springSecurity 登录及验证登录实现

最新推荐文章于 2024-06-15 16:48:03 发布
最新推荐文章于 2024-06-15 16:48:03 发布
阅读量1.2k 收藏 6
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goxingman/article/details/114981314
版权

整体流程:

1、核心类websecurityAdapter(需要注意的我都注释了

//注意这个注解一定要加
@EnableWebSecurity
public class WebSecuirityAdapter extends WebSecurityConfigurerAdapter {

    @Autowired
    private LoginSuccessHandler successHandler;
    @Autowired
    private LoginFailHandler failHandler;
    @Autowired
    private MyUserDetailsService myUserDetailsService;


    //将用户信息加载到security
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity
                .authorizeRequests();
        registry.and()
                // 表单登录方式
                .formLogin()
                // 登录请求url
                .loginProcessingUrl("/user/login")
//                .loginPage("https://www.baidu.com")
                .permitAll()
                .successHandler(successHandler)
                .failureHandler(failHandler)
                .and()
                .authorizeRequests()
                // 任何请求
                .anyRequest()
                // 需要身份认证
                .authenticated()
                .and()
                // 注意这个要关闭,否则可能因为这里验证导致无法使用自定义token访问数据,关闭跨站请求防护
                .csrf().disable()
                .addFilter(new MyAuthenticationFilter(authenticationManager()))
                // 前后端分离 不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        ;
    }
}

2、SecurityUser,可以继承用户自定义user,相当于给自定义user进行了封装,供框架使用

@Data
public class SecurityUser extends User implements UserDetails {

    //此用户是否禁用,禁用0,可用1
    private String status;
    private Boolean enabled;
    private Boolean credentialsNonExpired;
    private Boolean accountNonExpired;
    private Boolean accountNonLocked;
    private Collection<? extends GrantedAuthority> authorities;

    public SecurityUser(){};

    public SecurityUser(User user){
        this.setId(user.getId());
        this.setNickname(user.getNickname());
        this.setUsername(user.getUsername());
        this.setPassword(user.getPassword());
        this.setUsertype(user.getUsertype());
        this.setStatus(user.getStatus());
        this.setValidtime(user.getValidtime());
        this.setTelephone(user.getTelephone());
        this.setEmail(user.getEmail());
        this.setUpdateby(user.getUpdateby());
        this.setUpdatetime(user.getUpdatetime());
        this.setRoles(user.getRoles());
        status = user.getStatus();
    }

    //将role加载到Collection中,后续在加载到springsecurity
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {

        return null;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    //此用户是否可用,可用于禁用或启用用户,框架帮我们对禁用用户进行拦截
    @Override
    public boolean isEnabled() {
        return status.equals("1");
    }
}

3、MyUserDetailsService

@Component
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    IUserService iUserService;

    //用户前台表单输入的用户名会传到这里,然后用这个名去数据库查询是否有这个用户,有的话加载到security内存中,然后再验证前台传来的密码是不是正确的
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = null;
        if(StringUtils.isNotBlank(username)){
            user = iUserService.findByName(username);
        }else {
            throw new SystemException("请填写用户名");
        }
        if(null!=user){
            return new SecurityUser(user);
        }else {
            throw new SystemException("该用户不存在");
        }

    }
}

4、LoginSuccessHandler  (里面是登录成功进行的处理,可以存储自定义token,进行进一步用户验证等)

@Component
public class LoginSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

    @Value("${token.tokenExpireTime}")
    private Integer tokenExpireTime;
    @Autowired
    private RedisUtil redisUtil;
    @Autowired
    private GlobalValueConfig VALUECONFIG;
    @Autowired
    private IUserService iUserService;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication auth) throws ServletException, IOException {
        SecurityUser user = (SecurityUser) auth.getPrincipal();
        String username = user.getUsername();
     

        //登录成功,先检查之前是否已经有该用户的登录信息,有的话清掉
        String oldToken = (String)redisUtil.hget(VALUECONFIG.UserToken, username);
        if(null!=oldToken){
            redisUtil.hdel(VALUECONFIG.UserToken,username);
            redisUtil.hdel(VALUECONFIG.TokenInfo,oldToken);
        }

        // 将token存储到redis
        String token = null;
        token = UUID.randomUUID().toString().replace("-","");
        boolean set1 = redisUtil.hset(VALUECONFIG.TokenInfo,token, user, tokenExpireTime);
        boolean set2 = redisUtil.hset(VALUECONFIG.UserToken,username, token, tokenExpireTime);

        //将token返回给前端
        ResponseUtil.out(response,ResponseUtil.resultMap(true,200,token));
    }
}

5、LoginFailHandler(exception有很多种类型,可以判断出用户是因为什么登录失败的,我这里没有写那么详细,如果有需要可以细分)

@Component
public class LoginFailHandler extends SimpleUrlAuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        System.out.println(exception);
        ResponseUtil.out(response,ResponseUtil.resultMap(false,500,"登录失败"));
    }
}

6、MyAuthenticationFilter (其他请求的合法校验)

/**
 * @Author: WXM
 * @Description:
 * @Date: create in 2021/3/10 10:34
 */

public class MyAuthenticationFilter extends BasicAuthenticationFilter {

    private RedisUtil redisUtil = GetBeanUtil.getBean(RedisUtil.class);
    private GlobalValueConfig VALUECONFIG = GetBeanUtil.getBean(GlobalValueConfig.class);

    public MyAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    public MyAuthenticationFilter(AuthenticationManager authenticationManager, AuthenticationEntryPoint authenticationEntryPoint) {
        super(authenticationManager, authenticationEntryPoint);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String wxmToken = request.getHeader(VALUECONFIG.TokenName);
        //如果token为空,则需要让用户登录
        if(StringUtils.isBlank(wxmToken)){
            chain.doFilter(request,response);
            return;
        }

        User user = (User)redisUtil.hget(VALUECONFIG.TokenInfo,wxmToken);
        if(null!=user){
            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(user,null,new ArrayList<>());
            SecurityContextHolder.getContext().setAuthentication(authentication);
            chain.doFilter(request,response);
        }else {
            ResponseUtil.out(response,ResponseUtil.resultMap(false,401,"登录信息过期,请重新登录"));
        }


    }


}

 

goxingman
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security——关闭未认证时重定向(302)到登录页面(loginPage)
无限迭代中......
07-28 7391
问题描述 当访问该web服务的一个请求/test且该请求需要用户认证,那么Spring Security会将请求302到通过httpSecurity.formLogin().loginPage("/login")设定的页面里。 问题分析 暂无。 解决方案 httpSecurity.exceptionHandling() //没有认证时,在这里处理结果,不要重定向 .authenticationEnt...
Spring Security判断用户是否已经登录
孙亖的专栏
02-14 5894
方法一、JSP中检查user principal <c:if test="${pageContext.request.userPrincipal.name != null}"> <label> Hi ${pageContext.request.userPrincipal.name} ! Welcome to our...
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 1458
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
spring security验证流程
qiuqiuit的专栏
02-13 495
工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring securit...
spring security 验证用户登录以及获取当前登录的用户信息
u013911102的博客
09-10 4651
项目场景: 原本打算只写APP搭建,从零到有的spring security oauth2.0的相关内容,突然心血来潮想分享一下一波源码,既然上一篇分享了spring security的校验逻辑,哪么干脆再分享一下spring secruity是如何获取当前用户是否登录以及获取当前用户的用户信息. 技术详解: 首先在UsernamePasswordAuthenticationFilter认证成功之后,有如下这一段代码 protected void successfulAuthentication(
SpringSecurity登录认证流程
爱敲键盘的程序源的博客
11-19 964
SpringSecurity登录认证流程
浅析Spring Security登录验证流程
08-25
SpringSecurity提供了多种登录认证的方式,由多种Filter过滤器来实现,比如:BasicAuthenticationFilter实现的是HttpBasic模式的登录认证,UsernamePasswordAuthenticationFilter实现用户名密码的登录认证,...
Spring Security实现验证登录功能
08-25
验证码的输入验证是通过 Spring Security的AuthenticationProvider来实现的,该provider将用户输入的验证码与生成的验证码进行比较,如果正确则允许用户登录。 知识点七:Spring Security验证登录功能的优点 ...
Spring Security 实现短信验证登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证登录功能。Spring Security是一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证登录提供...
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security的自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2822
SpringSecurity实现登录登出
Spring Security + JWT 实现认证和授权
修理男爵的博客
11-10 1904
数据库表 Spring Security JWT JwtToken @Data public class JwtToken { private String token; private String username; private Long expireTime; } JwtTokenProvider @Slf4j @Component public class JwtTokenProvider { public JwtToken cre..
springboot+spring security+redis实现登录权限管理
午后苦咖啡
11-11 2935
笔者负责的电商项目的技术体系是基于SpringBoot,为了实现一套后端能够承载ToB和ToC的业务,需要完善现有的权限管理体系。 在查看Shiro和Spring Security对比后,笔者认为Spring Security更加适合本项目使用,可以总结为以下2点: 1、基于拦截器的权限校验逻辑,可以针对ToB的业务接口来做相关的权限校验,以笔者的项目为例,ToB的接口请求路径以/openshop...
一文梳理SpringSecurity中的登录认证流程
heshengfu1211的博客
03-20 5087
想要在基于SpringSecurity的SpringBoot项目中实现多种自定义的登录认证方式,先把一文梳理SpringSecurity中的登录认证流程中基于用户名密码模式的登录认证搞懂了再说!
史上最简单的Spring Security教程(五):成功登录SuccessHandler高级用法
银河架构师的博客
06-25 7948
在了解了如何简单的配置成功登录后调转的页面、如何始终指定系统跳转到某一地址后,我们可能会庆幸,原来如此简单。是的,确实如此简单,Spring Security框架协助我们完成了大部分的工作,而我们只需稍微配置,即可使用。 但是,业务场景,又何尝会如此简单。举个例子,我们在登录某个网站之后,微信、短信、邮箱可能会接受到一条这样的信息/邮件。 还有,比如这样的。 甚至于,我要记录每一次的登录信息到数据库、到日志文件等等,方便后续做审计、分析。 其实,Spring Security框架也...
Spring Security登录的认证和授权
S mile0804的博客
02-21 4214
一、Spring Security简介 Spring Security是一个专注于为Java应用程序提供身份认证和授权的框架,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了......
配置spring-security对redis中session的同步处理,通过sessionRegistry统计在线用户
Janche的博客
04-15 8448
问题描述: 登录用户的session在redis失效、清除或者用户退出系统后,系统中的sessionRegistry中session依然存在,并未同步失效 系统架构: Springboot2 + SpringSecurity + spring-session-data-redis + Redis 1. Redis配置(当然可以只加注解,使用默认配置) /** redis配置 */ @Confi...
cookie+session+redis+springAop判断用户是否登录
Selenium
09-07 699
采用前后端分离,后端只提供接口,前端对接口进行调用 1.前端用户发送登录请求 login.html <div class="form-container sign-in-container"> <form action="#" id="l-form"> <h1>登录</h1> <span>或使用您的帐号</span>...
springsecurity验证登录怎么实现
03-28
Spring Security 提供了多种方式来验证登录,下面介绍其中的一种常用方式。 1. 配置 Spring Security 在 Spring Security 的配置文件中,需要配置登录页面、登录请求处理的 URL、登录成功和失败的处理器等。 ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值