学习java认证授权之SpringSecurity&&Shiro02

最新推荐文章于 2024-02-21 11:03:44 发布
最新推荐文章于 2024-02-21 11:03:44 发布
阅读量305 收藏
点赞数
文章标签: java 学习 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62472302/article/details/130617789
版权

一Spring Security介绍

       安全方面的两个核心功能是认证和授权,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,

二 和Shiro比较

SpringSecurity 特点:

  • 和 Spring 无缝整合。
  • 专门为 Web 开发而设计。
  • 重量级
  • 能整合分布式

Shiro特点

  • 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求
  • 不能和分布式使用,简单的什么不分离,有这个就够了
  • Subject、SecurityManager 和 Realms.
  • Apache 旗下的轻量级权限控制框架。

共同点

  • 认证功能
  • 授权功能
  • 加密功能
  • 会话管理
  • 缓存支持
  • rememberMe功能

三 内部组织和流程

        别人画好的直接拿来用

在这里插入图片描述

 四 参观一下若依

 /**
     * 登录验证
     * 
     * @param username 用户名
     * @param password 密码
     * @param code 验证码
     * @param uuid 唯一标识
     * @return 结果
     */
    public String login(String username, String password, String code, String uuid){
        // 验证码校验
        validateCaptcha(username, code, uuid);
        // 登录前置校验 主要是参数和登录ip的检验
        loginPreCheck(username, password);
        // 用户验证
        Authentication authentication = null;
        try{
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password);
            AuthenticationContextHolder.setContext(authenticationToken);
            // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername
            authentication = authenticationManager.authenticate(authenticationToken);
        }
        catch (Exception e){
            if (e instanceof BadCredentialsException){
                    AsyncManager.me().execute(AsyncFactory.recordLogininfor(username,Constants.LOGIN_FAIL, MessageUtils.message("user.password.not.match")));
                throw new UserPasswordNotMatchException();
            }else{
                AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL, e.getMessage()));
                throw new ServiceException(e.getMessage());
            }
        }
        finally{
            AuthenticationContextHolder.clearContext();
        }
        AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_SUCCESS, MessageUtils.message("user.login.success")));
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        recordLoginInfo(loginUser.getUserId());
        // 生成token
        return tokenService.createToken(loginUser);
    }

 AuthenticationContextHolder 是一个ThreadLocal的工具类 用作存储用户信息的

AsyncManager是一个异步处理国际化和日志的工具类

AuthenticationManager的校验逻辑,逻辑在UserDetialsService接口处理,该接口只有一个方法loadUserByUsername(String username),通过用户名查询用户对象,默认实现是在内存中查询。

 

package com.ruoyi.framework.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.logout.LogoutFilter;
import org.springframework.web.filter.CorsFilter;
import com.ruoyi.framework.config.properties.PermitAllUrlProperties;
import com.ruoyi.framework.security.filter.JwtAuthenticationTokenFilter;
import com.ruoyi.framework.security.handle.AuthenticationEntryPointImpl;
import com.ruoyi.framework.security.handle.LogoutSuccessHandlerImpl;

/**
 * spring security配置
 * 
 * @author ruoyi
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;
    
    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    @Autowired
    private JwtAuthenticationTokenFilter authenticationTokenFilter;
    
    /**
     * 跨域过滤器
     */
    @Autowired
    private CorsFilter corsFilter;

    /**
     * 允许匿名访问的地址
     */
    @Autowired
    private PermitAllUrlProperties permitAllUrl;

    /**
     * 解决 无法直接注入 AuthenticationManager
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception
    {
        return super.authenticationManagerBean();
    }

    /**
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception
    {
        // 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 禁用HTTP响应标头
                .headers().cacheControl().disable().and()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/register", "/captchaImage").permitAll()
                // 静态资源,可匿名访问
                .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
                .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
                //跨越
                //and().cors().configurationSource(corsConfigurationSource());

        // 添加Logout filter
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    /**
     * 定义编码器
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder()
    {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}

 

 */
@Service
public class UserDetailsServiceImpl implements UserDetailsService
{
    private static final Logger log = LoggerFactory.getLogger(UserDetailsServiceImpl.class);

    @Autowired
    private ISysUserService userService;
    
    @Autowired
    private SysPasswordService passwordService;

    @Autowired
    private SysPermissionService permissionService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException
    {
        SysUser user = userService.selectUserByUserName(username);
        if (StringUtils.isNull(user))
        {
            log.info("登录用户:{} 不存在.", username);
            throw new ServiceException("登录用户:" + username + " 不存在");
        }
        else if (UserStatus.DELETED.getCode().equals(user.getDelFlag()))
        {
            log.info("登录用户:{} 已被删除.", username);
            throw new ServiceException("对不起,您的账号:" + username + " 已被删除");
        }
        else if (UserStatus.DISABLE.getCode().equals(user.getStatus()))
        {
            log.info("登录用户:{} 已被停用.", username);
            throw new ServiceException("对不起,您的账号:" + username + " 已停用");
        }

        passwordService.validate(user);

        return createLoginUser(user);
    }

    public UserDetails createLoginUser(SysUser user)
    {
        return new LoginUser(user.getUserId(), user.getDeptId(), user, permissionService.getMenuPermission(user));
    }
}

走在学java的路上
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
认证鉴权之Spring Security与Shiro
lonely_baby的博客
02-23 276
Spring Security 是一个基于 Spring 框架的安全框架,它提供了全面的安全性支持,包括身份认证授权、攻击防范和安全通信等功能。强大的身份认证授权功能:Spring Security 提供了灵活的身份认证授权机制,支持多种身份认证方式和授权策略,可以根据应用程序的需求进行定制。可扩展性和灵活性:Spring Security 提供了许多可扩展的 API 和插件,可以方便地对其进行定制和扩展,以适应应用程序的需求。它还支持密码加密和解密的支持,可以保护用户密码的安全性。
Spring Security 和Apache Shiro你需要具备哪些条件
08-18
Spring Security 和 Apache Shiro 都是java web 领域中非常优秀的安全框架,但是它们有所不同。学习这两种框架需要具备一些条件,包括了解认证和鉴权的概念、过滤器链的使用、RBAC 模型、OAuth2.0 等安全协议等。 ...
spring security和shiro 认证授权过程
lizzehqs的博客
07-01 487
两种权限认证框架的工作原理 spring security和shiro 认证授权过程
Spring Boot集成Spring Security或Shiro实现用户登录认证授权,thymeleaf与之整合。
weixin_43853097的博客
06-29 497
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证:指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。(登录) 用户授权:指的是该登录用户是否有执行某个操作的权限。(用户与管理员,游客与商家) 集成SpringSecurity 在项目导入Spring Security的依赖。 <dependency> <groupId>org.springframework.bo.
Spring Security 认证授权(一)
12-13 1341
Spring Security
java security 详解_Java-Security(四):用户认证流程源码分析
weixin_42407606的博客
02-16 1004
让我们带着以下3个问题来阅读本篇文章:1)在Spring Security项目中用户认证过程中是如何执行的呢?2)认证认证结果如何实现多个请求之间共享?3)如何获取认证信息?在《Java-Security(二):如何初始化springSecurityFilterChain(FilterChainProxy)》中可以发现SpringSecurity的核心就是一系列过滤链,当一个请求进入时,首先会被...
Spring Security和Shiro的相同点与不同点整理
08-25
Spring Security和Apache Shiro都是Java领域中广泛使用的安全框架,它们为应用程序提供了强大的身份验证、授权和会话管理功能。虽然两者在很多方面有相似之处,但也有各自的特点和适用场景。 **相同点:** 1. **...
Shiro+Spring Security学习文档
07-23
在IT安全领域,Apache Shiro和Spring Security是两个非常重要的框架,它们主要用于应用程序的安全管理,包括身份验证、授权、会话管理和加密等。本学习文档集合了这两个框架的相关知识,旨在帮助开发者深入理解和...
springsecurity,shiro
05-27
Spring Security和Apache Shiro都是Java领域内的主流安全框架,它们提供了一整套解决方案来保护应用程序免受未经授权的访问和攻击。让我们详细探讨这两个框架的核心概念、功能以及它们如何帮助开发者实现安全性。 ...
spring boot+shiro 权限认证管理案例
12-20
2. `SecurityConfig.java`:Spring Boot 配置类,用于配置 Shiro 过滤器、Realm 等。 3. `UserRealm.java`:自定义 Realm 类,实现了认证授权逻辑。 4. `shiro.ini` 或 `shiro.yml`:Shiro 的配置文件,定义了过滤...
spring boot+shiro+mybatis+pagehelper+mapper+jwt,swagger2前后端分离restful框架
01-06
前后端分离之后台架构,供各位参考学习 采用技术: Spring boot shiro权限管理 Ehcache缓存框架,可以改成redis Mybatis+PageHelper+通用mapper JWT前后端token验证 Swagger2 api生成工具 已经实现了用户、权限、组织等代码的实现
猿创征文|Java中的权限认证如何理解
浅羽技术
08-27 712
认证: 就是对系统访问者的身份进行确认。用户名密码登录、 二维码登录、手机短信登录、指纹、刷脸。。。授权:就是对系统访问者的行为进行控制。授权通常是在认证之后,对系统内的用户隐私数据进行保护。后台接口访问权限、前台控件的访问权限。RBAC模型: 主体 -》 角色 -》 资源 -》访问系统的行为。认证授权也是对一个权限认证框架进行扩展的两个主要的方面。CSRF: Cross Site Requst Forgery 跨站请求伪造。...
登录认证过程的解读
qq_56823707的博客
03-06 927
登录认证过程的解读
从零搭建若依(Ruoyi-Vue)管理系统(11)--整合Spring Security
Gang-bb的博客
05-25 3075
文章目录1.添加依赖2. 添加用户信息3. 配置Spring Security4. 需要添加的功能类5. 配置代码6. 测试一些功能 本章先按照若依中源码实现的配置和功能进行搭建,后续会有一些改变 本章结束后对应的节选代码文件:Gangbb-Vue-11-SpringSecurity https://github.com/Gang-bb/Study-Record/tree/main/Gangbb-Vue 历史遗留TODO: 第四章 登录日志还未实现。(到登录和权限模块完成) LogAspect从缓存
RuoYi-Vue Spring Security 配置介绍
Gblfy_Blog
07-31 945
Spring Security
若依项目如何实现一个账户只能一个人登录(即,限制账户不允许多终端登录)
weixin_46119090的博客
03-25 4107
1、application.yml新增一个配置soloLogin用于限制多终端同时登录。 2、Constants.java新增一个常量LOGIN_USERID_KEY公用。 3、调整TokenService.java,存储&刷新缓存用户编号信息。 4、自定义退出处理类LogoutSuccessHandlerImpl.java清除缓存方法添加用户编号。 5、登录方法SysLoginService.java,验证如果用户不允许多终端同时登录,清除缓存信息。
实现自定义注解的接口匿名访问
最新发布
weixin_44512485的博客
02-21 368
对于每个找到的匿名访问注解,将该处理器方法对应的请求路径进行处理,将路径中的占位符(如{id})替换为通配符(*),然后添加到urls列表中。上述代码片段表示/api/users/** 和 /api/users/{id} 这两个路径都将允许匿名访问。Bean,它包含了所有带有@RequestMapping注解的处理器方法及其映射路径。这样,开发者可以通过在Controller类或Controller方法上标注。注解,轻松地控制哪些URL可以被匿名用户访问。遍历这些处理器方法,查找类或方法上边标注了。
服务内部调用api鉴权忽略token(动态放权)
雷哥架构同学会
08-29 1679
微服务服务内部相互调用开放接口配置,可配置接口是否开放是否内部访问或外部访问。便于对接口开发进行动态控制,添加注解即可。
报错:Error creating bean with name ‘requestMappingHandlerMapping‘ defined in class path resource解决方法
SSHLY3的博客
07-21 3902
异常时,一般是出现在项目生成代码后重新启动,由于有表名类似的情况,所以对应的表在生成控制器后,请求路径有可能会完全一样,这样就导致了发生此类异常的情况。里面有完全一样的请求路径,从而导致了以上层层异常,所以,直接去对应的控制器修改一下最上面的总路径即可。其实报错信息继续往下看,就可以看到在控制台在报告,说。当项目启动报错信息首先出现这。
Spring Security入门:身份认证授权与实战教程
Spring Security是Spring框架下的身份认证授权解决方案,利用Servlet过滤器、依赖注入(DI)和面向切面编程(AOP)技术,确保Web应用的安全性。课程首先介绍了Spring Security的基本概念,包括身份认证和用户授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值