spring-security学习(十一,看完豁然开朗

最新推荐文章于 2024-04-29 19:14:48 发布
最新推荐文章于 2024-04-29 19:14:48 发布
阅读量154 收藏
点赞数
分类专栏: 程序员 文章标签: 后端 java 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60732454/article/details/119518637
版权 
@Autowired

private PasswordEncoder passwordEncoder;



/**

 * 根据用户名查找用户信息

 * @param username

 * @return

 * @throws UsernameNotFoundException

 */

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

    log.info("根据用户名查找用户信息:{}",username);

    return new User(username,passwordEncoder.encode("123456"),

            true,true,true,true,

            AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));

}

}




为了避免每次重启输入的clientid的繁琐,这里在配置文件中配置一下clientid和clientsecret

security.oauth2.client.clientId=selfclientid

security.oauth2.client.clientSecret=selfclientsecret




[](https://gitee.com/vip204888/java-p7)实现认证服务器

---------------------------------------------------------------------



回想一下社交登录中认证服务器的功能(以授权码登录为例),需要基于OAuth2协议生成授权码,并将授权码附在第三方应用配置的回调地址之后,之后第三方应用根据得到的授权码换取token,最后再根据token获取对应的用户信息。



基于spring security oauth,这个不难,几个配置搞定。

/**

  • autor:liman

  • createtime:2021/7/22

  • comment: app的认证服务器配置类

*/

@Configuration

@EnableAuthorizationServer

public class AppAuthorizationServerConfig {

}




### [](https://gitee.com/vip204888/java-p7)获取授权码



这个时候,我们应用就具备了认证服务器的功能。在项目启动的时候,我们会发现spring security oauth为我们加入了几个oauth开头的请求路径,如下所示:



![请添加图片描述](https://img-blog.csdnimg.cn/6c31df9098d74a3186fc2175f710a7a6.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbWFuNjU3Mjc=,size_16,color_FFFFFF,t_70)



这些请求路径就是对应的OAuth访问路径,我们可以根据OAuth2的相关协议参数,访问`oauth/authorize`,关于OAuth2的协议请求参数,可以参考OAuth2官网的第四章——[OAuth2 协议官网](https://gitee.com/vip204888/java-p7)。



在浏览器中输入如下路径

http://localhost:8090/oauth/authorize?response_type=code&client_id=selfclientid&redirect_uri=http://example.com&scope=all




这里配置的回调路径是http://expample.com,client\_id就是我们准备工作中配置的clientid,这个其实标示的是第三方应用编号,response\_type我们固定为code,scope我们指定的是all,这些都是在OAuth2官网中有详细说明。



浏览器中输入上述地址之后,会弹出认证对话框



![请添加图片描述](https://img-blog.csdnimg.cn/3a0197f4ed87426a8c546df8d8a648c5.gif?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbWFuNjU3Mjc=,size_16,color_FFFFFF,t_70)



为什么会弹出认证对话框呢?因为这里我们认证服务器要确定是第三方应用中的那一个用户在进行授权,因此我们需要输入相关用户信息,用户信息的认证,就是我们之前自定义的`MyUserDetailService`,这里我们的实例里头只需要保证用户密码是123456即可,正常情况下,在输入完用户名和密码之后,会跳到授权页面。但是……



![在这里插入图片描述](https://img-blog.csdnimg.cn/dc57799ed0c8452cb9305adeb97d2da8.gif?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbWFuNjU3Mjc=,size_16,color_FFFFFF,t_70#pic_center)



翻车了,这是因为这个访问授权页面,需要有"`ROLE_USER`“的角色(关于角色权限,在spring-security的最后一章会学习总结),因此我们需要给用户赋予”`ROLE_USER`"角色才行

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

log.info("根据用户名查找用户信息:{}",username);

return new User(username,passwordEncoder.encode("123456"),

        true,true,true,true,

        AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_USER"));

}




之后重启系统(如有必要会重新输入用户名和密码)就可看到授权页面,如以下动图所示



![请添加图片描述](https://img-blog.csdnimg.cn/5b3a9ada24914e4b8908cb217b540f8f.gif?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbWFuNjU3Mjc=,size_16,color_FFFFFF,t_70)



在授权页面点击Approval(同意)之后,就会看到浏览器显示回调的url,并且附上了授权码。之后既可以根据这个授权码去获取token



### [](https://gitee.com/vip204888/java-p7)根据授权码获取token



这一步可以用postman完成,指定请求路径为`/oauth/token`(我配置了相关的host文件,因此不需要输入ip和端口)



![请添加图片描述](https://img-blog.csdnimg.cn/628a41d615c8487897fb8c3419cbdedd.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbWFuNjU3Mjc=,size_16,color_FFFFFF,t_70)



需要在Basic Auth认证信息中加上我们配置的clientid和clientSecret,还需要在body中加上授权码



![请添加图片描述](https://img-blog.csdnimg.cn/9b63f0e2613448d09a50f3b103a04307.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbWFuNjU3Mjc=,size_16,color_FFFFFF,t_70)



[](https://gitee.com/vip204888/java-p7)实现资源服务器

---------------------------------------------------------------------



上面其实已经完成认证服务器的所有工作,资源服务器其实也是个配置

/**

  • autor:liman

  • createtime:2021/7/23

  • comment:

*/

@Configuration

@EnableResourceServer

public class ResourceServerConfig {

}




有了资源服务器,就可以验证token并访问指定的业务接口了 。



### [](https://gitee.com/vip204888/java-p7)根据token调用业务接口



请求头中需要在Authorization中带上我们上一步获取的token。



![请添加图片描述](https://img-blog.csdnimg.cn/6989ff0ce6164d6eac7ade9c90635288.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpbWFuNjU3Mjc=,size_16,color_FFFFFF,t_70)



[](https://gitee.com/vip204888/java-p7)总结

================================================================



简单的spring security oauth的实例,后面会简单介绍一下其中的源码,并在此基础上完成自定义短信登录,表单登录,社交登录的token认证方式。


# 本次面试答案,以及收集到的大厂必问面试题分享:

![字节跳动超高难度三面java程序员面经,大厂的面试都这么变态吗?](https://img-blog.csdnimg.cn/img_convert/8c936ac58ee51e214c00ca47a126b0a3.png)

tee.com/vip204888/java-p7)总结

================================================================



简单的spring security oauth的实例,后面会简单介绍一下其中的源码,并在此基础上完成自定义短信登录,表单登录,社交登录的token认证方式。


# 本次面试答案,以及收集到的大厂必问面试题分享:

[外链图片转存中...(img-SSuBmkbG-1628418612806)]

**[资料领取方式:戳这里即可免费下载](https://gitee.com/vip204888/java-p7)**
m0_60732454
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security
12-18
最近带学生做一个权限系统,用的是Spring Security,很多学生都说不好上手,思路比较乱,看书也看不进去。看Spring 的官方例子,只知道copy它的配置,可是不知道具体的细节和原理。 其实这些都不是问题,为了帮助学生理清思路把抽象的东西变的更加具体,我用Freemind 画了一幅Spring Security的一个整体概况图,从大的方向列出了配置一个Spring Security需要的一些东西,包括如何配置,配置文件中应该包括哪些东西, 但是具体的细节大家还是要看书,按照我画的这个图来学习并且动手,相信很快就可以上手。希望这个图对大家有一点点帮助,谢谢!!!
【面经】RESTful风格、SpringMVC及其优势、SpringSecurity
历乱的日记簿
08-08 168
1、RESTful风格 一种软件架构风格、设计风格。主要用于客户端和服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更容易实现缓存等机制。 每一个URI代表一种资源‘; 客户端和服务器之间,传递这种资源的某种表现层; 客户端通过四个HTTP动词,对服务器端资源进行操作,来实现“表现层状态转换” 2、测试用例测试工具 QMetry、TestRail、JIRA、qTest 3、重载&重写 重载: - 方法名相同 - 参数不同(类型、个数、顺序) 重写: - 两同:方法名相同、参数列表
SpringSecurity封装自定义User类的一次实践
最新发布
Vetoy的博客
04-29 853
本文通过继承UserDetailsService接口并实现loadUserByUsername方法提供自定义登录授权。
vscodejava代码补全,看完豁然开朗
m0_56675448的博客
05-27 1249
前言 现在Java程序员面试都是因为没有丰富的工作经验和自己过硬的技术,所有都不知道一般互联网应该会问什么技术问题,加上自己可能去面试的时候没有准备的太充分,一面试刚跟面试官扯几个面试题就不知道自己在哪里了,被怼的体无完肤了,最后以灰头土脸的结束,所有针对这类的读者,我把几个群友大厂面试时候的经历和面试题整理出来,再次分享给广大的朋友们去参考,让你们更加的了解一线大厂都是问的什么问题。 如何使用Spring Boot构建微服务体系 通过本文内容的学习,你将循序渐进的学习到Spring Boot微框架的设计
阿里内部整理的Spring Security手册及源码笔记,真的香
知识分享官
09-27 563
种一棵树最好的时间是十年前,其次是现在很多程序员一开始在学习上找不到方向,但我想在渡过了一段时间的新手期之后这类问题大多都会变得不再那么明显,工作的方向也会逐渐变得清晰起来。大多数人每天能留给自己学习的时间有限,这个阶段如何提升学习效率就成了要解决的重点。说说自己提升学习效率的心得,其实非常简单:体系化的学习。我曾经很喜欢看一些博客或者是一些 “看起来” 比较通俗易懂的文章,每天在微博微信里刷到什么技术文章就 mark 下来,基本上几分钟就能读完。
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Java最新面试题汇总(附答案,Java学习视频百度云盘
m0_60732454的博客
08-09 520
if(“a”.equals(str[i]))count++; } System.out.println(count); ### 4、**Java设计模式思想(单列模式,工厂模式,策略模式,共23种设计模式)** a) 单例模式:单例模式核心只需要new一个实例对象的模式,比如数据库连接,在线人数等,一些网站上看到的在线人数统计就是通过单例模式实现的,把一个计时器存放在数据库或者内存中,当有人登陆的时候取出来加一再放回去,有人退出登陆的时候取出来减一再放回去,但是当有两个人同时登陆的时候
Spring 与 MVC 框架整合思路(1),马士兵架构师破解视频
m0_60732454的博客
08-08 362
视图解析(JSP、JSON、Freemarker、Thymeleaf) Spring 可以整合哪些 MVC 框架? struts1 webwork jsf struts2 springMVC 搭建 Web 运行环境 <dependencies> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-w.
Java程序员:,Java中级开发工程师面试
m0_60732454的博客
08-11 334
你的工资有多少? 在评论区打出来,统一都说月薪哈!能说年薪的,怕自己的小心脏扛不住。 程序员:给多少工资,干多少事 我们不是经常会看到一个关于西游记的“悖论”吗: 为什么孙悟空初期大闹天宫的时候那么厉害?因为他自己当老板,打一群天庭的打工仔。 为什么取经路上又变得不行了?作为一个打工仔,去跟一群出来自己创业的妖怪打架。 很多程序员想跟老板说,但又不太敢说,实际却在做的一件事。 事实却是: “拿着10K的工资,做着20K的事,还要操着30K的心!” 其实,这些情况都不奇怪,甚至是人之常情。 有多少能力
Java开发实战,Java数值型和字符串互转锦集【收藏备用
m0_60732454的博客
08-10 313
1、字符串转数值型 2、数值型转字符串 Hello!大家好,我是灰小猿,今天来和大家分享一下Java中常用的数值型和字符串数据的相互转换。 注意:字符型指的是char型,而string为字符串,两者是不同的,所以在这里是数值型和字符串之间的相互转换! 先将常用的数值型数据类型列出: 数据类型内存空间(8位等于1字节)取值范围byte8位-128~127short16位-32768~32767int32位-2147483648~2147483647long64位-9223372036854775808~92
springboot2,springcloud视频讲解
m0_60732454的博客
08-08 293
</ exclusions> < /dependency> < !-- activiti相关依赖–> < !-- xml解析依赖–> < dependency> < groupId>org.apache.xmlgraphics< /groupId> < artifactId>batik-codec< /artifactId> < version>1.7< /version> &
Java教程pdf百度云盘,资深程序员实践经验:大白话讲解
m0_60732454的博客
08-07 256
二、A全称Availability(可用性)每一个非故障节点,都能够对每一个请求做出响应。说白了就是某个节点坏了,不能影响其他的节点业务。 如:主mysql挂了,但他不影响从mysql节点对外提供服务,用户还是可以读取数据的,只是不能写而已。(小伙伴们就会问,那不能写了啊,还算可用性吗?这里的可用性的定义是非故障节点,对每个请求做出响应;有故障的不算) **三、P全称Partition tolerance(分区容错性)**当系统中有节点因网络原因无法通信时,系统依然可以继续运行。 可用性和容错性的区别
Java开发岗笔试题,为什么大公司一定要使用微服务?微服务杂谈
m0_60732454的博客
08-10 252
这几年在Java工程师招聘时,会看到很多人的简历都写着使用了Spring Cloud做微服务实现,使用Docker做自动化部署,并且也会把这些做为自己的亮点。而比较有趣的这其中以小公司出来的人为绝大多数,大的公司出来的人简历上倒是很少提这些东西。 对于我自己来说,从15年就开始关注这一块,看过马丁.福勒最开始的关于微服务的论文、也看过不少对微服务的论证的英文文章和书,也研究过Spring Cloud、Sofa等开源实现以及Service mesh。考虑到我们公司研发团队人力不足、基础设施不完善,当初是没有推
Java系统高并发的解决方案(1),Java程序员面试宝典答案
m0_60732454的博客
08-11 227
上面提供的几个解决思路在一定程度上也意味着更大的投入,并且这样的解决思路具备瓶颈,没有很好的扩展性,下面我从低成本、高性能和高扩张性的角度来说说我的一些经验。 1、HTML静态化 其实大家都知道,效率最高、消耗最小的就是纯静态化的html页面,所以我们尽可能使我们的网站上的页面采用静态页面来实现,这个最简单的方法其实也是最有效的方法。但是对于大量内容并且频繁更新的网站,我们无法全部手动去挨个实现,于是出现了我们常见的信息发布系统CMS,像我们常访问的各个门户站点的新闻频道,甚至他们的其他频道,都是通过信息发
spring-cloud-starter-security和spring-cloud-security的关系
05-31
`spring-cloud-starter-security` 和 `spring-cloud-security` 是 Spring Cloud 中用于实现安全认证和授权的两个模块,它们之间的关系如下: - `spring-cloud-starter-security` 是 Spring Cloud 中的一个 Starter ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值