springboot整合springsecurity进行token登录认证

最新推荐文章于 2024-08-30 17:23:46 发布
最新推荐文章于 2024-08-30 17:23:46 发布
阅读量3.2k 收藏 18
点赞数 2
文章标签: redis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovely960823/article/details/117351830
版权

之前写过一篇的,但是感觉有点垃圾,这次重新重写了一遍。细节不说了.
首先看一下请求方法

@Autowired
LoginService loginService;

@PostMapping("/login")
public Result login(@RequestBody LoginUser loginUser){
	String token = loginService.login(loginUser);
	return Result.ok(token,"登录成功");
}

@GetMapping("/t1")
@PreAuthorize("hasAuthority('sys:user:edit1')")
public Result t1(){
	return Result.ok("没有权限的");
}

@GetMapping("/t2")
@PreAuthorize("hasAuthority('sys:user:del')")
public Result t2(){
	Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
	Object principal = authentication.getPrincipal();
	return Result.ok(principal,"有权限的2");
}

@GetMapping("/noPer")
public String noPer(){
	Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
	System.err.println(authentication);
	return "不需要权限的";
}

效果图
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

下面直接上代码
登录实体类

@Data
public class LoginUser implements Serializable{

	private static final long serialVersionUID = 1L;

	private String username;//用户名
	
	private String password;//密码
	
    private String token;//登录认证

    private Long loginTime;//登录时间

    private Long expireTime;//过期时间
    
    //private SysUserEntity sysUserEntity;
    private List<String> permsList;//权限集合
}

登录方法

import java.util.ArrayList;
import java.util.List;
import java.util.UUID;

import javax.annotation.Resource;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.stereotype.Component;

import nyist.com.project.entity.LoginUser;
import nyist.com.project.utils.RedisUtil;

@Component
public class LoginService {

	@Autowired
	RedisUtil redisUtil;
	
	@Resource
    private AuthenticationManager authenticationManager;
	
	public String login(LoginUser loginUser) {
		String username = loginUser.getUsername();
		try {
			Authentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, loginUser.getPassword()));//执行认证方法
		} catch (Exception e) {
			throw new BadCredentialsException("用户认证错误");
		}
		//这里模拟查询出权限,放在这里主要是为了避免在userdetailService登录认证错误的时候就把数据权限查出来了,所以放在这里
		String[] perms = {"sys:user:del","sys:user:add","sys:user:update"};
		List<String> permsList= new ArrayList<>();
		for(String perm: perms) {
			permsList.add(perm);
		}
        loginUser.setPermsList(permsList);
        String uuid = UUID.randomUUID().toString().replace("-", "");
		loginUser.setToken(uuid);
		long currentTimeMillis = System.currentTimeMillis();
		long e= 30 * 60 * 1000L;//三十分钟
		long expireTime = currentTimeMillis+e;
		loginUser.setExpireTime(expireTime);
		redisUtil.set(uuid, loginUser, 60*30);//redis三十分钟有效期
		return uuid;
	}
}

自定义的UserDetailsService

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import org.springframework.util.StringUtils;

import nyist.com.project.entity.LoginUser;
import nyist.com.project.utils.MD5Util;

/**
 * 用户验证
 * @author ljw
 *
 */
@Service
public class UserDetailsServiceImpl implements UserDetailsService{

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException{
    	if(StringUtils.isEmpty(username)||!username.equals("ljw")) {
    		throw new UsernameNotFoundException("用户:" + username + " 不存在");
    	}
    	//模拟从数据库查出来用户
    	LoginUser loginUser = new LoginUser();
    	loginUser.setUsername(username);
    	String pwd = "ljw";
		String lower = MD5Util.md5Encrypt32Lower(pwd);
		//由于设置了密码加密方式,这里查出来的用户密码肯定是加密过的,所以在这里手动处理一下,不然一会认证会失败
        return new User(username, lower, new ArrayList<GrantedAuthority>());
    }
}

核心配置类

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.stereotype.Component;
import org.springframework.util.DigestUtils;

import nyist.com.project.utils.MD5Util;

/**
 *	核心配置类 
 * @author ljw
 *
 */
@Component
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter{

	@Autowired
	UserDetailsService userDetailsService;
	
	@Autowired
	TokenFilter tokenFilter;
	
	/**
	 * 指定资源放行
	 */
	@Override
	public void configure(WebSecurity web) throws Exception {
		web.ignoring().antMatchers(
				"/static/**",
				"/test/**",
				"/login",
				"/noPer",
				"/logout",
				"/doc.html",
				"/webjars/**",
				"/swagger-resources/**",
				"/v2/api-docs/**");
	}
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailsService).passwordEncoder(new PasswordEncoder() {
			@Override
			public String encode(CharSequence rawPassword) {
				String password = rawPassword+"";
				return DigestUtils.md5DigestAsHex(password.getBytes());
			}
			@Override
			public boolean matches(CharSequence rawPassword, String encodedPassword) {
				String password = rawPassword+"";
				return MD5Util.md5Encrypt32Lower(password).equals(encodedPassword);
			}
		});
	}
	
	@Override
    protected void configure(HttpSecurity httpSecurity) throws Exception{
        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/captchaImage").anonymous()
                .antMatchers(
                        HttpMethod.GET,
                        "/",
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/profile/**"
                ).permitAll()
                .antMatchers("/common/download**").anonymous()
                .antMatchers("/common/download/resource**").anonymous()
                .antMatchers("/swagger-ui.html").anonymous()
                .antMatchers("/swagger-resources/**").anonymous()
                .antMatchers("/webjars/**").anonymous()
                .antMatchers("/*/api-docs").anonymous()
                .antMatchers("/druid/**").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                //处理跨域
                .and()
                .cors()
                .and()
                .csrf().disable();
        //httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(tokenFilter, UsernamePasswordAuthenticationFilter.class);
        httpSecurity.exceptionHandling().authenticationEntryPoint(new UnauthorizedHandler());//匿名用户访问无权限资源时的异常
    }

	 	@Bean
	    @Override
	    public AuthenticationManager authenticationManagerBean() throws Exception{
	        return super.authenticationManagerBean();
	    }
}

操作拦截过滤器

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.BeanUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import nyist.com.project.entity.LoginUser;
import nyist.com.project.utils.RedisUtil;

/**
 * token过滤验证器
 * @author ljw
 *
 */
@Component
public class TokenFilter extends OncePerRequestFilter{


	@Autowired
	RedisUtil redisUtil;
	
	@Autowired
	HttpServletResponse response;
	
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException{
    	LoginUser loginUser = getLoginUser(request);
        if (loginUser!=null ){
       	    //这一块解决 GrantedAuthority 等参数无法序列化,懒得去找解决方案,所以也就没去自定义实现UserDetails
        	List<String> permsList = loginUser.getPermsList();
        	List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();  
        	permsList.forEach(each->{
        		authorities.add(new SimpleGrantedAuthority(each));
        	});
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthList());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        chain.doFilter(request, response);
    }

	private LoginUser getLoginUser(HttpServletRequest request) throws IOException {
		String token = request.getHeader("Authorization");
		if(token==null) {
			return null;
		}
		Object object = redisUtil.get(token);
		if(object==null) {
			return null;
		}
		LoginUser loginUser = (LoginUser)redisUtil.get(token);
		long currentTimeMillis = System.currentTimeMillis();
		long e= 30 * 60 * 1000L;//三十分钟
		if(currentTimeMillis>=loginUser.getExpireTime()) {
			return null;
		}
		long refresTime=  loginUser.getExpireTime()-System.currentTimeMillis();
		if(refresTime<=5 * 60 * 1000L) {//有效期小于等于五分钟,刷新token
			long expireTime = currentTimeMillis+e;
			loginUser.setExpireTime(expireTime);
		}
		redisUtil.set(token, loginUser, 60*30);//redis token再次刷新值
		return loginUser;
	}
}

认证失败提示处理

/**
 * 未登录认证处理
 * @author ljw
 *
 */
public class UnauthorizedHandler implements AuthenticationEntryPoint{

	@Override
	  public void commence(HttpServletRequest request, HttpServletResponse response,
	             AuthenticationException authException) throws IOException, ServletException {
	    response.setCharacterEncoding("utf-8");
	    response.setContentType("text/javascript;charset=utf-8");
	    response.getWriter().print(JSONObject.toJSONString(Result.fail("您未登录,请先登录~")));
	  }
}

全局异常处理

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.access.AccessDeniedException;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;
import org.springframework.web.client.HttpClientErrorException.Unauthorized;

import nyist.com.project.result.Result;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


/**
 * 定义全局运行异常
 * @author ljw 2020年11月2日14:36:07
 *
 */
@RestControllerAdvice
public class GlobalExceptionHandler {
	
	private  final  static Logger logger = LoggerFactory.getLogger(GlobalExceptionHandler. class);
	/**
	 * 未登录
	 * @param req
	 * @return
	 */
	@ExceptionHandler(Unauthorized.class)
	public Result NoPerm(Exception e){
		return Result.fail("请您先登录"+e.getMessage());
	}
	
	/**
	 * 无权限
	 * @param e
	 * @return
	 */
	@ExceptionHandler(AccessDeniedException.class)
	public Result accessDeniedException(Exception e){
		return Result.fail("暂无权限:"+e.getMessage());
	}
	
	
	/**
	 * 全局异常处理
	 * @param e
	 * @param req
	 * @return
	 */
	@ExceptionHandler(value= RuntimeException.class)
	public Result runTimeException(RuntimeException e,HttpServletRequest req){
		logger.error("错误请求地址URI [{}]", req.getRequestURI());
		return Result.fail(e.getMessage());
	}
}

RedisUtil工具类网上一大堆,最后配置一下序列化方式,方便自己查看
至于jwt什么的,可在此基础上扩展,用法差不多

好诡异
关注
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
SpringBoot整合SpringSecurity认证与授权
admin_2022的博客
07-10 1882
SpringBoot整合SpringSecurity认证与授权
Spring Security基于token的极简示例
最新发布
D_J_Dragon的博客
08-30 1034
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,但是用起来有点复杂,为了便于学习理解,下面将用最简洁的配置和示例,展示整个流程。
SpringBoot 整合Spring Security(二)JWT Token认证认证思路分析
Lyndon的专栏
08-04 1453
单点登录相关
springBoot集成spring-security 自定义token实现
lzq199528的博客
08-06 2681
spring-security 基于session实现 当用户登录后会在session中存储认证信息 当用户访问接口时会从session中取出认证信息,放入SecurityContext中。 放入SecurityContext 由 ThreadLocal 持有 然后进行认证处理程序 而我们要基于token实现就要抛弃session的实现 登录成功后将 token认证信息另找地方存储 当访问需要认证访问的接口时,根据token找到认证信息,将认证信息塞到SecurityContext中,Securi
spring security token认证_认证与授权,SpringSecurityToken实现登录认证
weixin_39876592的博客
12-02 2151
简介Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。认证用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。认证成功后将生成一个Token返回前端,供后续操作的验证。授权用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统...
springboot + spring security验证token进行用户认证
m0_67402125的博客
08-24 490
参考文章:springboot + spring security验证token进行用户认证
springboot整合securitytoken验证
缔曦的博客
09-01 7033
缘由 添加security安全框架,去除session,使用token票据验证 ps:token是指登录后向客户端发送一个票据,下次发起请求时,验证票据即可,票据中包含用户登录等信息,不需要session。 步骤 1.实现UserDetailsService接口,security认证中会执行这个接口中的loadUserByUsername方法。 2.自定义登录逻辑,调用security的authenticationManager对象执行登入验证,security的配置就完成了。 3.在security中配
springboot整合springsecurity框架,代码生成token返回给用户(提供源码)(分布式项目)(五)
一天不写代码难受的博客
10-15 1494
在这个分布式的项目里面,已经集成了生成公钥和私钥的代码。之前我们利用springsecurity框架进行验证,认证和检验都是springsecurity框架自己做的,我们只需要简单的配置就可以实现功能。但是之前的项目是集成项目,只是在一个服务器上面,现在是分布式的项目,需要很多的服务器,项目分为很多的模块,不同的模块是在不同 的服务器上面。 所以我们不能使用springsecurity框架自己的认证规则了,我们需要修改,springsecurity框架底层是过滤器,所以我们要重写人间的过滤器,写自己的认证
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)
Json的知识梦工厂
07-23 5293
org.springframework.security.crypto.password.PasswordEncoder 接口。
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringSecurity 认证流程详解有一定了解的都知道,在帐号密码认证的过程中,涉及到了以下几个类:UsernamePasswordAuthenticationFilter(用于请求参数获取),UsernamePasswordAuthenticationToken(表示用户登录...
SpringBoot整合SpringSecurity实现JWT认证
我的博客
03-30 3万+
前言 微服务架构,前后端分离目前已成为互联网项目开发的业界标准,其核心思想就是前端(APP、小程序、H5页面等)通过调用后端的API接口,提交及返回JSON数据进行交互。 在前后端分离项目中,首先要解决的就是登录及授权的问题。微服务架构下,传统的session认证限制了应用的扩展能力,无状态的JWT认证方法应运而生,该认证机制特别适用于分布式站点的单点登录(SSO)场景 目录 该文会通过创建...
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
热门推荐
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
springboot在前后端分离项目中,集成springsecurity,集成jwt生成token,实现单点登录
皓君的博客
04-27 815
springboot在前后端分离项目中,集成springsecurity,集成jwt生成token,实现单点登录
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证
一篇文章带你搞定 SpringBoot 配合 SpringSecurity 实现自动登录功能
南淮北安的博客
09-16 2081
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 中如何实现这个功能。 文章目录一、加入 remember
spring security token认证_SpringBoot集成Spring Security安全认证框架
weixin_39548968的博客
11-26 192
从事WEB开发依赖,一半用的安全认证框架,最多就是有两种:Apache Shrio和Spring Security,而Spring Security作为Spring全家桶中的一员,相对于Spring集成起来更具有优势和更好的支持! Spring Security是一个强大且可定制的身份验证和访问控制框架,完全基于Spring的应用程序标准,它能够为基于Spring的企业应用系统提供安全访问控制解...
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)_springboot的安全框架
04-18 511
EnableWebSecurity //@EnableWebSecurity是开启SpringSecurity的默认行为。// 它将认证信息完全交给客户端处理,服务器不再存储用户的认证状态,从而减轻了服务器的负担,并提高了系统的可伸缩性和性能。// 禁用 Session 主要是为了实现基于 Token认证机制,提高应用程序的安全性和性能。// 当禁用 Session 后,意味着每个请求都将被视为无状态的,即不再依赖于服务器端的会话状态。* 用于处理基于令牌的身份验证请求。* 配置哪些请求不拦截。
springboot整合springsecurity+oauth2.0实现token认证
07-08
好的,你想了解如何在Spring Boot中整合Spring Security和OAuth 2.0来实现token认证。下面是一个基本的步骤: 1. 添加依赖:在你的`pom.xml`文件中添加Spring Security和OAuth 2.0的依赖。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并覆盖`configure`方法,配置Spring Security。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/oauth2/**", "/login/**", "/logout/**") .permitAll() .anyRequest() .authenticated() .and() .oauth2Login() .loginPage("/login") .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/") .deleteCookies("JSESSIONID"); } } ``` 这个配置类指定了哪些URL需要进行认证,`antMatchers`方法指定了不需要认证的URL。 3. 配置OAuth 2.0客户端:创建一个继承自`WebSecurityConfigurerAdapter`的配置类,并使用`@EnableOAuth2Client`注解开启OAuth 2.0客户端。 ```java @Configuration @EnableOAuth2Client public class OAuth2ClientConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 配置HTTP Security } @Bean public OAuth2AuthorizedClientService authorizedClientService( OAuth2ClientRegistrationRepository clientRegistrationRepository) { return new InMemoryOAuth2AuthorizedClientService(clientRegistrationRepository); } } ``` 这个配置类可以用来配置OAuth 2.0的客户端,你可以在`configure`方法中添加一些额外的配置。 4. 配置OAuth 2.0客户端注册:在`application.properties`文件中配置OAuth 2.0的客户端注册信息。 ```properties spring.security.oauth2.client.registration.my-client-id.client-id=your-client-id spring.security.oauth2.client.registration.my-client-id.client-secret=your-client-secret spring.security.oauth2.client.registration.my-client-id.scope=your-scopes spring.security.oauth2.client.registration.my-client-id.authorization-grant-type=authorization_code spring.security.oauth2.client.registration.my-client-id.redirect-uri=your-redirect-uri ``` 这个配置文件中的`my-client-id`是你自己指定的客户端ID,你需要将其替换为你自己的信息。 这些步骤是实现Spring Boot中整合Spring Security和OAuth 2.0实现token认证的基本步骤。你可以根据自己的需求进行进一步的配置和扩展。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值