单点登录--认证服务---定义Security类配置

最新推荐文章于 2024-04-07 17:24:12 发布
最新推荐文章于 2024-04-07 17:24:12 发布
阅读量1.5k 收藏
点赞数
文章标签: mvc spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60067556/article/details/121669614
版权

流程:认证服务sso-auth--->openFeign -->系统服务(sso-system)

1、sso-auth:第一步要提供一个user封装的类,用来接收数据库查询到的数据。

package com.jt.auth.pojo;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.experimental.Accessors;
import org.springframework.security.core.GrantedAuthority;

import java.io.Serializable;
import java.util.List;

@Data
@Accessors(chain = true)
@NoArgsConstructor
@AllArgsConstructor
public class User implements Serializable {
    /**
     * 封装user对象,基于此对象用来接收远程服务获取到的用户信息
     * 流程:
     * 通过feign方式调用远程服务
     * 认证服务sso-auth--->openFeign -->系统服务(sso-system)
     *
     */
    private static final long serialVersionUID = -6488621916389199077L;
    private Long id;
    private String username;
    private String password;
    private String status;


}

2、要调用sso-system里的查询数据库的方法,需要使用feign调用,这里就需要提供一

个 openFeign接口(也就是定义一个远程service对象),来进行调用sso-system类中的方法。

需要在启动类中使用@EnableFeignClients,还有在调用方法的接口中使用@FeignClient这两个注解来实现远程服务调用

package com.jt.auth.service;

import com.jt.auth.pojo.User;
import org.springframework.cloud.openfeign.FeignClient;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;

import java.util.List;
@FeignClient(value = "sso-system",contextId = "remoteUserService")
public interface RemoteUserService {

    /**
     * 基于这个接口进行sso-system服务调用
     *
     * 基于用户名获取用户信息
     * @param username
     * @return
     */
    @GetMapping("/user/login/{username}")
    User selectUserByUsername(@PathVariable("username") String username);
//      基于用户id获取权限
    @GetMapping("/user/permission/{userId}")
    List<String> selectUserPermissions(@PathVariable("userId") Long userId);

}

 3、定义一个service实现类来处理业务对象,实现类是实现spring-security框架提供的认证管理器接口,---UserDetailsService接口。

先将接口封装调用的远程服务方法通过@Autowired注入进去,通过重写UserDetailsService接口里的loadUserByUsername方法,对基于feign方式的调用得到的用户参数进行数据封装到user中。

在通过user属性中的id,获取对应的权限方法获取权限信息。再将查询到信息封装并返回去。

返回给认证中心,认证中心会基于用户输入的密码以及数据库的密码做一个比对

这里查询到的数据封装的user对象,使用的是springorg.springframework.security.core.userdetails提供的user对象

AuthorityUtils这个工具去转换查询到的权限属性。

并且数据返回到认证中心后,认证中心会将用户输入的信息,与数据库中的信息进行对比,由于数据库中的登录密码是加密的,一般数据库中的加密是不可逆的。所以我们会加一个加密方法对用户提交的密码先加密,再与数据库中的密码进行对比。

//    构建加密算法,基于此算法对用户提交的密码进行加密
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

 在这里要介绍一下UserDetailsService 接口:

userDetails是spring-security基础接口,包含某个账号,密码,权限,状态(是否锁定)等信息,只有getter方法,相当于定义一个规范,作用主要是用来和数据库做交互用的。

作用:

Spring Security中进行身份验证的是AuthenticationManager接口,ProviderManager是它的一个默认实现,但它并不用来处理身份认证,而是委托给配置好的AuthenticationProvider,每个AuthenticationProvider会轮流检查身份认证。检查后或者返回Authentication对象或者抛出异常。

验证身份就是加载响应的UserDetails,看看是否和用户输入的账号、密码、权限等信息匹配。此步骤由实现AuthenticationProvider的DaoAuthenticationProvider(它利用UserDetailsService验证用户名、密码和授权)处理。包含 GrantedAuthority 的 UserDetails对象在构建 Authentication对象时填入数据。

 

AuthorityUtils:

此类一般用于UserDetailsService的实现类中的loadUserByUsername方法

此工具一共有三个方法:

1、createAuthorityList:将权限转化为list,一个权限一个参数。

2、commaSeparatedStringToAuthorityList:作用为给user的账户添加一个或多个权限,用逗号分隔,底层调用的是createAuthorityList方法,唯一的区别在于此方法把所有权限包含进一个字符串参数中,只是用逗号分隔。

3、authorityListToSet:将GrantedAuthority对象的数据转换成set。

package com.jt.auth.service;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.List;



@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    /**
     * 自定义用户执行登录操作逻辑(系统默认用户为user,密码是控制台密码-随机字符串)
     * client-->username ,password
     * server-->未加密的密码进行加密,与数据库已加密的密码进行比对
     *
     * 调用远程服务的接口---RemoteUserService
     * UserDetailsService:认证管理器
     * loadUserByUsername:---基于用户名查询权限的方法
     * 认证流程:spring-security----这个执行链底层框架已经设计好了,我们只需要提供UserDetailsServiceImpl对象获取远端服务或者数据库中的用户信息
     * 1、客户端提交用户名和密码
     * 2、服务端调用spring-security框架启动过滤器Filters,对用户名和密码进行预处理
     * 3、过滤器(Filters)会调用认证管理器(AuthenticationManager),完成认证。也就是比对用户名和密码
     * 4、认证管理器会调用UserDetailsServiceImpl对象获取远端服务或者数据库中的用户信息,然后与客户端提交的信息进行比对
     */

//调用我们之前接口写的调用远程服务的方法
    @Autowired
    private RemoteUserService remoteUserService;
    /**
     * 基于用户名获取数据库中的用户信息
     * @param username 这个username来自客户端
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException {
        //基于feign方式获取远程数据并封装
        //1.基于用户名获取用户信息
      com.jt.auth.pojo.User user= remoteUserService.selectUserByUsername(username);
        if(user==null)
            throw new UsernameNotFoundException("用户不存在");
        //2.基于用于id查询用户权限
        List<String> permissions= remoteUserService.selectUserPermissions(user.getId());
        log.info("permissions {}",permissions);
        //3.对查询结果进行封装并返回
//        List<GrantedAuthority> authorityList = AuthorityUtils.createAuthorityList(permissions.toArray(new String[]{}));
        User userInfo= new User(username, user.getPassword(), AuthorityUtils.createAuthorityList(permissions.toArray(new String[]{})));
        //数据库里的密码是已加密的,用户提交的是未加密的,这样要比对密码。需要配置一个算法
        return userInfo;
        //返回给认证中心,认证中心会基于用户输入的密码以及数据库的密码做一个比对
    }
}

 定义Security类配置

1、可以将启动类中的加密算法,转移到配置类中。

//    构建加密算法,基于此算法对用户提交的密码进行加密
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

2、WebSecurityConfigurerAdapter实现了WebSecurityConfigurer接口。作为一个适配器,为程序想重写那个方法作为提供类,这样不用去重写接口里的所有方法。

3、AuthenticationManager (认证管理器),定义认证管理器对象,这个对象负责完成用户信息的认证, 即判定用户身份信息的合法性,在基于oauth2协议完成认 证时,需要此对象,所以这里讲此对象拿出来交给spring管理

 @Bean
    public AuthenticationManager authenticationManagerBean()
            throws Exception {
      return super.authenticationManager();
    }

4、这个配置类是继承WebSecurityConfigurerAdapter这个适配器类,重写的是configure方法,里面要设置

1)、关闭跨域攻击:http.csrf().disable();----假如没有关闭跨域攻击,使用postman,idea里的httpclient,这些工具去访问路径的时候,请求会报403异常---权限认证异常

2)、设置请求认证规则(系统默认规则是所有资源必须先认证才能访问)

http.authorizeRequests().anyRequest().authenticated();---系统默认

当我们需要设置那些资源需要认证再访问,那些资源不需要认证可以直接访问

http.authorizeRequests().mvcMatchers("页面路径").authenticated()---这个是设置需要先认证才能访问。

也可以链式写:

http.authorizeRequests().mvcMatchers("页面路径").authenticated().anyRequest().permitAll();---只设置括号里的页面路径需要先认证,其余的都放行

3)、可以自定义定义登录成功和失败以后的处理逻辑。---设置认证结果处理器--http.formLogin();这个认证成功后会跳转到index.html页面。后面也可以加.successHandler(successHandler()) .failureHandler(failureHandler());来自定义登录成功或失败的处理信息。

http.formLogin().successHandler(successHandler()) .failureHandler(failureHandler());

然后再写自定义的登录成功信息和失败信息。

 //定义认证成功处理器
    //登录成功以后返回json数据
    @Bean
    public AuthenticationSuccessHandler successHandler(){
         //lambda---jdk8特殊写法
         return (request,response,authentication)->{
             //构建map对象封装到要响应到客户端的数据
             Map<String,Object> map=new HashMap<>();
             map.put("state",200);
             map.put("message", "login ok");
             //将map对象转换为json格式字符串并写到客户端
             writeJsonToClient(response,map);
         };
    }
    //定义登录失败处理器
    @Bean
    public AuthenticationFailureHandler failureHandler(){
        return (request,response,exception)->{
            //构建map对象封装到要响应到客户端的数据
            Map<String,Object> map=new HashMap<>();
            map.put("state",500);
            map.put("message", "login error");
            //将map对象转换为json格式字符串并写到客户端
            writeJsonToClient(response,map);
        };
    }
    private void writeJsonToClient(
            HttpServletResponse response,
            Map<String,Object> map) throws IOException {
         //将map对象,转换为json
          String json=new ObjectMapper().writeValueAsString(map);
          //设置响应数据的编码方式
          response.setCharacterEncoding("utf-8");
          //设置响应数据的类型
          response.setContentType("application/json;charset=utf-8");
          //将数据响应到客户端
          PrintWriter out=response.getWriter();
          out.println(json);
          out.flush();
    }
 

 401异常:没有认证

403异常:没有权限

封鳞非冕胖头鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
单点登录(SSO)和中心认证服务(CAS)
07-30
单点登录(SSO)和中心认证服务(CAS)
10.认证服务单点登录
weixin_46666822的博客
12-12 3053
流程— 1.第一个客户端访问,此时session中没有用户信息,说明是没有登录的状态,会重定向到登录服务页面,而且会带上当前服务服务地址,保证登录过后还可以跳转回来。 2.前端页面输入账号密码之后,点击登录,到提交处理服务。 3.账号密码验证通过,就将用户的信息存到redis,并且还生成了一个名为“sso_token”的cookie。然后重定向到客户端服务。 4.回到客户端,发现token不为空,就从redis中获取到用户信息,并存到session中。 5.客户端发现session中有用户信息了,
深入理解单点登录(SSO):简化用户认证体验
最新发布
五更钟动的博客
04-07 3051
SSO定义和概念​单点登录(Single Sign-On,简称SSO)是一种身份验证和授权机制,旨在让用户只需一次登录,就能够访问多个相关但独立的系统或应用。在传统的身份验证模型中,用户需要为每个系统提供独立的凭证(通常是用户名和密码),这不仅繁琐而且容易导致安全隐患。​ SSO解决了这一问题,通过一次登录,用户获取了对多个系统的访问权限,而无需在每个系统中重新输入凭证。这样的集中式身份验证模型极大地提升了用户体验,减轻了用户的记忆负担,同时也有助于提高整体系统的安全性。
第四部分:spring security使用cas单点登录配置
热门推荐
zh350229319的专栏
01-14 1万+
spring security使用cas单点登录配置
单点登录(CAS)及Security整合
建仔的博客专栏
05-15 833
单点登录简介: SSO是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 因为我们最近做的的项目存在很多子模块,而这些子模块是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。 什么是CAS? CAS是Yale大学发起的一个开源的项目,为Web应用系统提供一种...
springsecurity整合jwt实现单点登录
农夫三拳
04-26 1143
客户端配置(必须与oauth服务配置一致) security.oauth2.client.client-id 指定OAuth2 client ID security.oauth2.client.client-secret 指定OAuth2 client secret. 默认是一个随机的secret security.oauth2.client.user-authorization-uri ...
Spring Security 3 与 CAS单点登录配置-Server
03-19
标题中的"Spring Security 3 与 CAS 单点登录配置-Server"涉及到的是在Java Web开发中使用Spring Security 3框架集成Central Authentication Service (CAS)实现单点登录(Single Sign-On, SSO)的服务器端配置。...
spring-security.zip
05-26
7. **OAuth2支持**:允许应用作为OAuth2的资源服务器、授权服务器或客户端,实现单点登录、第三方应用集成等功能。 8. **Filter Chain**:Spring Security通过一系列过滤器处理请求,每个过滤器执行特定的安全任务...
spring-security4.0.zip
08-21
- `spring-security-cas-4.0.0.RELEASE.jar`: 支持与Central Authentication Service(CAS)的集成,实现了单点登录(Single Sign-On, SSO)功能。 Spring Security 4.0的这些组件共同构建了一个强大且灵活的安全...
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
16. **遵循最小权限原则**:设计时考虑最小权限模型,避免单点故障和权限滥用。 综上所述,"kubernetes-security-best-practice" 提供的这些实践旨在帮助管理员从多个层面确保Kubernetes环境的安全性,涵盖身份验证...
sso-use-cookie单点登录
01-18
在这个项目中,我们需要配置Spring Security来处理认证和授权逻辑,包括定义安全拦截规则、处理登录请求、设置Cookie等。 五、Cookie管理 项目中可能使用了Spring Security的HttpSessionAuthenticationStrategy或...
单点登录(Single Sign On)
m0_61466807的博客
01-03 1525
概念:即多个站点共用一台认证授权服务器,用户在其中任何一个站点登录后,可以免登录访问其他所有站点。而且,各站点间可以通过该登录状态直接交互。例如 单点登陆系统解决方案设计 解决方案1:用户登陆成功以后,将用户登陆状态存储到redis数据库,例如 说明:在这套方案中,用户登录成功后,会基于UUID生成一个token,然后与用户信息绑定在一起存储到数据库。后续用户在访问资源时,基于token从数据库查询用户状态,这种方式因为要基于数据库存储和查询用户状态,所以性能表现一般.。 解决方案2:用户登陆成
Spring Security + Jwt实现单点登录
weixin_72718065的博客
04-07 1491
Spring Security 功能强大的处理**认证**和**授权**的框架 添加框架后,在不添加任何配置时,访问任何页面都会重定向到框架自带的login页面 框架提供了默认的用户名:``user``与密码:启动时生成的``UUID``
基于Oauth2.0的单点登录—搭建客户端
zzy7075的专栏
05-28 512
一. 客户端相关配置 继承WebSecurityConfigurerAdapter,添加@EnableOAuth2Sso注解开启单点登录。 @EnableOAuth2Sso public class SecurityConfig extends WebSecurityConfigurerAdapter { } 1 2 3 只需要将所有需要认证的请求开启认证即可。 @Configuration @EnableOAuth2Sso public class SecurityConfig extends Web
Spring Security渐入佳境(二) -- 自定义用户认证逻辑
分享技术,共同进步!
12-12 316
(一)用户信息获取 <1>UserDetailsService 这是SpringSecurity提供的一个接口,用于根据登录名获取用户信息(从内存,数据库中…)。 <2>实现接口UserDetailsService 详解UserDetails请参考附录。 @Component public class MyUserDetailsService implements User...
第五章:Spring Security 原理与权限认证
胡汉三
06-01 805
先说我们的目标,我们的目标是没有蛀牙。是使用Spring Security来帮助我们拦截那些没有权限,却又非要来访问我们的资源的操作。比如必须要登录了才能访问某一张图片,没有登录的话就不能访问,在比如没有新增用户权限就不能访问我们的新增用户的方法。 原理 Spring Security的主要(只是主要,不是全部)功能: 认证(authentication),用户登录 授权(authorization),判断用户有什么权限,可以访问什么资源 安全防护,拦截跨站请求,session攻击等 我们先来看看
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2535
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子决定; step2:通过Authentication.
单点登录解决方案--网关、认证、鉴权
月下犀牛
10-20 2763
总流程 1)用户访问 http://localhost:8001/api/oauth/toLogin 先过网关,网关相当于门卫。网关看你的uri,/api/oauth/toLogin,直接放行。去登
SSO单点登录@Order on WebSecurityConfigurers must be unique
m0_53413992的博客
03-15 2388
报错:@Order on WebSecurityConfigurers must be unique 原因:出现此报错原因说明配置了多个WebSecurityConfigurerAdapter 在SSO单点登录时出现,可能是因为在授权服务器的Application中配置了@EnableOAuth2Sso注解,@EnableOAuth2Sso只需要在客户端注解,授权服务器不需要注解 ...
CCNP Security (300-715) SISE 300-715.pdf
10-24
CCNP Security (300-715) SISE 300-715.pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值