Spring Security04--前后端分离--JSON传参

已于 2022-05-11 21:42:37 修改
阅读量697 收藏 2
点赞数
文章标签: json spring postman
于 2022-05-11 20:03:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengxianaa/article/details/124717243
版权

上一篇:https://blog.csdn.net/fengxianaa/article/details/124697362

1. 前后端分离

之前功能都是在前后端不分离的情况下,也就是前端的代码在我们后端的项目中

但实际工作中,大多数都是前后端分离的,这样的开发架构下,前后端的交互都是通过 JSON 来进行交互

准备,pom.xml中添加

<dependency>
  <groupId>com.alibaba</groupId>
  <artifactId>fastjson</artifactId>
  <version>1.2.60</version>
</dependency>

1. 登陆成功、失败,返回json

修改 SecurityConfig

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/fail.html").permitAll()
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginProcessingUrl("/user/login")
        .usernameParameter("name")
        .passwordParameter("pass")
        // 登录成功后设置json格式的返回结果
        .successHandler(new AuthenticationSuccessHandler() {
            /**
                     *
                     * @param request
                     * @param response
                     * @param authentication 保存了登录成功的用户信息
                     * @throws IOException
                     */
            @Override
            public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                                Authentication authentication) throws IOException {
                response.setContentType("application/json;charset=utf-8");
                PrintWriter out = response.getWriter();
                out.write(JSONObject.toJSONString(authentication));
                out.flush();
                out.close();
            }
        })
        // 登录失败后设置json格式的返回结果
        .failureHandler(new AuthenticationFailureHandler() {
            @Override
            public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                                AuthenticationException exception) throws IOException, ServletException {
                response.setContentType("application/json;charset=utf-8");
                PrintWriter out = response.getWriter();
                Map<String,String> map = new HashMap<>();
                map.put("errMsg", exception.getMessage());
                out.write(JSONObject.toJSONString(map));
                out.flush();
                out.close();
            }
        })
        .permitAll()
        .and()
        .csrf().disable();//关闭 csrf,后面讨论
    }

用 postman 访问

登陆失败:

2. 未登陆返回json

目前用户没有登陆,访问:localhost:8080/sec,会跳转到登陆页面,

通过下面的设置,让它返回json

.csrf().disable()// 关闭 csrf,后面讨论
    .exceptionHandling().authenticationEntryPoint(new AuthenticationEntryPoint() {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        PrintWriter out = response.getWriter();
        Map<String,String> map = new HashMap<>();
        map.put("errMsg", "尚未登录,请先登录");
        out.write(JSONObject.toJSONString(map));
        out.flush();
        out.close();
    }
});

重启后,访问:localhost:8080/sec

3. 退出登录

configure 方法中末尾新增:

http.logout().logoutUrl("/user/logout")
    .logoutSuccessHandler(new LogoutSuccessHandler() {
        @Override
        public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter out = response.getWriter();
            out.write("退出成功");
            out.flush();
            out.close();
        }
    });

重启后,访问:localhost:8080/user/logout

4. json格式登陆

默认情况下是从 UsernamePasswordAuthenticationFilter 的attemptAuthentication方法中获取表单中的参数,

我们新建一个类,继承 UsernamePasswordAuthenticationFilter,复写 attemptAuthentication方法

从json中获取参数

/**
 * 自定义 UsernamePasswordAuthenticationFilter,从请求中获取用户名密码
 */
public class MyUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {


    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

        //如果请求方式不是 post,直接异常
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("请求方式有误:" + request.getMethod());
        }
        //如果请求的参数格式不是json,直接异常
        if (!request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)){
            throw new AuthenticationServiceException("参数不是json:" + request.getMethod());
        }
        String username=null;
        String password = null;
        try {
            //从 json 数据中 获取用户名、密码
            Map<String,String> map = JSONObject.parseObject(request.getInputStream(),Map.class);
            username = map.get("username");//但是参数名可能不是这个,最好是用 getUsernameParameter() 方法获取参数名
            password = map.get("password");
        } catch (IOException e) {
            throw new AuthenticationServiceException("参数不对:" + request.getMethod());
        }
        if (username == null) {
            username = "";
        }
        if (password == null) {
            password = "";
        }
        username = username.trim();
        // 封装用户名、密码,下面的 authenticate 方法会从中拿到 用户名, 调用我们的 LoginUserService 获取用户,然后比较密码
        UsernamePasswordAuthenticationToken authRequest
                = new UsernamePasswordAuthenticationToken(username,password);
        //设置ip、sessionId信息
        setDetails(request,authRequest);
        // authenticate 方法中封装了具体的密码认证逻辑
        return this.getAuthenticationManager().authenticate(authRequest);
    }
}

修改 SecurityConfig,声明我们的 MyUsernamePasswordAuthenticationFilter 的bean对象

同时使用下面新的 configure 方法,老的可以暂时注释掉

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 声明一个 PasswordEncoder ,这样数据库存储的密码就不需要 "{加密方式}",这样的前缀
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public MyUsernamePasswordAuthenticationFilter myUsernamePasswordAuthenticationFilter() throws Exception {
        MyUsernamePasswordAuthenticationFilter filter = new MyUsernamePasswordAuthenticationFilter();
        filter.setAuthenticationManager(authenticationManagerBean());//认证使用
        //设置登陆成功返回值是json
        filter.setAuthenticationSuccessHandler(new AuthenticationSuccessHandler() {
            @Override
            public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {
                response.setContentType("application/json;charset=utf-8");
                PrintWriter out = response.getWriter();
                out.write(JSONObject.toJSONString(authentication));
            }
        });
        //设置登陆失败返回值是json
        filter.setAuthenticationFailureHandler(new AuthenticationFailureHandler() {
            @Override
            public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
                response.setContentType("application/json;charset=utf-8");
                PrintWriter out = response.getWriter();
                Map<String,String> map = new HashMap<>();
                map.put("errMsg", exception.getMessage());
                out.write(JSONObject.toJSONString(map));
                out.flush();
                out.close();
            }
        });
        filter.setFilterProcessesUrl("/user/login");
        return filter;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and().csrf().disable();
        //把自定义认证过滤器加到拦截器链中
        http.addFilterAt(myUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    }
}

5. 获取当前登录用户

只有一行代码: SecurityContextHolder.getContext().getAuthentication()

修改 SecController

@GetMapping("/sec")
public String sec(){
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    LoginUser currentUser = (LoginUser) authentication.getPrincipal();
    return JSONObject.toJSONString(currentUser);
}

登录成功后,访问:localhost:8080/sec

更新当前用户信息:SecurityContextHolder.getContext().setAuthentication(authResult)

比如:

// 可以找个地方写个这样的静态方法,如果要更新登录的用户信息,就调用这个方法
public static void setLoginUser(UserDetails userDetails) {
	SecurityContextHolder.getContext().setAuthentication(
		new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities()));
}

6. 验证码

添加验证码生成的工具包

<dependency>
  <groupId>com.github.penggle</groupId>
  <artifactId>kaptcha</artifactId>
  <version>2.3.2</version>
</dependency>

修改 SecController 增加:

@GetMapping("/code")
public void getVerifyCode(HttpServletResponse resp, HttpSession session) throws IOException {
    //验证码配置
    Properties properties = new Properties();
    properties.setProperty("kaptcha.image.width", "150");
    properties.setProperty("kaptcha.image.height", "50");
    properties.setProperty("kaptcha.textproducer.char.string", "0123456789");
    properties.setProperty("kaptcha.textproducer.char.length", "4");
    Config config = new Config(properties);
    DefaultKaptcha kaptcha = new DefaultKaptcha();
    kaptcha.setConfig(config);
    
    //生成验证码
    resp.setContentType("image/jpeg");
    String text = kaptcha.createText();
    session.setAttribute("verify_code", text);
    BufferedImage image = kaptcha.createImage(text);
    try(ServletOutputStream out = resp.getOutputStream()) {
        ImageIO.write(image, "jpg", out);
    }
}

修改 SecurityConfig

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/code").permitAll()// 验证码请求不用登录
        .anyRequest().authenticated()
        .and().csrf().disable();

    //把自定义认证过滤器加到拦截器链中
    http.addFilterAt(myUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}

修改 MyUsernamePasswordAuthenticationFilter

.....

String username=null;
String password = null;
String code = null;
try {
    Map<String,String> map = JSONObject.parseObject(request.getInputStream(),Map.class);
    code = map.get("code");
    username = map.get("username");
    password = map.get("password");
} catch (IOException e) {
    throw new AuthenticationServiceException("参数不对:" + request.getMethod());
}
// 校验验证码
String verify_code = (String) request.getSession().getAttribute("verify_code");
if (code == null || verify_code == null || !code.equals(verify_code)) {
    throw new AuthenticationServiceException("验证码错误");
}

.....

fengxianaa
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Node框架Express搭建服务器和API
qq_25953937的博客
04-25 176
Node框架Express搭建服务器和API
Springboot Security 认证鉴权——使用JSON格式参数登录
HD243608836的博客
05-09 2508
在 中,默认的登陆方式是以表单形式进行提交参数的。可以参考前面的几篇文章,但是在前后端分离的项目,前后端都是以 JSON 形式交互的。一般不会使用表单形式提交参数。所以,在 中如果要使用 JSON 格式登录,需要自己来实现。那本文介绍两种方式使用 JSON 登录。1. 通过源码分析可以知道(打断点,往前捋),登录参数的提取在 过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。 的源代码如下:重写其中的attemptAuthentication方法,默认表单认证,需要修改为兼
SpringSecurity进行json对象传参实现手机验证码登录
qq_39425757的博客
06-08 330
在对security进行用户名密码登录之后还要满足手机验证码登录,由于是初次使用security进行手机验证,并且由于前端用的json对象进行传参,导致在验证时出现了一些问题。由于在网上也没查到使用json对象进行手机验证的操作,于是自己便根据用户名密码登录的操作进行了一些改写。 首先重写UsernamePasswordAuthenticationFilter @Override public Authentication attemptAuthentication(HttpServletRequest
系列十一、Spring Security登录接口兼容JSON格式登录
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
01-13 537
*** @Author : 一叶浮萍归大海*/@Overrideif (!try {try {} else {try {/*** 检查验证码*/return;return;if (!return;
Spring security 自定义过滤器实现Json参数传递-并兼容表单参数
热门推荐
hu10131013的博客
09-11 10万+
依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <group.
SpringSecurity在权限认证时返回JSON数据
weixin_66822145的博客
05-24 503
因为多数的系统都是前后端分离的系统,前段请求后端的数据来判断认证的标识,SpringSecurity要实现返回JSON也并不难,只需要重写一些相关的处理器即可。
SpringSecurity登录使用JSON格式传数据
weixin_42398872的博客
12-12 1010
在使用SpringSecurity中,大伙都知道默认的登录数据是通过key/value的形式来传递的,默认情况下不支持JSON格式的登录数据,如果有这种需求,就需要自己来解决,
Spring Security 前后端分离登录,非法请求直接返回 JSON
Python毕设源码程序王哥
04-02 330
上述知识点,囊括了目前互联网企业的主流应用技术以及能让你成为“香饽饽”的高级架构知识,每个笔记里面几乎都带有实战内容。很多人担心学了容易忘,这里教你一个方法,那就是重复学习。打个比方,假如你正在学习 spring 注解,突然发现了一个注解@Aspect,不知道干什么用的,你可能会去查看源码或者通过博客学习,花了半小时终于弄懂了,下次又看到@Aspect 了,你有点郁闷了,上次好像在哪哪哪学习,你快速打开网页花了五分钟又学会了。从半小时和五分钟的对比中可以发现多学一次就离真正掌握知识又近了一步。
Spring Security 使用JSON格式参数登录的两种方式
BASK2311的博客
11-21 589
通过前面几篇文章的分析,我们已经知道了登录参数的提取在过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。的源代码如下:接下来就是将我们自定义的 LoginFilter 过滤器代替默认的。当我们替换了之后,原本在 SecurityConfig#configure 方法中关于 form 表单的配置就会失效,那些失效的属性,都可以在配置 LoginFilter 实例的时候配置;还需要记得配置,否则启动时会报错。
Spring Security实现前后端分离Login登录功能,返回JSON提示,核心代码不到100行!
m0_59562547的博客
10-25 1716
#前后端分离登录设计思路和流程图 前后端分离是企业级应用开发的主流,登录功能同样采用前后端分离模式。 用户信息存在数据库中。 Spring Security提供身份认证。 前后端交互通过JSON进行。 登录成功不是页面跳转,而是一段JSON提示。 #第一步:前期准备工作 项目架构: 开发环境Spring-boot 2.5.5 Maven 数据库MySQL8.0+,存放用户、角色、用户角色对照表 持久层Mybatis 数据库及表设计;MAVEN依赖;application.pro...
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
spring-boot-shiro:spring-boot-shiro前后端分离实现
05-14
它是一个很易用与Java项目的的安全框架,提供了认证、授权、加密、会话管理,与spring Security 一样都是做一个权限的安全框架,但是与Spring Security 相比,在于 Shiro 使用了比较简单易懂易于使用的授权方式。...
spring-security-oauth2文档
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档
spring-security-jwt-demo.zip
11-19
spring-security-jwt-demo.zip
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Java面试八股之marshalling和demarshalling
u012151345的博客
04-21 462
Marshalling(序列化)是将内存中的对象状态转化为适合传输或存储的格式(如字节流、JSON、XML),以便进行网络通信、持久化存储或跨平台/语言交互操作。- JSON、XML绑定库:如Jackson、Gson(JSON)和JAXB、XMLBeans(XML),实现对象与数据格式的互转。- 第三方库:如protobuf、Avro、Jackson、Gson,提供更灵活、高效的解决方案。3. 优化性能,减少传输量、提升速度,合理设计降低CPU和内存使用。2. 保证数据安全,通过加密、压缩、校验等手段。
Kubernetes JSONpath如何使用?
duansamve的博客
04-21 359
你可以使用 JSONPath 表达式来组合多个字段,并自定义输出格式。这条命令将返回 Pod 名称和 IP 地址,它们之间用制表符(\t)分隔,每个 Pod 的信息占一行。
[Flutter3] Json转dart模型举例
最新发布
iOSTianNan的博客
04-23 346
3.贴入数据, 这里,我们去掉 最外层的 code/msg /data. 仅对data内的 list数据进行处理即。记录一下 Android studio plugin ->案例 json字符串, 一个 response的data返回数据。Android studio 安装插件即可。处理json转dart 模型。重启后, 右击选择生成数据。
SpringBoot内容协商机制(就是接受数据的类型如json,xml)
gaoqiandr的博客
04-23 410
本文主要介绍的是SpringBoot中的内容协商机制,也就是接收参数的数据格式,如xml,json等等
spring-boot-starter-actuator 前后端分离 使用
07-14
前后端分离的架构中,前端和后端是独立部署和运行的,因此需要在后端项目中使用spring-boot-starter-actuator来对后端应用进行监控和管理。前端项目可以通过HTTP接口调用actuator的端点来获取应用程序的信息。 首先,你需要在后端的Spring Boot项目中添加spring-boot-starter-actuator的依赖。在你的pom.xml文件中,添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</artifactId> </dependency> ``` 然后,你需要在应用程序的配置文件(例如application.properties或application.yml)中配置actuator的相关属性。例如,你可以设置管理端点的访问路径和权限: ```properties # 设置管理端点的访问路径 management.endpoints.web.base-path=/actuator # 开启所有的管理端点,默认只开启了/health和/info management.endpoints.web.exposure.include=* ``` 配置完成后,你可以启动后端应用程序,并通过HTTP请求访问actuator提供的各种端点来获取应用程序的信息。例如: - `/actuator/health`:应用程序的健康状况 - `/actuator/info`:应用程序的信息 - `/actuator/metrics`:度量指标信息 - `/actuator/env`:运行时环境信息 你可以根据具体需求,选择性地暴露和配置这些端点。同时,你还可以自定义自己的管理端点,以满足特定的监控和管理需求。 在前端项目中,你可以通过发送HTTP请求来调用这些管理端点,获取后端应用程序的信息,从而实现前端对后端应用程序的监控和管理功能。 希望这些信息对你有帮助!如果还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值