基于Spring Security的登录验证功能

最新推荐文章于 2024-04-17 05:31:32 发布
最新推荐文章于 2024-04-17 05:31:32 发布
阅读量546 收藏
点赞数
分类专栏: 业务管理|低代码系统 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eclipsewangwfUN/article/details/127363430
版权

后端:

1.引入maven依赖

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.session</groupId>
	<artifactId>spring-session-core</artifactId>
</dependency>

2.配置代码

package com.breeze.bms.config;

import com.breeze.bms.bean.MessageCode;
import com.breeze.bms.bean.Result;
import com.breeze.bms.bean.vo.LoginRes;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.DisabledException;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.web.cors.CorsUtils;

import javax.annotation.Resource;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

/**
 * @author breeze
 * @since 2021/9/17 9:55
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Resource
    ObjectMapper objectMapper;
    @Qualifier("customUserDetailService")
    @Autowired
    UserDetailsService userDetailsService;


    @Override
    public void configure(WebSecurity web) throws Exception {
        //配置免登陆接口
        web.ignoring().antMatchers("/doc.html", "/webjars/**", "/swagger-resources/**", "/v2/api-docs", "/anonymous/**","/stomp/websocketJS/**");
        super.configure(web);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.sessionManagement().invalidSessionStrategy((request, response) -> {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter out = response.getWriter();
            out.write(objectMapper.writeValueAsString(Result.failResult(MessageCode.NO_LOGIN)));
            out.flush();
            out.close();
        }).and().cors()
                .and().csrf().disable()
                .authenticationProvider(authenticationProvider())
                .httpBasic()
                //未登录时,进行json格式的提示
                .authenticationEntryPoint((request, response, authException) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    out.write(objectMapper.writeValueAsString(Result.failResult(MessageCode.NO_LOGIN)));
                    out.flush();
                    out.close();
                })
                .and()
                .authorizeRequests()
                .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
                .anyRequest().authenticated() //必须授权才能范围

                .and()
                .formLogin().usernameParameter("username").passwordParameter("password").loginPage("/login").loginProcessingUrl("/login")
                .permitAll()
                //登录失败,返回json
                .failureHandler((request, response, ex) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    Result result = Result.failResult("401", "登录失败");
                    if (ex instanceof UsernameNotFoundException) {
                        result.setMessage("未找到相关账户");
                    } else if (ex instanceof BadCredentialsException) {
                        result.setMessage("账户密码错误");
                    } else if (ex instanceof DisabledException) {
                        result.setMessage("账户被禁用");
                    }
                    out.write(objectMapper.writeValueAsString(result));
                    out.flush();
                    out.close();
                })
                //登录成功,返回json
                .successHandler((request, response, authentication) -> {
                    Result result = Result.successResult();
                    result.setData(LoginRes.builder().token(request.getSession().getId()).authentication(authentication).build());
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    out.write(objectMapper.writeValueAsString(result));
                    out.flush();
                    out.close();
                })
                .and()
                .exceptionHandling()
                //没有权限,返回json
                .accessDeniedHandler((request, response, ex) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    Result result = Result.failResult(MessageCode.NO_LOGIN, "权限不足");
                    out.write(objectMapper.writeValueAsString(result));
                    out.flush();
                    out.close();
                })
                .and()
                .logout()
                //退出成功,返回json
                .logoutSuccessHandler((request, response, authentication) -> {
                    Map<String, Object> map = new HashMap<String, Object>();
                    Result result = Result.successResult();
                    result.setData(authentication);
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter out = response.getWriter();
                    out.write(objectMapper.writeValueAsString(result));
                    out.flush();
                    out.close();
                })
                .permitAll();
    }


    @Bean
    public AuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        //对默认的UserDetailsService进行覆盖
        authenticationProvider.setUserDetailsService(userDetailsService);
        authenticationProvider.setPasswordEncoder(passwordEncoder());
        return authenticationProvider;
    }


    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

3.获取用户的UserDetail实现

package com.breeze.bms.security;

import com.breeze.bms.mybatis.domain.SysUser;
import com.breeze.bms.service.SysUserService;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;

/**
 * @author breeze
 * @since 2021/9/17 11:03
 */
@Service("customUserDetailService")
public class UserDetailsServiceImpl implements UserDetailsService {
    @Resource
    SysUserService sysUserService; //自己的用户管理服务
    @Override
    public UserDetails loadUserByUsername(String loginName) throws UsernameNotFoundException {
        SysUser sysUser = sysUserService.queryByLoginName(loginName);

        return sysUser;
    }
}

4.设置SpringSession头,如果不想自定义默认就行

package com.breeze.bms.config;

import org.springframework.context.annotation.Bean;
import org.springframework.session.MapSession;
import org.springframework.session.MapSessionRepository;
import org.springframework.session.SessionRepository;
import org.springframework.session.config.annotation.web.http.EnableSpringHttpSession;
import org.springframework.session.web.http.HeaderHttpSessionIdResolver;
import org.springframework.session.web.http.HttpSessionIdResolver;

import java.util.concurrent.ConcurrentHashMap;

@EnableSpringHttpSession
public class SpringSessionConfig {
    @Bean
    public SessionRepository<MapSession> sessionRepository() {
        return new MapSessionRepository(new ConcurrentHashMap<>());
    }
    @Bean
    public HttpSessionIdResolver sessionIdResolver() {
        return new HeaderHttpSessionIdResolver("X-Token");
    }
}

前端:

request({
    url: '/login',
    method: 'post',
    data,
    transformRequest: [
      function(data) {
        let ret = ''
        for (const it in data) {
          ret += encodeURIComponent(it) + '=' + encodeURIComponent(data[it]) + '&'
        }
        ret = ret.substring(0, ret.lastIndexOf('&'))
        return ret
      }
    ],
    headers: {
      'Content-Type': 'application/x-www-form-urlencoded'
    }
  })

其他访问授权接口的时候把登录返回的token放到请求头X-Token(此处为后端4.Spring Session里自定义的头)里就行,如下所示

service.interceptors.request.use(
  config => {
    // do something before request is sent

    if (store.getters.token) {
      // let each request carry token
      // ['X-Token'] is a custom headers key
      // please modify it according to the actual situation
      config.headers['X-Token'] = JSON.parse(getToken()).token
    }
    return config
  },
  error => {
    // do something with request error
    console.log(error) // for debug
    return Promise.reject(error)
  }
)

eclipsewangwfUN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Spring Security判断用户是否已经登录
孙亖的专栏
02-14 5866
方法一、JSP中检查user principal <c:if test="${pageContext.request.userPrincipal.name != null}"> <label> Hi ${pageContext.request.userPrincipal.name} ! Welcome to our...
spring security验证流程
qiuqiuit的专栏
02-13 488
工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring securit...
Spring security登录授权验证的简单例子
最新发布
A1867350的博客
04-17 977
).and();http.authorizeRequests() // 配置认证与授权.antMatchers(“/user/**”).hasRole(USER) //基于角色//.antMatchers(“/user/**”).hasAuthority(“p1”) 基于权限.antMatchers(“/admin/**”).hasRole(ADMIN) //基于角色。
Spring Security
weixin_43118617的博客
11-01 577
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括**用户认证****(Authentication)和用户授权(Authorization)**两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来
浅析Spring Security登录验证流程
08-25
主要介绍了Spring Security登录验证流程源码解析,本文结合源码讲解登录验证流程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了Spring Security验证流程剖析及自定义验证方法,需要的朋友可以参考下
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
JwtSpringSecurity:具有基于JWT的身份验证Spring Security
03-27
JWT与Spring Security 基于JWT的身份验证Spring Security。 有关详细说明,请参见中篇文章
Spring Security入门23-31 登录验证功能
qq_43568982的博客
08-02 955
Spring Security
Spring Security登录验证过程详解
qq_41375630的博客
11-17 4088
前端: 在前端页面输入username和password,通过地址login访问验证。 后台: 调用 AbstractAuthenticationProcessingFilter.doFilter()方法 原因:SpringSecuritySpring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的 2.在AbstractAuthenticationProcessingFilter.doFilter()调用UsernamePasswor
spring security登录验证(方式一)
qq_44322586的博客
07-12 917
直接写死用户名和密码,也不需要创建用户表 调用结果 点击下面的cookies会发现,token默认存到了浏览器的缓存里。 这种方式比较简单,适合一个项目需要一个登录入口,但用户不能创建账号,只能有开发人员决定用户的信息,一个或者几个用户信息直接写死正在程序里。...
springboot拦截器判断是否登录
zyp的博客
07-28 9811
实现拦截器的两个步骤 自定义拦截器实现HandlerInterceptor接口 创建一个配置类继承WebMvcConfigurerAdapter类并重写addInterceptors方法 代码 1、自定义拦截器 @Component public class AdminLoginInterceptor implements HandlerInterceptor { // 在请求处...
springSecurity 登录验证登录实现
goxingman的博客
03-18 1229
整体流程: 1、核心类websecurityAdapter(需要注意的我都注释了) //注意这个注解一定要加 @EnableWebSecurity public class WebSecuirityAdapter extends WebSecurityConfigurerAdapter { @Autowired private LoginSuccessHandler successHandler; @Autowired private LoginFailHandl
如何使用 Spring Security手动验证用户
allway2的博客
11-04 545
默认情况下,Spring SecuritySpring Security 过滤器链中添加了一个额外的过滤器——它能够持久化安全上下文(在这篇快速文章中,我们将重点介绍如何在Spring SecuritySpring MVC中以编程方式设置经过身份验证用户。这是因为过滤器使用存储库来加载和存储链中其余定义的过滤器之前和之后的安全上下文,但它在传递给链的响应上使用自定义包装器。因此,在这种情况下,您应该知道所用包装器的类类型,并将其传递给存储库中的相应 save 方法。后,我们现在可以使用。
spring security登陆验证(方式2)
qq_44322586的博客
07-12 589
基于springsession存储token并将token放置在header中 1、加依赖 2、写配置文件 3、调试结果
(idea)利用SpringSecurity完成登录验证的流程
junqiqi77的博客
06-05 1666
spring security是一个安全可靠且高度可定制的安全框架,它提供身份验证和访问权限控制。按照框架的要求提供相关的信息和配置就可以利用spring security写出企业级安全的登录功能。认证:验证登录者的身份授权:定义登录登录后可以做什么攻击防护:防止身份伪造有了springboot之后,springbootspring security提供了自动化配置的方案,所以在springboot项目中可以实现零配置使用spring security
springsecurity登录验证流程
05-18
Spring Security是一个基于Spring框架的安全性框架,可以帮助我们实现身份验证、授权、攻击防护等安全功能。下面是Spring Security登录验证的基本流程: 1. 用户登录页面输入用户名和密码,提交表单。 2. Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

eclipsewangwfUN

棋盘内,车无轮马无缰,叫声将军

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值