SpringSecurity笔记2

已于 2023-07-02 18:21:05 修改
阅读量343 收藏 2
点赞数 2
文章标签: 笔记
于 2023-07-02 14:02:06 首次发布
;
本文链接:https://blog.csdn.net/m0_58961367/article/details/131500411
版权

配置类:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    // 已登录的用户的token验证
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    // 登录失败
    @Autowired
    private AuthenticationEntryPointImpl authenticationEntryPoint;
    // 认证失败
    @Autowired
    private AccessDeniedHandlerImpl accessDeniedHandler;

    // 前端用户登录的用户信息验证
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    // 密码加密解密
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // super.configure(http);
        http
                // 关闭csrf
                .csrf().disable()
                // 不通过session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 放行
                .antMatchers("/login").anonymous()
                // 这个接口需要认证才能访问
                .antMatchers("/link/getAllLink").authenticated()
                .antMatchers("/logout").authenticated()
                // 其余的接口也放行
                .anyRequest().permitAll();
        // 关闭security的默认关闭接口
        http.logout().disable();
        // 配置过滤器
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 配置异常处理器
        http.exceptionHandling()
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);
        // 允许跨域
        http.cors();
    }
}

用户登录流程:

@Service
public class BlogLoginServiceImpl implements BlogLoginService {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private RedisTemplate<Object, Object> redisTemplate;

    @Override
    public ResponseResult login(User user) {
        // 放入用户名和密码
        UsernamePasswordAuthenticationToken authentication =
                new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
        // authenticate 会调用 UserDetailsServiceImpl 登录判断
        Authentication authenticate = authenticationManager.authenticate(authentication);
        // 判断是否认证通过
        if (authenticate == null) throw new RuntimeException("用户名或密码错误");
        // 获取userId 生成token
        LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
        Long userId = loginUser.getUser().getId();
        String token = JwtUtil.createJWT(String.valueOf(userId));
        // 用户信息存入redis
        redisTemplate.opsForValue().set("bloglogin:" + userId, loginUser,1, TimeUnit.DAYS);
        // token和userinfo封装 返回
        BlogUserLoginVo vo = new BlogUserLoginVo();
        vo.setToken(token);
        vo.setUserInfo(BeanCopyUtils.copyBean(loginUser.getUser(), UserInfoVo.class));
        return ResponseResult.success(vo);
    }
}
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    // 登录判断
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (StringUtils.isEmpty(username)) throw new RuntimeException("用户名不能为空");
        // 条件
        LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(User::getUserName, username);
        // 查询
        User user = userMapper.selectOne(wrapper);
        if (user == null) throw new RuntimeException("用户不存在");
        return new LoginUser(user);
    }
}
@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        // 权限集合
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

用户登陆后,访问权限接口,token认证拦截器:

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    // 用户访问需要登录的接口,验证token
    @Autowired
    private ObjectMapper om;
    @Autowired
    private RedisTemplate redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 获取token
        String token = request.getHeader("token");
        if (!StringUtils.hasText(token)) {
            // 后面登录的security还会进行校验
            filterChain.doFilter(request, response);
            return;
        }
        // 解析token 获取userId
        Claims claims = null;
        try {
            claims = JwtUtil.parseJWT(token);
        } catch (Exception e) {
            e.printStackTrace();
            // 过期
            // 非法token
            // 响应前端重新登录
            ResponseResult result = new ResponseResult(401, "用户未登录", null);
            WebUtils.renderString(response, om.writeValueAsString(result));
            return;
        }
        String userId = claims.getSubject();
        // 从redis中获取用户信息
        LoginUser loginUser = (LoginUser) redisTemplate.opsForValue().get("bloglogin:" + userId);
        if (loginUser == null) {
            // redis里没有
            ResponseResult result = new ResponseResult(402, "登录已过期", null);
            WebUtils.renderString(response, om.writeValueAsString(result));
            return;
        }
        // 存入SecurityContextHolder
        // 未认证的是2个参数,已认证的是3个参数
        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(loginUser, null, null);
        SecurityContextHolder.getContext().setAuthentication(authentication);
        // 放行
        filterChain.doFilter(request, response);
        return;
    }
}

以上完成后,拦截后不会返回前端json结果

自定义认证失败处理:

@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {

    @Autowired
    private ObjectMapper om;

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        // 登录失败失败响应给前端
        authException.printStackTrace();
        // BadCredentialsException 用户名或密码错误
        // InsufficientAuthenticationException 需要登录
        ResponseResult result = null;
        if (authException instanceof BadCredentialsException)
            result = new ResponseResult(401, authException.getMessage(), null);
        else if (authException instanceof InsufficientAuthenticationException)
            result = new ResponseResult(402, "用户未登录", null);
        else
            result = new ResponseResult(403, authException.getMessage(), null);
        WebUtils.renderString(response, om.writeValueAsString(result));
    }
}

 下面这个是鉴权的响应,目前还用不到:

@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {

    @Autowired
    private ObjectMapper om;

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 鉴权失败的响应
        accessDeniedException.printStackTrace();
        ResponseResult result = new ResponseResult(401, "无权限操作", null);
        WebUtils.renderString(response, om.writeValueAsString(result));
    }
}

统一异常处理:

@Data
@NoArgsConstructor
public class SystemException extends RuntimeException {
    private Integer code;
    private String msg;

    public SystemException(Integer code, String msg) {
        super(msg);
        this.code = code;
        this.msg = msg;
    }
}

// 捕获Controller的异常
@RestControllerAdvice
@Slf4j
public class GlobalExceptionHandler {
    // 可控的异常
    @ExceptionHandler(SystemException.class)
    public ResponseResult SystemExceptionHandler(SystemException e) {
        // 打印日志
        log.error("出现了异常! {}", e);
        // 响应前端
        return new ResponseResult(e.getCode(), e.getMsg(), null);
    }

    // 不可控的异常
    @ExceptionHandler(Exception.class)
    public ResponseResult exceptionHandler(Exception e) {
        // 打印日志
        log.error("出现了异常! {}", e);
        // 响应前端
        return new ResponseResult(500, e.getMessage(), null);
    }
}

参考视频:

B站最通俗易懂手把手SpringBoot+Vue项目实战-前后端分离博客项目-Java项目_哔哩哔哩_bilibili

蒋劲豪
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
整合SpringSecurityJWT实现登录认证和授权
Java升级之路的博客
09-07 4325
文章目录前言一、SpringSecurity是什么?二、JWT是什么?1. JWT的组成2. JWT实现认证和授权的原理三、整合步骤1. 引入相关依赖2. yml配置中加入jwt配置信息3. 添加JWT token的工具类4. 添加SpringSecurity的配置类5. 添加自定义结果处理类5.1 添加CustomAccessDeniedHandler5.2 添加CustomAuthenticationEntryPoint6. 添加JwtUser类7. 添加过滤器JwtAuthenticationTok
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
认证过滤器
Leon_Jinhai_Sun的博客
06-05 2192
认证
jwt+token验证
qq_51127361的博客
09-19 1882
导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
SpringSecurity定义、配置JWT的过滤器(重要)
最新发布
weixin_52861960的博客
06-07 512
SpringSecurity定义、配置JWT的过滤器(重要)
自定义Spring Security过滤器 JwtAuthenticationTokenFilter
zyx1234321的博客
11-19 434
这个过滤器的作用是在请求到达时验证 JWT,并将用户信息存储到 Spring Security 的上下文和 ThreadLocal 中,方便后续的权限验证和用户信息获取。放在所有过滤器前面,检查浏览器携带的token是否合法。
【实战运用】SpringSecurity+Redis+Jwt实现用户认证授权
k123456kah的博客
01-19 1551
Spring Security是一个强大且灵活的身份验证和访问控制框架,用于Java应用程序。它是基于Spring框架的一个子项目,旨在为应用程序提供安全性。Spring Security致力于为Java应用程序提供认证和授权功能。开发者可以轻松地为应用程序添加强大的安全性,以满足各种复杂的安全需求。
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity笔记2-SpringSecurity命名空间
03-29
在"SpringSecurity笔记2-SpringSecurity命名空间"这个主题中,我们将深入探讨SpringSecurity配置的核心——命名空间。 SpringSecurity通过XML配置文件中的命名空间来简化设置过程,这些命名空间提供了丰富的元素和...
Spring Security 笔记思维导图
03-01
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件等
SpringSecurity+JWT认证流程解析 | CSDN新人第一弹
和耳朵
07-07 1881
纸上得来终觉浅,觉知此事要躬行。 楔子 本文适合: 对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学,对SpringSecurity有兴趣的也可以当作你们的入门教程,示例代码中也有很多注释。本文代码: 码云地址 GitHub地址 大家在做系统的时候,一般做的第一个模块就是认证与授权模块,因为这是一个系统的入口,也是一个系统最重要最基础的一环,在认证与授权服务设计搭建好了之后,剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring.
shiro学习——整合jwt时全局异常处理器无法处理JWTFilter中抛出的异常
weixin_43344930的博客
08-09 4711
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常是Shiro在登录认
idea中debugger启动就一直卡在这里jwtAuthenticationTokenFilter
dowhil的博客
08-02 496
idea中debugger启动就一直卡在这里jwtAuthenticationTokenFilter
SpringSecurity+JWT快速入门
胡云峰的博客
01-02 4558
SpringSecurity+JWT快速入门
仅需四步,整合SpringSecurity+JWT实现登录认证 !
macrozheng的专栏
12-11 1924
学习过我的mall项目的应该知道,mall-admin模块是使用SpringSecurity+JWT来实现登录认证的,而mall-portal模块是使用的SpringSecurity基于...
Security自定义全局AuthenticationManager
程序三两行
07-20 3155
security 自定义全局AuthenticationManager
Spring Security(二)OAuth2认证详解
热门推荐
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
SpringSecurity (3) SpringBoot + JWT 实现身份认证和权限验证
O_o
05-15 4018
本篇将介绍 SpringSecurity 结合 JWT (Json Web Token) 实现身份认证和权限验证.
Spring Security笔记
08-14
Spring Security是一个功能强大、灵活的身份验证和访问控制框架,用于保护基于Spring的应用程序。它提供了一套完整的认证和授权解决方案,可以帮助开发人员轻松地添加安全功能到他们的应用程序中。 以下是一些常见的Spring Security笔记: 1. Spring Security的核心概念:Spring Security基于一些核心概念,如认证(Authentication)、授权(Authorization)、用户(User)、角色(Role)等。了解这些概念对于理解和使用Spring Security非常重要。 2. 配置Spring Security:通过配置文件或Java代码,可以将Spring Security集成到应用程序中。配置文件中可以定义安全规则、用户信息、角色等。 3. 认证:认证是验证用户身份的过程。Spring Security支持多种认证方式,如基于表单、基于HTTP Basic认证、基于OAuth2等。开发人员可以选择适合自己应用程序的认证方式。 4. 授权:授权是决定用户是否有权限执行某个操作的过程。Spring Security提供了一套强大的授权机制,可以基于角色、权限、资源等进行访问控制。 5. 自定义认证和授权:通过实现Spring Security提供的接口或扩展现有的类,开发人员可以自定义认证和授权逻辑。这允许开发人员根据应用程序的特定需求定制安全策略。 6. 集成其他安全框架:Spring Security可以与其他安全框架(如OAuth2、LDAP、CAS等)进行集成,以满足不同应用程序的安全需求。 7. 日志和调试:Spring Security提供了详细的日志记录机制,可以帮助开发人员调试和排查安全问题。 以上是关于Spring Security的一些笔记,希望对你有帮助!如果你有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

蒋劲豪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值