【SpringSecurity】三更草堂项目案例分析2 - 认证主体业务编写

最新推荐文章于 2024-03-31 13:51:57 发布
最新推荐文章于 2024-03-31 13:51:57 发布
阅读量306 收藏
点赞数 1
分类专栏: # 中间件 文章标签: 开发语言 java redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/delete_you/article/details/132941411
版权

认证主体业务

配置 mybatisplus

为 User 创建 mapper

代码清单:/mapper/UserMapper.java

@Mapper
public interface UserMapper extends BaseMapper<User> {
}

在入口类中对该 mapper 执行扫描

@SpringBootApplication
@MapperScan("com.zhiller.sangengsecurity.mapper")
public class SanGengSecurityApplication {

    public static void main(String[] args) {
        ConfigurableApplicationContext run = SpringApplication.run(SanGengSecurityApplication.class, args);

    }
}

UserDetailsServiceImpl

该实现类实现了 UserDetailsService ,通过条件查询从 mysql 中找到对应用户
如果用户不存在,抛出异常
如果用户存在,返回一个 UserDetails 对象

代码清单:/service/UserDetailsServiceImpl.java

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询用户信息
        LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(User::getUserName,username);
        User user = userMapper.selectOne(wrapper);
        //如果查询不到数据就通过抛出异常来给出提示
        if(Objects.isNull(user)){
            throw new RuntimeException("用户名或密码错误");
        }
        //TODO 根据用户查询权限信息 添加到LoginUser中

        //封装成UserDetails对象返回
        return new LoginUser(user);
    }
}

LoginUser

该实体类继承了 UserDetails

@AllArgsConstructor 注解可以自动生成带参数的构造函数,因为我们已经在该类中设置了私有变量 User,所以生成的构造函数就会自带形参 user,然后对应 UserDetailsServiceImpl 中的末尾返回的就是一个 UserDetials 对象

默认的 LoginUser 对象仅需要两个参数:userid 和 password

代码清单:/domain/LoginUser.java

@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {
    private User user;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }


    // 下面的这四个玩意必须设置成true,否则不给你验证!!!
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    @Override
    public boolean isEnabled() {
        return true;
    }
}

LoginService

设置登录服务接口

代码清单:/service/LoginService.java

public interface LoginService {
    ResponseResult login(User user);

    ResponseResult logout();
}

LoginServiceImpl

实现登录与登出服务

由于内容过多,具体代码功能查看下方注释,十分详细

代码清单:/service/LoginServiceImpl.java

@Service
public class LoginServiceImpl implements LoginService {

    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private RedisCache redisCache;

    @Override
    public ResponseResult login(User user) {
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());

        // AuthenticationManager对象,用于处理认证操作
        // authenticate()方法会触发Spring Security进行认证,返回一个Authentication对象authenticate,表示认证成功
        // 如果认证失败,即authenticate为null,则抛出RuntimeException异常
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);
        if(Objects.isNull(authenticate)){
            throw new RuntimeException("用户名或密码错误");
        }

        //使用userid生成token
        LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
        String userId = loginUser.getUser().getId().toString();
        String jwt = JwtUtil.createJWT(userId);
        //authenticate存入redis
        redisCache.setCacheObject("login:"+userId,loginUser);
        //把token响应给前端
        HashMap<String,String> map = new HashMap<>();
        map.put("token",jwt);
        return new ResponseResult(200,"登陆成功",map);
    }

    @Override
    public ResponseResult logout() {
        // 通过SecurityContextHolder获取当前登录用户的认证信息Authentication
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();

        // 认证信息中的主体对象转换为LoginUser对象
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        Long userid = loginUser.getUser().getId();
        // 删除redis数据库中的对应对象
        redisCache.deleteObject("login:"+userid);
        return new ResponseResult(200,"退出成功");
    }
}

LoginController

代码清单:/controller/LoginController.java

@RestController
public class LoginController {

    @Autowired
    private LoginService loginService;

    @PostMapping("/user/login")
    public ResponseResult login(@RequestBody User user) {
        return loginService.login(user);
    }

    @RequestMapping("/user/logout")
    public ResponseResult logout() {
        return loginService.logout();
    }
}
JWT 过滤器

配置 JWT 过滤器,实现用户 JWT 校验

代码清单:/filter/JwtAuthenticationTokenFilter.java

// 继承自OncePerRequestFilter,它是Spring提供的一个过滤器基类,确保每个请求只被过滤一次
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisCache redisCache;

    // 实现了具体的过滤逻辑
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = request.getHeader("token");
        if (!StringUtils.hasText(token)) {
            //放行
            filterChain.doFilter(request, response);
            return;
        }

        // 解析token
        // 因为JWT中的Subject存储的就是userid,JWT解析后可以取出来放入redis进行比对
        String userid;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userid = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }

        //从redis中获取用户信息
        String redisKey = "login:" + userid;
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        if(Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录");
        }

        // 存入SecurityContextHolder,便于后续logout方法直接从这里面取出当前登录的用户信息
        //TODO 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser,null,null);
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        //放行
        filterChain.doFilter(request, response);
    }
}

SecurityConfig

配置 security 基本属性

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // security自带的BCryptPasswordEncoder来对用户密码进行加密
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    // 自动装配JWT过滤器
    @Autowired
    JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问
                .antMatchers("/user/login").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        //把token校验过滤器添加到过滤器链中
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

Zhillery
关注
专栏目录
springsecurity学习笔记
12-13
springsecurity学习笔记
SpringSecurity-草堂-学习笔记
weixin_45581692的博客
11-10 6724
SpringSecuritySpring家族中的一个安全管理框架。与Shiro相比,它提供了丰富的功能,社区资源也丰富。SpringSecurity的核心功能是认证和授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户。授权:经过认证后判断当前用户是否有权限进行某个操作。我们希望在认证失败或者是授权失败的情况下,也能和我们的接口一样返回相同结构的json,这样可以让前端对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。
SpringSecurity
qq_45888932的博客
02-26 1741
学习求教
spring secuity(草堂
放下键盘
05-08 6184
一、介绍 spring securityspring家族的一个安全管理框架,适用于大中型项目。 shiro也是一个安全管理框架,但他适用于小型项目。 安全框架主要做两件事: 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:判断登录后的用户是否有权限进行某个操作 二、快速入门 首先添加依赖,启动项目即可: <!--安全框架springsecurity依赖--> <dependency> <g
SpringSecurity-草堂学习笔记--01
StormArcita的博客
08-12 306
当用户登录成功后,前端需要访问请求时,会携带token发起请求,请求由Jwt过滤器拦截,获取到token中存储存储的userId,然后将用户信息封装到SecurityContextHolder中,其他过滤器可以从SecurityContextHolder获得当前登录的用户的信息,这就是进行。引入依赖后再访问之前的接口会先进入login页面,需要登录才能继续访问接口,默认账号是:user,密码默认需要去启动后的控制台寻找。问题来了:token中只存放的是用户的userId,那用户的其他信息我们怎么获取呢?
spring-security-oauth2文档
03-26
文档中提到的两个项目:`spring-security-oauth2` 和 `spring-security-oauth2-autoconfigure` 处于维护模式。这意味着这些项目将继续接受必要的安全新和支持,但不再进行新的功能开发。尽管如此,文档鼓励用户...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
本课程"Spring Security+OAuth2 精讲,打造企业级认证与授权"深入浅出地讲解了这两个框架的使用和集成,旨在帮助开发者构建安全、高效的应用系统。 Spring SecuritySpring生态系统中的一个强大安全框架,它提供了...
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring Boot、Spring Security与OAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这大框架的基本用法...
springBoot-springSecurity-OAuth2
01-16
总之,"springBoot-springSecurity-OAuth2"项目展示了如何在SpringBoot应用中整合SpringSecurity和OAuth2,实现安全的用户认证和授权功能。这个示例对于理解和学习现代Web应用的安全架构具有很高的参考价值。通过...
基于Java语言spring-security-oauth认证授权框架设计与实现源码
最新发布
09-30
项目是一款基于Java语言Spring Security OAuth认证授权框架设计与实现源码,包含523个文件,涵盖201个Java源文件、61个TypeScript文件、54个JSON文件、38个XML配置文件、25个PNG图片文件、24个HTML文件、22个...
Spring Security 资料合集
01-24
Spring Security份资料,实战Spring Security 3.x.pdf;Spring Security 3.pdf;Spring Security使用手册.pdf
SpringSecurity学习总结源代码
09-19
SpringSecurity学习总结源代码
Spring Security学习笔记
Shawn的个人博客
05-09 2845
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
SpringSecurity学习笔记
雨落
05-07 2182
使用SpringSecurity+jwt实现前后端认证和授权
SpringSecurity学习总结(草堂
桂林电子科技大学 -芳
03-31 1390
SpringSecurity安全框架的核心功能是和认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户。授权:经过认证后判断当前用户是否具有进行某个操作的权限。
SpringSecurity 草堂 学习笔记
温涛的博客
12-03 1413
SpringSecurity +jwt实现登录 草堂 学习笔记
SpringSecurity源码学习五:跨域与跨站请求伪造
qq_27586963的博客
10-21 477
跨域是指在网络中,当一个网页的资源(如字体、脚本或样式表)尝试从不同的域名、端口或协议请求数据时,会遇到安全限制问题。这是由于浏览器的同源策略所导致的。同源策略要求网页只能从同一域名下加载资源,而跨域请求则违反了这个策略。为了解决跨域问题,可以采取一些方法,如使用JSONP、CORS、代理服务器等。JSONP是通过动态创建总结起来,跨域是指在网络中由于浏览器的同源策略而限制了不同域名、端口或协议之间的资源请求。通过使用适当的跨域解决方案,可以允许跨域请求并获取所需的数据。
Spring Security(七) ——跨域配置
eyes++的博客
07-26 3956
CORS(Cross-OriginResourceSharing)是由W3C制定的一种基于HTTP头的跨域资源共享技术标准,其目的就是为了解决前端的跨域请求,该机制通过允许服务器标示除了它自己以外的其它origin(域,协议和端口),使得浏览器允许这些origin访问加载自己的资源。在JavaEE开发中,最常见的前端跨域请求解决方案是早期的JSONP,但是JSONP只支持GET请求,这是一个很大的缺陷,而CORS则支持多种HTTP请求方法,也是目前主流的跨域解决方案。...
SpringSecurity (五) --------- 跨域
在森林里麋了鹿
10-17 533
允许跨域
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zhillery

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值