SpringSecurity前后端分离(Seesion版本)

最新推荐文章于 2023-07-14 09:45:00 发布
最新推荐文章于 2023-07-14 09:45:00 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: 框架 笔记 文章标签: 数据库 mysql dba
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/led1114/article/details/122769065
版权

1 - SpringSecurity 数据库设计

由于我没有学到密文处理,所以先使用可见密码

CREATE TABLE t_user(
	id INT(11) NOT NULL AUTO_INCREMENT,
	username VARCHAR(32) DEFAULT NULL,
	`password` VARCHAR(255) DEFAULT NULL,
	enabled TINYINT(1) DEFAULT NULL,
	accountNotExpired TINYINT(1) DEFAULT NULL,
	accountNonLocked TINYINT(1) DEFAULT NULL,
	credentialsNonExpired TINYINT(1) DEFAULT NULL,
	PRIMARY KEY (id)
)ENGINE=INNODB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;
 
INSERT INTO t_user(id,username,`password`,enabled,accountNotExpired,accountNonLocked,credentialsNonExpired)
VALUES(1,"root","{noop}123",1,1,1,1),(2,"admin","{noop}123",1,1,1,1),(3,"bir","{noop}123",1,1,1,1);


CREATE TABLE t_role (
	id INT(11) NOT NULL AUTO_INCREMENT,
	`name` VARCHAR(32) DEFAULT NULL,
	name_zh VARCHAR(32) DEFAULT NULL,
	PRIMARY KEY(id)
)ENGINE=INNODB AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;

INSERT INTO t_role (id ,`name` , name_zh) 
VALUES(1,"ROLE_product","商品管理员"),(2,"ROLE_admin","系统管理员"),(3,"ROLE_user","用户管理员")


CREATE TABLE t_user_role (
	id INT(11) NOT NULL AUTO_INCREMENT,
	uid INT(11) DEFAULT NULL,
	rid INT(11) DEFAULT NULL,
	PRIMARY KEY(id),
	KEY uid(uid),
	KEY rid(rid)
)ENGINE=INNODB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8

2 - pom文件

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.6.3</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.16</version>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.4</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.23</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.17</version>
        </dependency>
    </dependencies>

3 - 实体类映射 用户 和 角色信息

用户信息

public class User implements UserDetails {
    private Integer id;
    private String username;
    private String password;
    private Boolean enabled;
    private Boolean accountNotExpired;
    private Boolean accountNonLocked;
    private Boolean credentialsNonExpired;
    private List<Role> roles;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Set<SimpleGrantedAuthority> authorities = new HashSet<>();
        roles.forEach((role) -> {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        });
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return accountNotExpired;
    }

    @Override
    public boolean isAccountNonLocked() {
        return accountNonLocked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return credentialsNonExpired;
    }

    @Override
    public boolean isEnabled() {
        return enabled;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }

    public void setAccountNotExpired(Boolean accountNotExpired) {
        this.accountNotExpired = accountNotExpired;
    }

    public void setAccountNonLocked(Boolean accountNonLocked) {
        this.accountNonLocked = accountNonLocked;
    }

    public void setCredentialsNonExpired(Boolean credentialsNonExpired) {
        this.credentialsNonExpired = credentialsNonExpired;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

    public Integer getId() {
        return id;
    }

    public List<Role> getRoles() {
        return roles;
    }

    @Override
    public String toString() {
        return "User{" +
                "id=" + id +
                ", username='" + username + '\'' +
                ", password='" + password + '\'' +
                ", enabled=" + enabled +
                ", accountNotExpired=" + accountNotExpired +
                ", accountNonLocked=" + accountNonLocked +
                ", credentialsNonExpired=" + credentialsNonExpired +
                ", roles=" + roles +
                '}';
    }
}

角色信息

@Data
@AllArgsConstructor
@ToString
@NoArgsConstructor
@Accessors(chain = true)
public class Role {
    private Integer id;
    private String name;
    private String nameZh;
}

4 - 获取数据库信息

sql映射文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.kaiguo.dao.UserDao">
    <resultMap id="query" type="com.kaiguo.bean.User">
        <id property="id" column="id" />
        <result property="username" column="username"/>
        <result property="password" column="password"/>
        <result property="enabled" column="enabled" />
        <result property="accountNotExpired" column="accountNotExpired" />
        <result property="accountNonLocked" column="accountNonLocked" />
        <result property="credentialsNonExpired" column="credentialsNonExpired" />
        <collection property="roles" ofType="com.kaiguo.bean.Role">
            <id  property="id" column="rid"/>
            <result property="name" column="name"/>
            <result property="nameZh" column="name_zh"/>
        </collection>
    </resultMap>
    <sql id="sqlChange" >
        u.id id, u.username username, u.password, u.enabled enabled,u.accountNotExpired accountNotExpired,
        u.accountNonLocked accountNonLocked ,u.credentialsNonExpired credentialsNonExpired,
        r.id rid, r.name `name`, r.name_zh name_zh
    </sql>
    <select id="getUserAndRolesById" resultMap="query" parameterType="int" >
        SELECT 			<include refid="sqlChange"/>

        FROM t_user u
                 LEFT  JOIN t_user_role ur
                            ON u.id = ur.uid

                 LEFT JOIN t_role r
                           ON ur.rid = r.id
        where u.id = #{id}
    </select>
    <select id="getUserAndRolesByUsername" resultMap="query" parameterType="string" >
        SELECT
            <include refid="sqlChange"/>
        FROM t_user u
        LEFT  JOIN t_user_role ur
        ON u.id = ur.uid

        LEFT JOIN t_role r
        ON ur.rid = r.id
        where u.username = #{username}
    </select>

</mapper>

application.yml

server:
  port: 8081
spring:
  thymeleaf:
    cache: false
  datasource:
    url: jdbc:mysql://localhost:3306/housedb
    username: root
    password: root
    type: com.alibaba.druid.pool.DruidDataSource
mybatis:
  mapper-locations: mapper/*.xml

dao接口

public interface UserDao {
    public User getUserAndRolesById(Integer id);

    public User getUserAndRolesByUsername(String username);
}

service层

public interface UserService {
    public User getUserAndRolesById(Integer id);

    public User getUserAndRolesByUsername(String  username);
}

service 实现层

@Service
public class UserServiceImpl implements UserService {
    private UserDao userDao;

    @Autowired
    public UserServiceImpl(UserDao userDao) {
        this.userDao = userDao;
    }



    @Override
    public User getUserAndRolesById(Integer id) {
        return userDao.getUserAndRolesById(id);
    }

    @Override
    public User getUserAndRolesByUsername(String username) {
        return userDao.getUserAndRolesByUsername(username);
    }
}

5 - 改变SpringSecurity的验证策略

修改SpringSecurity验证策略:

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    private MyUserDetailService myUserDetailService;

    @Autowired
    public SecurityConfiguration(MyUserDetailService myUserDetailService) {
        this.myUserDetailService = myUserDetailService;
    }


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailService);
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        loginFilter.setFilterProcessesUrl("/doLogin");
        loginFilter.setUsernameParameter("username");
        loginFilter.setPasswordParameter("password");
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        loginFilter.setAuthenticationSuccessHandler(((request, response, authentication) -> {
            Map<String, Object> result = new HashMap<>();
            result.put("message", "登录成功");
            result.put("user", authentication.getPrincipal());
            result.put("status", 201);
            response.setStatus(HttpStatus.OK.value());
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().print(new ObjectMapper().writeValueAsString(result));

        }));
        loginFilter.setAuthenticationFailureHandler((request, response, exception) -> {
            Map<String, Object> result = new HashMap<>();
            result.put("message", "登录失败," + exception.getMessage());
            result.put("status", 400);
            response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().print(new ObjectMapper().writeValueAsString(result));
        });

        return loginFilter;
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .csrf().disable();
        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }

}

自定义验证策略

public class LoginFilter extends UsernamePasswordAuthenticationFilter {

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws
            AuthenticationException {
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }

        if (request.getContentType().equalsIgnoreCase(MediaType.APPLICATION_JSON_VALUE)) {
            // 提取json
            try {
                Map<String, String> userInfo = new ObjectMapper().readValue(request.getInputStream(), Map.class);
                String username = userInfo.get(this.getUsernameParameter());
                String password = userInfo.get(this.getPasswordParameter());
                System.out.println(userInfo);
                UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password);
                setDetails(request, token);
                return this.getAuthenticationManager().authenticate(token);
            } catch (IOException e) {
                e.printStackTrace();
            }

        }

        return super.attemptAuthentication(request, response);
    }
}

验证数据库信息

@Component
public class MyUserDetailService implements UserDetailsService {

    private UserService userService;

    @Autowired
    public MyUserDetailService(UserService userService) {
        this.userService = userService;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User userdb = userService.getUserAndRolesByUsername(username);
        if (userdb == null)
            throw new UsernameNotFoundException("用户名不正确");
        System.out.println("可以");
        return userdb;
    }
}

6 - 测试

入口类

@SpringBootApplication
@MapperScan("com.kaiguo.dao")
public class SecurityApplication {
    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class,args);
    }
}

postman测试: 测试正确的用户名和密码
在这里插入图片描述
postman测试: 测试正确的用户和错误的密码
在这里插入图片描述

7 - 注意

由于没用使用到jwt的缘故,在ajax 请求一定要携带浏览器的jsessionId,用于验证当前浏览器是否成功登录过!,后期会使用jwt

聊Java
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springbootspringsecurity前后端分离(一个小demo)
08-21
一个小demo前后端分离的情况下给到前端是否跳转到登录页的标识符
SpringSecurity前后端分离
m0_67393039的博客
08-02 704
继承了抽象类,抽象类实现了接口认证流程1、前端通过把用户名和密码发送到后端的控制器,控制器调用业务层2、Service层创建对象,把用户名和密码封装成对象3、然后调用的方法进行认证,抽象类中重写了方法4、的方法中调用了抽象方法方法5、在重写方法里调用了方法,自定义类实现接口,重写方法6、在方法中,会查询用户和角色,然后返回对象实现CommonResp接口,方便自定义异常后续修改错误信息//直接接收RespBeanEnum的传参用于构造业务异常super();//调用父类的无参构造方法。...
登录功能注意的点
qq_45947664的博客
09-20 2094
网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。判断每次请求由哪一个用户发出的,不用session,1、因为每次请求都要查询数据库数据库压力太大,2、如果把session存到cookie中容易被伪造,CSRF攻击(cross-site request forgery)2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
springboot使用session登录与使用springsecurity实现登录(前后端分离,前端使用的是vue)
qq_850535670的博客
05-07 1744
登录
SpringSecurity前后端分离session问题
Mr_FenKuan的博客
07-14 2775
最近在写一个demo,是前后端分离的,前端通过使用axios来发送异步请求来获取后端的数据,后端使用了SpringSecurity来做系统的鉴权,但发现,SpringSecurity总是拿不到session的问题。 前言: 由于SpringSecurity中,很多东西都是基于session来做的,比如,当用户登录成功后,会创建一个SecurityContextHolder,里面存储了用户认证后的token数据,然后将其存储到session中。 当该用户的后续请求再过...
SpringBoot集成SpringSecurity(四)前后端分离Session会话控制
xinshengdelei的专栏
03-31 2404
前后端分离 主要实现避免后端控制页面跳转,后端通过返回json让前端控制页面跳转。 自定义登录成功Handler 之前代码中通过defaultSuccessUrl("/index")配置当登录成功后默认跳转到/index,不满足彻底的前后端分离。 我们可以用successHandler(myLoginSuccessHandler)添加登录成功处理器,当用户登录成功后处理并返回给前端json对象,因此无需配置defaultSuccessUrl("/index")。 @Configuration p
Spring Security 前后端分离
Markix的博客
11-14 3130
前后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
Spring Security前后端分离
MostSnails的博客
08-12 3602
Spring Security前后端分离
SpringBoot+SpringSecurity+SpringSession实现一个前后端分离的权限管理系统
热门推荐
Linch的博客
05-05 1万+
这里SpringBoot用2.0.5版本 一、准备工作 1、主要依赖如下: dependencies { compile('com.alibaba:druid:1.1.5') compile('com.baomidou:mybatis-plus-boot-starter:2.2.0') compile('org.springframework.boot:s...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
Spring Boot Vue前后端分离开发实战.pdf
04-21
Spring Boot Vue前后端分离开发实战.pdf 上手简单,文档讲述清晰,实在好用。
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringBoot_SpringSecurity
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
SpringSecurity前后端分离的使用
make_progress的博客
07-07 1931
使用SpringSecurity实现安全认证,使用模拟redis的缓存机制,实现不同权限的登录设置。注:application.yml文件没有添加内容。 3.2 config包 3.2.1 WebSecurityConfig 安全配置 3.2.2 UserDetailsServiceImp 用户登录认证 3.2.3 AuthenticationEntryPointImp 用户登录状态认证 3.2.4 AccessDeniedHandlerImp 用户鉴权 3.3 filter包下Authentication
SpringBoot+SpringSecurity前后端分离+Jwt的权限认证(改造记录)
z_ssyy的博客
05-31 1373
一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了。
SpringBoot整合Spring Security实现前后端分离登录权限处理
z132411的博客
04-29 3077
前言 首先要感谢这位博主得分享,根据他的博客,直接就可以依照参考将权限模块处理成功,这里我就不讲述spring Security的一些概念了,相信有的博主写的更好,或者直接去官网查看Spring Security,想看这位博主连接的直接跳转查看,原文连接: Springboot + Spring Security 实现前后端分离登录认证及权限控制_I_am_Rick_Hu的博客-CSDN博客_springsecurity前后端分离登录认证 目录结构: 首先这是我的目录结构: 前期工作: 1.
SpringSecurity分布式认证即SSO单点认证
dy051107的博客
06-03 1213
并发访问量不高的系统中,我们通常将应用部署到一台app服务器,为用户提供服务,当用户使用用户名和密码登录完成后,会把用户的信息会保存到session中,大家也都知道,session是保存在app服务器端的,这时,随着业务量的增长,一台服务器已经不能很好的为用户服务了,我们这时会横向扩展,比如增加服务器数量,使用负载均衡等,这时,将同一个应用部署到两台服务器时,A用户在A服务器中登陆了,session信息被保存在服务器A,当用户关闭页面,A用户再访问时,请求被负载均衡到B服务器时,由于用户A的登录状态...
Sping Security前后端分离两种方案
最新发布
qw_6918966011的博客
07-14 174
本篇文章是基于Spring Security实现前后端分离登录认证及权限控制的实战,主要包括以下四方面内容:Spring Seciruty简单介绍;通过Spring Seciruty实现的基于表单和Token认证的两种认证方式;自定义实现RBAC的权限控制;跨域问题处理;Spring Security是基于Spring框架,提供了一套Web应用安全性的完整解决方案。
spring security elementui前后端分离登陆
05-24
Spring Security和ElementUI可以很好地配合使用,实现前后端分离登录。 首先,你需要在Spring Boot中集成Spring Security。可以通过引入spring-boot-starter-security依赖来实现。在配置类中,你需要实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值