【超详细断点级别讲解 SpringSecurity】项目实战:用户认证、用户授权

置顶 已于 2022-11-13 11:04:59 修改
阅读量908 收藏 10
点赞数 4
分类专栏: Spring Boot 文章标签: java spring spring boot 极限编程 spring security
于 2022-11-13 11:04:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46360532/article/details/127798255
版权

一句简洁明了的权限开发的名句:要对Web资源进行保护,最好的办法莫过于Filter;要想对方法调用进行保护,最好的办法莫过于AOP

文章目录

1 Spring Security 介绍

Spring Security 简介

Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。

Spring Security 对比 Apache Shiro

SpringSecurity 特点:

  • 和 Spring 无缝整合

  • 全面的权限控制

  • 专门为 Web 开发而设计。旧版本不能脱离 Web 环境使用。新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境

  • 重量级

Apache Shiro 特点:

  • 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现

  • 通用性。好处:不局限于 Web 环境,可以脱离 Web 环境使用。缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制

SpringSecurity 架构

Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。如图所示,一个请求想要访问到API就会从左到右经过蓝线框里的过滤器,其中绿色部分是负责认证的过滤器,蓝色部分是负责异常处理,橙色部分则是负责授权。进过一系列拦截最终访问到我们的API。这里面我们只需要重点关注两个过滤器即可:UsernamePasswordAuthenticationFilter负责登录认证,FilterSecurityInterceptor负责权限授权。

在这里插入图片描述

2 项目实战

大致流程如下图

在这里插入图片描述

引入依赖

<!-- Spring Security依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-web</artifactId>
	<scope>provided </scope>
</dependency>

用户认证

流程分析

在这里插入图片描述

来到 UsernamePasswordAuthenticationFilter 的父类 AbstractAuthenticationProcessingFilter
在这里插入图片描述
父类中的 doFilter 就是做上述过程的核心方法

在这里插入图片描述
其中 attemptAuthentication 为主要认证过程,其细节依赖于 AbstractAuthenticationProcessingFilter 的最终子类是否重写这个方法

在这里插入图片描述
最终调用 Provider 的 authenticate 方法进行认证

在这里插入图片描述

最后将认证结果放入上下文

在这里插入图片描述

编码

在这里插入图片描述

1 自定义:加密处理组件

@Component
public class CustomMd5PasswordEncoder implements PasswordEncoder {

    public String encode(CharSequence rawPassword) {
        return MD5.encrypt(rawPassword.toString());
    }

    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return encodedPassword.equals(MD5.encrypt(rawPassword.toString()));
    }
}

2 自定义:用户实体类

public class CustomUser extends User {

    /**
     * 我们自己的用户实体对象,要调取用户信息时直接获取这个实体对象
     */
    private SysUser sysUser;

    public CustomUser(SysUser sysUser, Collection<? extends GrantedAuthority> authorities) {
        super(sysUser.getUsername(), sysUser.getPassword(), authorities);
        this.sysUser = sysUser;
    }

    public SysUser getSysUser() {
        return sysUser;
    }

    public void setSysUser(SysUser sysUser) {
        this.sysUser = sysUser;
    }

3 自定义:根据用户名查用户信息

@Component
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private SysUserService sysUserService;
 
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser sysUser = sysUserService.getByUsername(username);
        if(null == sysUser) {
            throw new UsernameNotFoundException("用户名不存在!");
        }

        if(sysUser.getStatus().intValue() == 0) {
            throw new RuntimeException("账号已停用");
        }
        return new CustomUser(sysUser, Collections.emptyList());
    }
}

4 自定义:登录过滤器

/**
 * <p>
 * 登录过滤器,继承UsernamePasswordAuthenticationFilter,对用户名密码进行登录校验
 * </p>
 *
 */
public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    public TokenLoginFilter(AuthenticationManager authenticationManager) {
        this.setAuthenticationManager(authenticationManager);
        this.setPostOnly(false);
        //指定登录接口及提交方式,可以指定任意路径
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/system/index/login","POST"));
    }

    /**
     * 登录认证
     * @param req
     * @param res
     * @return
     * @throws AuthenticationException
     */
    @Override
    public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse res)
            throws AuthenticationException {
        try {
            LoginVo loginVo = new ObjectMapper().readValue(req.getInputStream(), LoginVo.class);

            Authentication authenticationToken = new UsernamePasswordAuthenticationToken(loginVo.getUsername(), loginVo.getPassword());
            return this.getAuthenticationManager().authenticate(authenticationToken);
        } catch (IOException e) {
            throw new RuntimeException(e);
        }

    }

    /**
     * 登录成功
     * @param request
     * @param response
     * @param chain
     * @param auth
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
                                            Authentication auth) throws IOException, ServletException {
        CustomUser customUser = (CustomUser) auth.getPrincipal();
        String token = JwtHelper.createToken(customUser.getSysUser().getId(), customUser.getSysUser().getUsername());

        Map<String, Object> map = new HashMap<>();
        map.put("token", token);
        ResponseUtil.out(response, Result.ok(map));
    }

    /**
     * 登录失败
     * @param request
     * @param response
     * @param e
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
                                              AuthenticationException e) throws IOException, ServletException {
        
        if(e.getCause() instanceof RuntimeException) {
            ResponseUtil.out(response, Result.build(null, 204, e.getMessage()));
        } else {
            ResponseUtil.out(response, Result.build(null, ResultCodeEnum.LOGIN_MOBLE_ERROR));
        }
    }
}

工具类 ResponseUtil

public class ResponseUtil {

    public static void out(HttpServletResponse response, Result r) {
        ObjectMapper mapper = new ObjectMapper();
        response.setStatus(HttpStatus.OK.value());
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        try {
            mapper.writeValue(response.getWriter(), r);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

5 自定义:认证过滤器

/**
 * <p>
 * 认证解析token过滤器
 * </p>
 */
public class TokenAuthenticationFilter extends OncePerRequestFilter {

    public TokenAuthenticationFilter() {

    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        logger.info("uri:"+request.getRequestURI());
        //如果是登录接口,直接放行
        if("/admin/system/index/login".equals(request.getRequestURI())) {
            chain.doFilter(request, response);
            return;
        }

        UsernamePasswordAuthenticationToken authentication = getAuthentication(request);
        if(null != authentication) {
            SecurityContextHolder.getContext().setAuthentication(authentication);
            chain.doFilter(request, response);
        } else {
            ResponseUtil.out(response, Result.build(null, ResultCodeEnum.PERMISSION));
        }
    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request) {
        // token置于header里
        String token = request.getHeader("token");
        logger.info("token:"+token);
        if (!StringUtils.isEmpty(token)) {
            String useruame = JwtHelper.getUsername(token);
            logger.info("useruame:"+useruame);
            if (!StringUtils.isEmpty(useruame)) {
                return new UsernamePasswordAuthenticationToken(useruame, null, Collections.emptyList());
            }
        }
        return null;
    }
}

6 自定义:SpringSecurity 配置类

@Configuration
@EnableWebSecurity //@EnableWebSecurity是开启SpringSecurity的默认行为
@EnableGlobalMethodSecurity(prePostEnabled = true)//开启注解功能,默认禁用注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private CustomMd5Password customMd5PasswordEncoder;

    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private LoginLogService loginLogService;

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 这是配置的关键,决定哪些接口开启防护,哪些接口绕过防护
        http
                //关闭csrf
                .csrf().disable()
                // 开启跨域以便前端调用接口
                .cors().and()
                .authorizeRequests()
                // 指定某些接口不需要通过验证即可访问。登陆接口肯定是不需要认证的
                //.antMatchers("/admin/system/index/login").permitAll()
                // 这里意思是其它所有接口需要认证才能访问
                .anyRequest().authenticated()
                .and()
                //TokenAuthenticationFilter放到UsernamePasswordAuthenticationFilter的前面,
                // 这样做就是为了除了登录的时候去查询数据库外,其他时候都用token进行认证。
                .addFilterBefore(new TokenAuthenticationFilter(redisTemplate), UsernamePasswordAuthenticationFilter.class)
                .addFilter(new TokenLoginFilter(authenticationManager(), redisTemplate,loginLogService));

        //禁用session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 指定UserDetailService和加密器
        auth.userDetailsService(userDetailsService).passwordEncoder(customMd5PasswordEncoder);
    }

    /**
     * 配置哪些请求不拦截
     * 排除swagger相关请求
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/favicon.ico","/swagger-resources/**", "/webjars/**", "/v2/**", "/swagger-ui.html/**", "/doc.html");
    }
}
Debug 分析(超详细)

再放一次流程拓扑图

在这里插入图片描述

发起登录请求

在这里插入图片描述

首先来到我们自定义的认证过滤器,由于是管理员登录接口的请求路径,因此直接放行,否则就走下面的获取 header 中 token 的方法(从缓存中查此 token 中包含的 useruame 对应的权限列表),校验是否正确并存在

在这里插入图片描述

之后来到了登录过滤器,创建出 UsernamePasswordAuthenticationToken

在这里插入图片描述

之后走 authenticate 方法对密码进行加密

在这里插入图片描述

之后来到之前自定义的根据用户名查用户信息的实现类

在这里插入图片描述

同时获取了用户权限的相关信息(这里是测试时用的代码,可以删掉)

在这里插入图片描述

之后才走密码的校验

在这里插入图片描述

最后来到了登录过滤器的成功响应方法

在这里插入图片描述

成功获取到 token

在这里插入图片描述

用户授权

每次请求进来,进入认证过滤器,由于不是登录请求,所以会被拦截判断 header 中的 token 是否正确,以及对应解析出来的用户名中是否在缓存中对应权限列表

在这里插入图片描述
在 Controller 的接口方法中,使用 @PreAuthorize(“hasAuthority(‘xx’)”) 即可进行其 xx 权限是否在当前用户的判断,不成功则抛出 AccessDeniedException 异常(我们可以自己定义全局异常捕获,如 @ExceptionHandler 注解),从而实现了用户授权功能

超周到的程序员
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
spring security 登录认证——用户认证一直不成功
qq_45947664的博客
10-12 3524
自定义的登录逻辑:前端手机号+密码,经过加密传输——后端接受后端自定义登录controller里:1、根据手机号,查找用户名。
SpringSecurity的过滤链是如何工作的
weixin_38872524的博客
08-30 146
前言 之前在配置SpringSecurity整合Oauth2的时候发现了默认配置的请求配置是无效的,因此怀疑SpringSecurity会根据不同的url配置不同的过滤链。因此在代码中打断点观察Spring的启动流程。 1. SpringSecurity的基本组件 SecurityConfigurer // 0. 可以看见这个类有两个参数B 和 O , 其中 就是将参数B 最后生成参数C, B是C的Builder(构造器) // 1. init和 configure 方法就是尽可能的封装builder来
SpringSecurity的执行流程详细讲解
qq_41473691的博客
09-18 5359
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
springsecurity认证为什么失败
weixin_42598278的博客
02-14 737
Spring Security 认证失败的原因可能有很多,下面列举一些常见的情况: 用户名或密码错误:请检查用户输入的用户名和密码是否正确。 认证服务器配置错误:请检查认证服务器的 URL 地址是否正确,以及服务器是否正在运行。 证书问题:如果使用 HTTPS 进行认证,请确保服务器证书是有效的。 访问限制:请检查是否存在 IP 地址或用户组限制,限制了该用户的访问权限。 应用程序配置错...
Spring Security用户认证成功失败自定义实现
OceanSky的专栏
08-08 6334
【一】Spring boot Security OAuth2用户登录失败事件发布及监听 【二】Spring Security用户认证成功失败源码分析 上一篇文章讲解用户认证成功或者失败事件发布的整个流程, 这一篇就讲解下自定义的实现方式。首先看一下认证的异常都有哪些: 在org.springframework.security.authentication.event包下定义了发生认证时的所有事...
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 581
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
Spring Security如何在Servlet中执行
08-19
Spring Security 是一个强大的安全框架,专门用于处理Java应用的安全需求,包括认证授权。在Servlet环境中,Spring Security通过集成到Servlet的过滤器链(Servlet Filter Chain)中来实现在Web应用中的安全控制。...
通过https://start.spring.io/生成的Spring Boot 项目
09-02
用户可以选择项目的基本信息,如项目类型(Maven或Gradle)、语言(Java或Kotlin等)、Spring Boot版本、项目依赖等。完成后,它将自动生成一个包含所有配置和依赖的项目结构,可以直接导入到IDE中。 2. **项目结构...
python爬虫-爬虫项目实战之知乎爬虫+断点续爬尝试.zip
最新发布
03-07
下面将详细讲解这个项目中的关键知识点。 首先,我们要理解Python爬虫的基本原理。Python爬虫是通过模拟浏览器发送HTTP请求到服务器,获取响应的HTML或JSON等格式的数据,然后解析这些数据提取我们需要的信息。在...
SpringBoot项目设置断点debug调试无效忽略web.xml问题的解决
08-25
本文主要关注两个问题:SpringBoot项目设置断点进行debug调试无效以及由于缺少web.xml文件导致的错误。以下是对这两个问题的详细解答。 首先,让我们来解决断点debug调试无效的问题。在SpringBoot项目中,如果你...
Bootstrap 项目实战(入门版)
09-24
下面,我们将详细探讨Bootstrap的基本概念、核心特性以及如何通过这些实战案例来提升你的前端开发技能。 Bootstrap 4.0是该框架的一个重大更新,它引入了许多新功能和改进,以提高性能和用户体验。以下是Bootstrap...
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4491
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Spring Security开发调试记录
qq_40930171的博客
06-26 867
Spring Security+jwt开发调试记录 首先需要在工程的websecurityconfig文件中添加这样一个注解 由于问题出在密码正确却无法登录,因此从认证方面找原因,选择在attemptAuthentication函数中设置断点 可以看到拦截器顺利的获取到了来自于前端的信息,这至少证明,来自于前端的信息是没有问题的,接着往下走。 在这一行stepinto 这句话的意思是获取当前的一个authenticationManager变量并调用其中的authenticate()函数,查看一下authe
SpringSecurity原理:探究SpringSecurity运作流程
Leon_Jinhai_Sun的博客
09-17 486
SpringSecurity原理:探究SpringSecurity运作流程
Spring Security学习笔记
小松鼠的博客
08-08 987
Spring Security是基于Spring的一套权限框架,它有两大重要核心功能:用户认证用户授权用户认证指的是某个用户能否访问该系统,用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般在系统中,不同的用户会分配不同的角色,不同的角色也对应不同的权限。...
SpringSecurity--认证的配置以及debug流程跟踪
sout
01-28 3263
第四章 认证 使用数据库保存/查询用户数据,完成认证功能 4.1 方式一:重写jdbcAuthentication规则(不推荐) 基于数据库的RBAC查询出我们需要的用户以及这些用户的权限(权限标识、角色) 创建和SpringSecurity要求一模一样的表,然后用默认jdbcAuthentication 更新jdbcAuthentication里面所有我们需要实际运行的sql aut...
Springboot 使用Springsecurity登录,重写加密方式使用加盐MD5加密
Manaphy Chen的博客
03-19 2568
1.创建Md5加密类继承PasswordEncoder public class Md5PasswordEncoder implements PasswordEncoder { private final static String[] HEX_DIGITS = {"0", "1", "2", "3", "4", "5", "6", "7", "8", "9", "a", "b", "c...
五、Spring Security权限控制(优医健康)
世上哪有什么岁月静好,不过是有人替你负重前行
03-29 694
文章目录1 认证授权概念2权限模块数据模型3 Spring Security简介4 Spring Security入门案例1 工程搭建2 配置web.xml3 配置spring-security.xml4、测试5、源码分析DelegatingFilterProxyFilterChainProxy6 SpringSecurity常用过滤器介绍7 对入门案例进行改进(静态数据)8、登录调用服务层验证使用(模拟sql) 1 认证授权概念 前面我们已经完成了编易健康后台管理系统的部分功能,例如检查项管理、检查组
Spring security的MD5加密和StandardPasswordEncoder的配置详解
chengzhiji7379的博客
10-13 7526
1、MD5加盐值进行加密处理 springsecurity.xml文件配置:(springsecurity.xml是spring安全的配置) <authentication-manager> <authentication-provider user-se...
Spring Boot + JavaScript 实战:大文件分片上传、断点续传与秒传
大文件上传涉及到的技术难题包括如何提高用户体验,如分片上传、断点续传以及秒传等。 首先,对于小文件上传,文档介绍了一个基于SpringBoot 3.1.2和JDK 17的后端示例,使用了Spring Boot Starter Web来简化开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

超周到的程序员

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值