Security实现ajax登录
SpringBoot+SpringSecurity+Vue实现动态权限(三)
weixin_51110958的博客
06-25 1593
在上一篇完成了Security登录认证和授权过滤器的编写,后端的登录等功能已经实现。这一篇整合前端Vue实现动态菜单功能。前端Vue项目使用脚手架vue-admin-template
Vue+SpringBoot+Spring Security重定向
Hit the keyboard hard
12-25 1452
问题描述 最近项目集成了 Spring Security ,部署后发现项目必须以http://ip:port/index.html访问。 如果访问http://ip:port,后台会是在访问接口,会被Security拦截,返回401。 解决方法 解决方案是将http://ip:port作为后端接口,并在Security中配置不拦截"/"。方法返回ModelAndView,实现重定向。具体做法如下: 定义方法 @GetMapping("/") public ModelAndView index()
基于SpringBoot+SpringSecurity+Vite+Vue+ElementUI-Plus的认证权限系统
胡海龙
10-05 1395
本文介绍的是由SpringBoot+SpringSecurity+Vite+Vue3+ElementUI-Plus为主要框架实现的前后端分离的认证权限系统。实现了用户注册/登录、忘记密码、邮箱激活、用户管理、角色管理、接口管理、系统日志和个人中心等功能,结合redis和JWT实现32位token的安全验证逻辑,更多内容请浏览全文。
SpringBoot、SpringSecurityVue整合JWT认证
XiumingLee的博客
01-16 1410
原文地址 概述 在开始这篇文章前,博主默认你们已经对Spring Boot、Spring SecurityVue以及JWT已经了解。这里对以上概念也不再赘述。下面先讲一下思路。 1、后端需要编写JWT生成处理和JWT解析认证处理。 2、前端填写用户名和密码发送登录请求。 3、经后端Spring Security登录认证成功后,由JWT生成器生成Token返回给前端。 4、前端拿到Token,在...
SpringBoot+SpringSecurity+Mybatis+Vue后端分离的宿舍管理系统源码.zip
05-18
SpringBoot+SpringSecurity+Mybatis+Vue后端分离的宿舍管理系统 启动后端 导入sql文件 使用ide导入项目dorm-admin-server 更新maven 修改application.yml 运行DormAdminServerApplication.java 启动前端 导入项目...
SpringBoot+SpringSecurity+Vue实现后台管理系统的开发项目源代码
07-08
SpringBoot+SpringSecurity+Vue实现后台管理系统的开发项目源代码
基于SpringBoot,Spring Security,JWT,Vue & Element 的前后端分离权限管理系统设计源码
04-15
基于SpringBoot,Spring Security,JWT,Vue & Element 的前后端分离权限管理系统设计源码,该项目包含605个文件,主要文件类型有255个java源文件,以及95个vue前端文件。此外,还包括87个svg图像文件,76个...
集合springboot vue springsecurity的电商管理系统
04-06
集合springboot vue springsecurity的电商管理系统 后端代码
基于Springboot的家具网站
趙兴晨的博客
05-03 574
本文介绍了一款基于现代Web技术构建的家具网站,旨在通过互联网技术优化家具产品的展示与销售,提高用户的购物体验,同时为家具制造商和零售商提供一个高效的在线销售平台。本研究的主要目的是设计并实现一个高效、易用的家具网站,通过系统化的产品展示流程和智能化的购物功能,提升家具产品的在线销售效率和管理水平。本研究通过设计和实现家具网站,有效地解决了传统家具销售中的展示局限性和购物效率低下的问题,提高了家具产品的在线销售效率和用户的购物体验,并为相关领域的研究和实践提供了有益的参考。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
XING的博客
05-03 1260
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
SpringBoot中实现发送邮件
hac1322的博客
04-30 831
当你添加了spring-boot-starter-mail依赖后,Spring Boot会自动配置JavaMailSender实例,并根据application.yml文件中的属性来配置这个实例。你可以直接在需要发送邮件的地方通过@Autowired注解将JavaMailSender实例注入到你的类中,然后使用它来发送邮件。:首先,需要在你的pom.xml文件中添加Spring Boot的邮件发送器依赖。,简化了在Spring Boot应用程序中发送电子邮件的设置过程。Spring Boot的。
SpringData JPA - ORM 框架下,打造高效数据访问层
最新发布
CYK_byte的博客
05-03 1166
全英文名叫 Java Persistence API,就是 java 持久化 api ,是SUN公司推出的一套基于 ORM 的规范。ORM(Object Relational Mapping)表示对象关系映射. 简单来讲,通过 ORM,就可以把对象映射到关系型数据库中(为了不用 JDBC 那套方法来操作数据库).
springboot+springsecurity+vue
05-10
结合 Spring Boot 和 Spring Security,可以构建一个安全可靠的后端应用程序,而 Vue 可以作为前端框架与后端进行通信和交互。具体的实现可以使用 RESTful API 或者 WebSocket 等技术实现数据的传输和交互。 在开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值