springboot+security相约去吃饭之前后端分离模式

最新推荐文章于 2024-06-03 10:33:57 发布
最新推荐文章于 2024-06-03 10:33:57 发布
阅读量492 收藏 1
点赞数
分类专栏: springboot security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leijie0322/article/details/122316351
版权

springboot集成security分为前后端分离模式和前后端不分离模式,下面对目前流行的前后端分离模式进行分析。
目前登录有两个方向,传统的通过session来记录用户认证信息的方式是一种有状态登录,而通过JWT的方式则代表了一种无状态登录。
有状态登录,是指服务端记录每次会话的客户端信息,从而识别客户端身份,根据客户端身份进行请求的处理。如tomcat中的session,用户登录后,用户信息保存在服务端的session中,并给用户一个cookie值,记录对应的session,然后下次请求,用户携带cookie值进行请求(浏览器自动完成),服务端识别对应session进行相应处理。
无状态登录,是指服务端对外提供restful风格的接口,返回访问令牌。如用户发送账号密码到服务端进行登录,认证通过后,服务端将用户信息加密且编码成一个token返回给用户,以后用户每次都携带token进行请求,服务端对token进行验证处理。
使用session的优势在于方便,“第一次约会”即是基于session的方式。但是无法应对前端的多元化趋势,包括Android、ios、公众号、小程序等,因为没有cookie。这个时候像JWT这样的无状态登录就大有用武之地了。
不过话说回来,若是前后端分离模式的场景只是网页+服务端,则没必要上无状态登录,基于session来做就可以,有很方便。
本文对基于session的有状态登录+前后端分离模式进行分析。我们知道spring security默认是表单登录,及传统的前后端不分离模式,所以需要对security进行前后端分离模式的配置。
SecurityConfig配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    @Bean
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("caocao").password(passwordEncoder().encode("123")).roles("admin").build());
        manager.createUser(User.withUsername("liubei").password(passwordEncoder().encode("123")).roles("user").build());
        manager.createUser(User.withUsername("sunquan").password(passwordEncoder().encode("123")).roles("user").build());
        return manager;
    }

    @Bean
    protected PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .successHandler(((request, response, authentication) -> {
                    Object principal = authentication.getPrincipal();
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter printWriter = response.getWriter();
                    printWriter.write(new ObjectMapper().writeValueAsString(principal));
                    printWriter.flush();
                    printWriter.close();
                }))
                .failureHandler(((request, response, exception) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter printWriter = response.getWriter();
                    String exceptionMessage = exception.getMessage();
                    if (exception instanceof LockedException) {
                        exceptionMessage = "账户被锁定,请联系管理员!";
                    } else if (exception instanceof CredentialsExpiredException) {
                        exceptionMessage = "密码过期,请联系管理员!";
                    } else if (exception instanceof AccountExpiredException) {
                        exceptionMessage = "账户过期,请联系管理员!";
                    } else if (exception instanceof DisabledException) {
                        exceptionMessage = "账户被禁用,请联系管理员!";
                    } else if (exception instanceof BadCredentialsException) {
                        exceptionMessage = "用户名或者密码输入错误,请重新输入!";
                    }
                    printWriter.write(exceptionMessage);
                    printWriter.flush();
                    printWriter.close();
                }))
                .and()
                .logout()
                .logoutSuccessHandler(((request, response, authentication) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter printWriter = response.getWriter();
                    printWriter.write("注销成功");
                    printWriter.flush();
                    printWriter.close();
                }))
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(((request, response, authException) -> {
                    response.setContentType("application/json;charset=utf-8");
                    PrintWriter printWriter = response.getWriter();
                    printWriter.write("尚未登录,请先登录");
                    printWriter.flush();
                    printWriter.close();
                }))
                .and()
                .csrf()
                .disable();
    }
}

在前后端分离模式下,所有的交互都是通过JSON进行通信,无论是登录成功还是失败,或者是未登录及异常。
successHandler,登录成功,服务端就返回一段登录成功的json给前端,前端收到json后,该跳转跳转,该展示展示,由前端自行决定。
failureHandler,登录失败,服务端就返回一段登录失败的json给前端,前端还是自行处理。
logoutSuccessHandler,注销成功场景的处理方式同上。
exceptionHandling,异常场景的处理方式同上。
重写启动项目,通过postman进行请求,相应的返回如下



在这里插入图片描述

ldcaws
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3292
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringBoot-06-Security(前后端分离)
最新发布
m0_74353020的博客
06-03 1556
当然我们每次都会先走一下我们的自己定义的过滤器,我们当时写的是如果都身份令牌没有问题,并且能在redis中查询到,就存放到Security上下文当中,但是我们只是存放了用户名密码,并没有存放身份,这里我们存放一下我们的身份信息//我们的token是存放在请求头中的if(!StringUtils.hasText(token)){//请求头没有就放行return;//解析tokentry{throw new RuntimeException("token非法");//从redis中获取。
Springboot +spring security前后端分离时的security处理方案(一)
weixin_40991408的博客
05-31 934
Springboot +spring security前后端分离时的security处理方案(一)
SpringBoot+Security+Cas
09-07
SpringBoot+Security+Cas 的一个Demo,想学习的可以参考下
SpringBoot新手篇】SpringBoot集成SpringSecurity前后端分离开发
输入技术、输出想法
04-16 894
SpringBoot整合SpringSecurity前后端分离开发1. 安全简介2. 认识SpringSecurity“认证”(Authentication)“授权” (Authorization)3.SpringBoot整合Security认证和授权权限控制和注销记住我定制登录页完整配置代码4. 前后端分离开发pomapplication.yml业务层实现UserDetailsServiceSecurityConfig 1. 安全简介 在Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
kuangjia:SpringBoot+JWT+Shiro+MybatisPlus后端脚手架
05-14
一、背景前后端分离已经成为互联网项目开发标准,它会为以后的大型分布式架构打下基础。SpringBoot使编码配置部署都变得简单,越来越多的互联网公司已经选择SpringBoot作为微服务的入门级微框架。Mybatis-Plus是一个...
springboot+security+cas集成demo
11-23
本文将详细解析"springboot+security+cas集成demo"的相关知识点。 首先,Spring Boot是由Pivotal团队提供的一个用于简化Spring应用初始搭建以及开发过程的框架。它集成了大量的常用组件,并提供了默认配置,使得...
Spring Security
m0_45209551的博客
05-19 1451
目录 04、Spring Security从数据库中读取信息 pom依赖 application.properties User 1.每个实体类的属性名都不一样,怎么知道你哪个字段表示用户名,那个字段表示密码,Spring Security提供了统一的方法实现UserDetails 接口 2.先重写方法,再实现get和set方法 3.重写了自动的,记得删掉get方法 UserService 当用户登录的时候,会自动调用到这个方法 UserMapper UserMapper.xml ..
springbootspringsecurity前后端分离(一个小demo)
08-21
一个小demo前后端分离的情况下给到前端是否跳转到登录页的标识符
Spring Boot 整合 CAS (前后端分离整合部署和分开部署均适用)
weixin_45025472的博客
07-15 6978
Spring Boot 整合 CAS (前后端分离整合部署和分开部署均适用)
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
weixin_42907150的博客
01-16 702
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
Spring Security前后端分离项目的权限方案,从0到0.8
qq_45043381的博客
09-01 2128
思路分析 ①通过前面的分析,我们发现Spring Boot集成了默认的Spring Security之后虽然已经具备了认证授权的功能,但存在两个在实际项目中不适用的问题: 默认的登录页面 默认的用户名密码 ②同时,前面我们也说一般web应用的安全管理都是通过两条线完成的,Spring Security也是: 认证 授权 ③此外,我们结合前后端分离项目中常用的认证授权流程......
Spring Security 安全框架 (一) 基础操作
yuanchun的知识整理
11-15 459
Spring Security 安全框架 (一) 基础操作
SpringCloud学习笔记018---SpringBoot前后端分离_集成_SpringSecurity_简单实现
添柴程序猿的专栏
07-24 1821
SpringBoot前后端分离_集成_SpringSecurity_简单实现 1.新建SpringBoot项目,可以使用idea,快速创建    file-create-project->选择web,sql:mysql mybatis这样就可以了 2.application.properties spring.profiles.active=dev # 所有环境通用的配置,放在这里 3.a...
vue+springboot+security+websocket+token
05-10
Vue是一种流行的JavaScript框架,用于构建单页面应用程序(SPA)。Spring Boot是一种Java框架,用于构建Web应用程序。 Spring Security是Spring框架的安全性模块,用于提供身份验证和授权功能。WebSocket是一种协议,用于在Web应用程序中实现双向通信。Token则是在用户验证过程中传输的一种凭证。 Vue和Spring Boot的流行度,使得它们是构建现代Web应用程序的理想选择。当应用程序需要安全性和实时性时,Spring Security和WebSocket技术是最佳的选择。在Spring Boot中,使用Spring Security模块可以轻松地添加身份验证,并对请求进行基于角色的访问控制。此外,Spring Security还提供了多种身份验证方案,如基础身份验证和JWT身份验证。 对于实时性,WebSocket提供了一种优雅的解决方案。在Web应用程序中,传统的HTTP请求是一种单向通信模式,即客户端发起请求,服务器响应请求。WebSocket协议通过建立持久连接,允许双向通信。这意味着服务器可以在没有客户端请求的情况下向客户端发送数据,从而实现实时更新。这尤其适用于聊天和数据可视化应用程序。 当使用Vue和Spring Boot构建实时应用时,可以使用WebSocket和Vue的vue-socket.io插件轻松地实现数据传输。Vue-socket.io插件允许将socket.io集成到Vue组件中,以便在应用程序中使用。 当应用程序需要安全性时,可以使用Spring Security的JWT身份验证方案。这需要在服务器端创建一个JWT令牌,并将其发送到客户端。客户端在发送后每次请求时都要将这个令牌包含在请求中。服务器将验证这个令牌,并使用已经验证的用户身份对请求进行授权。 总之,Vue,Spring Boot,Spring Security和WebSocket的结合可以为Web应用程序的安全性和实时性提供完美的解决方案。使用JWT身份验证和Vue-socket.io插件,可以轻松地实现这些功能。无论是聊天应用程序还是数据可视化应用程序,这些技术都可以提高应用程序的用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值