springboot-security安全登录

已于 2022-06-26 23:38:49 修改
阅读量1.6k 收藏 7
点赞数 1
文章标签: spring boot 安全 java
于 2022-06-26 23:34:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46542185/article/details/125475541
版权

一个简单的security安全登录示例

  1. 配置环境
    1. 添加pom依赖坐标 
      <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.1.6.RELEASE</version>
    </parent>

    <dependencies>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.76</version>
        </dependency>
    </dependencies>
    2.  application.yml文件配置 
      server:
  port: 9999
spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/db_security?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
    username: root
    password: root
  main:
    allow-bean-definition-overriding: true
  redis:
    port: 6379
    host: 127.0.0.1
logging:
  level:
    root: INFO
    org.springframework.web.servlet.DispatcherServlet: DEBUG
    org.springframework.cloud.sleuth: DEBUG
    3.  数据库就一张用户表(简单登录:用户表) 
      SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for tb_user
-- ----------------------------
DROP TABLE IF EXISTS `tb_user`;
CREATE TABLE `tb_user`  (
  `id` int(11) NOT NULL,
  `account` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `username` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `role` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;

-- ----------------------------
-- Records of tb_user
-- ----------------------------
INSERT INTO `tb_user` VALUES (1, '123456', 'admin', '$2a$10$gGKeupjLdvbaoYdAlz1MfuiT/4llYvGFU2QeQ..CQIhCXyqXekn5.', 'test');
INSERT INTO `tb_user` VALUES (2, '789456', 'zhangsan', '$2a$10$gGKeupjLdvbaoYdAlz1MfuiT/4llYvGFU2QeQ..CQIhCXyqXekn5.', NULL);

SET FOREIGN_KEY_CHECKS = 1;
    4. 编写统一返回类 
      @Data
@Accessors(chain = true)
public class R {
    //成功状态位
    private Boolean success;
    //响应消息
    private String message;
    //响应码
    private Integer code;
    //响应数据
    private Object data;

    private static final String DEFAULT_SUCCESS_MESSAGE = "OK";
    private static final Integer DEFAULT_SUCCESS_CODE = 20000;
    private static final String DEFAULT_FALL_MESSAGE = "ERROR";
    private static final Integer DEFAULT_FALL_CODE = 50000;

    private R(Boolean success, String message, Integer code, Object data) {
        this.success = success;
        this.message = message;
        this.code = code;
        this.data = data;
    }

    public static R success(){
        R r = new R(true,DEFAULT_SUCCESS_MESSAGE,DEFAULT_SUCCESS_CODE,null);
        return r;
    }
    public static R success(String message){
        R r = new R(true,message,DEFAULT_SUCCESS_CODE,null);
        return r;
    }
    public static R success(Object data){
        R r = new R(true,DEFAULT_SUCCESS_MESSAGE,DEFAULT_SUCCESS_CODE,data);
        return r;
    }
    public static R success(String message,Object data){
        R r = new R(true,message,DEFAULT_SUCCESS_CODE,data);
        return r;
    }

    public static R fail(){
        R r = new R(false,DEFAULT_FALL_MESSAGE,DEFAULT_FALL_CODE,null);
        return r;
    }

    public static R fail(String message){
        R r = new R(false,message,DEFAULT_FALL_CODE,null);
        return r;
    }
    public static R fail(String message,Integer code){
        R r = new R(false,message,code,null);
        return r;
    }
}
    5.  redis配置 
      @Configuration
public class RedisConfig {
    /**
     * retemplate相关配置
     * @param factory
     * @return
     */
    @Bean
    public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory factory) {

        RedisTemplate<String, Object> template = new RedisTemplate<>();
        // 配置连接工厂
        template.setConnectionFactory(factory);

        //使用Jackson2JsonRedisSerializer来序列化和反序列化redis的value值(默认使用JDK的序列化方式)
        Jackson2JsonRedisSerializer jacksonSeial = new Jackson2JsonRedisSerializer(Object.class);

        ObjectMapper om = new ObjectMapper();
        // 指定要序列化的域,field,get和set,以及修饰符范围,ANY是都有包括private和public
        om.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        // 指定序列化输入的类型,类必须是非final修饰的,final修饰的类,比如String,Integer等会跑出异常
        om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        jacksonSeial.setObjectMapper(om);

        // 值采用json序列化
        template.setValueSerializer(jacksonSeial);
        //使用StringRedisSerializer来序列化和反序列化redis的key值
        template.setKeySerializer(new StringRedisSerializer());

        // 设置hash key 和value序列化模式
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(jacksonSeial);
        template.afterPropertiesSet();

        return template;
    }

}
  2.  创建实体类,实现接口UserDetails,实现获取权限方法 
    @Data
@AllArgsConstructor
@NoArgsConstructor
@Accessors(chain = true)
public class UserBean implements UserDetails {

    private String account;
    private String username;
    private String password;
    private String role;

    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (authorities != null) {
            return authorities;
        }
        authorities = new ArrayList<>();
        if(null!=role){
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(role);
            authorities.add(simpleGrantedAuthority);
        }
        return authorities;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

  3.  创建mapper接口,编写sql语句 
    @Mapper
public interface UserBeanMapper {
    //根据账号查询用户信息
    @Select("select * from tb_user where account=#{account}")
    UserBean findUserById(@Param("account")String account);
}
  4.  创建service层登录接口 
    public interface UserBeanService {

    R login(String account,String password);
}
  5.  实现service层接口 
    @Service
public class UserServiceImpl implements UserBeanService {

    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private RedisTemplate<String,Object> redisTemplate;
    @Override
    public R login(String account, String password) {
//创建用户身份验证
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(account, password);
        Authentication authenticate = authenticationManager.authenticate(usernamePasswordAuthenticationToken);
        if(null==authenticate){
            return R.fail("账户名或密码错误");
        }
//以hash方式存储redis中
        redisTemplate.boundHashOps(account).put(account, JSON.toJSONString(authenticate.getPrincipal()));
//设置redis过期时间
        redisTemplate.boundHashOps(account).expire(100000, TimeUnit.MILLISECONDS);
        return R.success(JwtUtil.createJWT(account));
    }
}
  6.  创建controller层 
    @RestController
public class UserBeanController {

    @Autowired
    private UserBeanService userBeanService;

    //登录
    @PostMapping("/login")
    public R login(@RequestParam("account") String account, @RequestParam("password") String password){
        return userBeanService.login(account,password);
    }
    
    //权限测试
    @GetMapping("/test")
    @PreAuthorize("hasAuthority('test')")
    public R test(){
        return R.success("这是一条提示消息","test");
    }
}

 security相关代码配置

  1. 这里使用jwt令牌,创建jwt工具类 
    /**
 * JWT工具类
 */
public class JwtUtil {

    //有效期为
    public static final Long JWT_TTL = 60 * 60 *1000L;// 60 * 60 *1000  一个小时
    //设置秘钥明文
    public static final String JWT_KEY = "mingwen";

    public static String getUUID(){
        String token = UUID.randomUUID().toString().replaceAll("-", "");
        return token;
    }
    
    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @return
     */
    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());// 设置过期时间
        return builder.compact();
    }

    /**
     * 生成jtw
     * @param subject token中要存放的数据(json格式)
     * @param ttlMillis token超时时间
     * @return
     */
    public static String createJWT(String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, getUUID());// 设置过期时间
        return builder.compact();
    }

    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if(ttlMillis==null){
            ttlMillis=JwtUtil.JWT_TTL;
        }
        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        return Jwts.builder()
                .setId(uuid)              //唯一的ID
                .setSubject(subject)   // 主题  可以是JSON数据
                .setIssuer("sanyue")     // 签发者
                .setIssuedAt(now)      // 签发时间
                .signWith(signatureAlgorithm, secretKey) //使用HS256对称加密算法签名, 第二个参数为秘钥
                .setExpiration(expDate);
    }

    /**
     * 创建token
     * @param id
     * @param subject
     * @param ttlMillis
     * @return
     */
    public static String createJWT(String id, String subject, Long ttlMillis) {
        JwtBuilder builder = getJwtBuilder(subject, ttlMillis, id);// 设置过期时间
        return builder.compact();
    }



    /**
     * 生成加密后的秘钥 secretKey
     * @return
     */
    public static SecretKey generalKey() {
        byte[] encodedKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        SecretKey key = new SecretKeySpec(encodedKey, 0, encodedKey.length, "AES");
        return key;
    }
    
    /**
     * 解析
     *
     * @param jwt
     * @return
     * @throws Exception
     */
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parser()
                .setSigningKey(secretKey)
                .parseClaimsJws(jwt)
                .getBody();
    }


}
  2.  创建jwt过滤器 
    @Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisTemplate<String,Object> redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader("token");
        if (!StringUtils.hasText(token)) {
            filterChain.doFilter(request, response);
            return;
        }
        String account = null;
//校验token
        try {
            Claims claims = JwtUtil.parseJWT(token);
            account = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("非法token");
        }
//判断redis该用户是否超时存在
        if(Boolean.FALSE.equals(redisTemplate.boundHashOps(account).hasKey(account))){
            throw new RuntimeException("用户登录超时请重新登录");
        }
//取出该用户相关信息 同时延长redis存储时间
        String redisUserObj = redisTemplate.boundHashOps(account).get(account).toString();
        redisTemplate.boundHashOps(account).expire(100000, TimeUnit.MILLISECONDS);
        UserBean userBean = JSON.parseObject(redisUserObj, UserBean.class);
//将用户信息,及权限交给security
        UsernamePasswordAuthenticationToken authenticationToken=new UsernamePasswordAuthenticationToken(userBean,null,userBean.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        filterChain.doFilter(request, response);
    }
}
  3.  继承security适配器,配置security 
    @Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    
//密码校验规则
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers("/login").anonymous()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();
        //把token校验过滤器添加到过滤器链中
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(
                "/login/**",
                "/logout/**"
        );
    }
}
  4.  实现接口UserDetailsService 并实现方法,走我们自己的业务逻辑 
    @Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserBeanMapper userBeanMapper;

    @Override
    public UserDetails loadUserByUsername(String account) throws UsernameNotFoundException {
        return userBeanMapper.findUserById(account);
    }
}

启动项目

  1. 启动类 
    @SpringBootApplication
public class SecurityApplication {
    public static void main(String[] args) {
        ConfigurableApplicationContext run = SpringApplication.run(SecurityApplication.class, args);
        BCryptPasswordEncoder bean = run.getBean(BCryptPasswordEncoder.class);
        System.out.println(bean.encode("123456"));
    }
}
  2.  测试数据
  3.  admin登录
  4.  admin访问对应权限方法
  5.  zhangsan登录 
  6. zhangsan访问权限方法 

 写的不怎么样,希望对大家有用,希望大家多多指点~~~

是三月呀、
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
weixin_47083537的博客
04-28 847
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
Springboot+security实现安全登陆
willingxiax的博客
07-01 995
废话不多说,直接说步骤吧1.引入安全依赖&lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt; &lt;/dependency&gt;2.配置用户名密码@Au...
Spring Boot集成Spring Security 搭建登录模块
qq_58353992的博客
02-29 1421
Spring Cloud搭建Spring Security笔记
SpringbootSpringSecurity使用(1):介绍、登录验证
最新发布
游王子的博客
07-28 1390
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功能。Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。
SpringBoot集成Spring Security(6)——登录管理
Jitwxs
11-29 1万+
文章目录一、限制最大登录数二、踢出用户 在本篇中,主要关注登录的管理,因此代码使用最原始版本的即可,即《SpringBoot集成Spring Security(1)——入门程序》源码即可。 源码地址:https://github.com/jitwxs/blog_sample 一、限制最大登录数 修改 WebSecurityConfig 的 configure() 方法,关键代码如下: .ses...
Spring Boot:整合Spring Security
11-20 584
综合概述 Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,SpringSecurity和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部.
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9821
springboot整合springsecurity实现用户登录认证和鉴权
SpringBoot + Spring Security 基本使用及个性化登录配置
热门推荐
whyalwaysmea
03-18 15万+
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring S...
SpringBoot使用security进行登录验证
qq_28503457的博客
08-05 2992
话不多说,直接搞代码 1.在pom.xml添加依赖 <!-- securityr认证--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependenc
SpringBoot-Security
05-26
SpringBoot-Security是基于Spring Boot的轻量级安全框架,用于简化Spring Security的集成和配置。这个框架使得在Spring Boot应用中实现身份验证和授权变得简单。本文将深入探讨SpringBoot-Security的两种配置方式...
springboot-security-demo4
05-12
springboot-security-demo4 springboot-security-demo4 Spring Boot 2和Spring Security 5 用户加入(使用@Valid) 用户登录(使用RememberMe) 使用简单(单个)角色 方法级别的安全性(@PreAuthorize) XSS...
boot-login-service:基于SpringBootSpringSecurity登录功能。包含验证码、踢出用户、国际化、全局异常、
05-14
BootLoginService 本项目为基于Spring-BootSpring-Security登录功能 作者邮箱: Spring Boot 用户登录功能实现session共享,踢出用户,锁定用户等。
springboot-06-security.zip
08-20
在本项目"springboot-06-security.zip"中,我们主要关注的是如何使用JavaSpring BootSpring Security来实现一个用户认证与授权的系统。这个实例源码是为那些希望学习如何在Spring Boot环境中集成安全功能的学习...
springboot-security.zip
12-26
SpringBootSpring Security整合是构建安全Web应用的常见实践,这个名为"springboot-security.zip"的压缩包很可能是提供了一个示例项目,用于演示如何在SpringBoot应用中集成Spring Security来实现权限管理。...
SpringBoot集成Security(二)----实现简单登陆
weixin_39893621的博客
05-12 213
SpringBoot集成Security(二)----实现简单登录 上篇文章已经搭建好了项目,那么现在就让我们来看看怎么自定义用户和密码实现简单登录吧。
springboot中使用spring-security进行登陆控制
nb7474的博客
03-20 6757
目录结果展示1. 引入依赖2. 配置User类3. 配置TtUserServiceImpl方法3. 最重要的WebSecurityConfig4. CustomLoginHandler类5. RespBean对象6. Debug过程项目启动前端发出请求(/api/user)根据用户名查询用户是否存在判断用户密码是否匹配登陆成功获取角色信息封装返回对象返回给前端 在springboot项目中使用s...
SpringBootSecurity(一)网页版登录入门介绍
Alex
05-18 682
Web应用安全管理 Web应用的安全管理,主要包括两个方面的内容,一个是用户身份的认证,即用户登录的设计,二是用户授权,即一个用户在一个应用系统中能够执行哪些操作的权限管理。权限管理的设计一般使用角色来管理,即给一个用户赋予哪些角色,这个用户就具有哪些权限。 Spring框架体系中,经典的安全体系框架是Security。关于系统的安全管理及各种设计,Spring Security已经大体上都实现了,只需要一些配置和引用就能够正常使用。SpringBoot使用Security更加的简单,因为SpringB
SpringBoot整合Security 登录授权
码小呆的博客
05-02 243
描述: Spring Security是一个提供身份验证,授权和保护以防止常见攻击的框架。凭借对命令式和响应式应用程序的一流支持,它是用于保护基于Spring的应用程序的事实上的标准。 更多详细内容请看官方文档:Spring Security 1.pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-b
SpringBoot-Security登录认证与授权
MoneyZHC的博客
07-09 210
SpringBoot-Security登录认证与授权 package com.money.config; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.sp
springboot-actuator未授权
09-14
3. 自定义安全配置:如果默认的安全配置不适用于您的需求,您可以自定义Spring Security配置。创建一个类,继承自WebSecurityConfigurerAdapter,并重写configure方法。在该方法中,您可以定义自己的安全规则和访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值