Spring Security

最新推荐文章于 2024-10-04 22:00:00 发布
最新推荐文章于 2024-10-04 22:00:00 发布
阅读量363 收藏 10
点赞数 10
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65221362/article/details/134959413
版权

无聊复习了一下Spring Security

自己想法,大部分人都不会点退出登录,这是旧token还在,会不会存在安全隐患,然后一般账号可以多个人登录,两个人·的·话那么其中一个退出的话另一个也被迫了,我觉得用uuid好一点

首先Login类要继承框架的接口,要实现如下,权限方法重写是把数据库中查询的权限返回给框架 

@Data
@AllArgsConstructor
@NoArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    //有他就可以,权限
    private List<String> permissions;

    public LoginUser(User user, List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }
    public LoginUser(User user){
        this.user=user;
    }
    //权限,不会序列化到redis,弄这个就可以permissions,不然会报错
    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;
    //权限方法重写
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
//        List<GrantedAuthority> newList=new ArrayList<>();
//        for (String permission : permissions) {
//            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permission);
//            newList.add(authority);
//        }
        if(authorities!=null){
            return authorities;
        }
        //把permissions权限信息转换存入
        authorities = permissions.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

继承UserDetailsService ,重写方法,返回LoginUser对象,权限也是这里添加 


/**
 * @Author 菠萝哥
 **/
@Service
public class UserDetailserviceImpl implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(User::getUserName,username);
        User user = userMapper.selectOne(queryWrapper);
        if (Objects.isNull(user)){
            throw new RuntimeException("用户名密码错误");
        }
        //TODO 获取权限信息
        List<String> list=new ArrayList<>(Arrays.asList("test","admin"));


        return new LoginUser(user,list);
    }

controller层,


/**
 * @Author 菠萝哥
 **/
@RestController
public class LoginController {

   @Autowired
   private LoginService loginService;

    @PostMapping("/user/login")
    public ResponseResult login(@RequestBody User user){
        //登录
       return loginService.login(user);

    }
    @GetMapping("/user/logout")
    public ResponseResult logout(){
      return loginService.logout();
    }
}

serviceimpl,这里首先要去config类里面定义 

AuthenticationManageji然后将前端穿过来的username,password穿进去,框架会调用UserDetailsServiceimpl方法,返回loginUser对象,这里面包含了用户信息和权限,框架会自己判断密码什么的,从authrnticate里面取出loginUser对象,封装信息返回给前端,基础功能已经完成了
 

/**
 * @Author 菠萝哥
 **/
@Service
public class LoginServiceImpl implements LoginService {

    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private RedisCache redisCache;
    @Override
    public ResponseResult login(User user) {
        //进行认证
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);
        //如果认证不通过,
        if(Objects.isNull(authenticate)) {
            throw new RuntimeException("登录失白");
        }
        //通过,生成jwt
        LoginUser loginUser =(LoginUser) authenticate.getPrincipal();
        String userId = loginUser.getUser().getId().toString();
        String jwt = JwtUtil.createJWT(userId);
        //把完整的用户消息存入redis
        HashMap<String, String> map = new HashMap<>();
        redisCache.setCacheObject("login:"+userId,loginUser);
        map.put("token",jwt);
        LoginUser object =(LoginUser) redisCache.getCacheObject("login:" + userId);
        System.out.println(object);
        return new ResponseResult(200,"登录成功",map);
    }

    @Override
    public ResponseResult logout() {
        //获取用户信息
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser =(LoginUser) authentication.getPrincipal();
        Long userid = loginUser.getUser().getId();
        //删除redis的值
        redisCache.deleteObject("login:"+userid);
        return new ResponseResult(200,"退出成功");
    }
}
 

 异常处理,这个是密码相关的错误,
 


/**
 * @Author 菠萝哥
 **/
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        //处理异常
        ResponseResult result = new ResponseResult<>(401,"用户密码错误,请重新登录");
        String jsonString = JSON.toJSONString(result);
        WebUtils.renderString(response,jsonString);
    }
}
 

权限错误异常
 


/**
 * @Author 菠萝哥
 **/
@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
        //处理异常
        ResponseResult result = new ResponseResult<>(401,"授权失败,权限不足");
        String jsonString = JSON.toJSONString(result);
        WebUtils.renderString(response,jsonString);

    }
}
 

过滤器,
 


/**
 * @Author 菠萝哥
 **/
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private RedisCache redisCache;
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = request.getHeader("token");
        //空为false
        if (!StringUtils.hasText(token)) {
            //放行
            filterChain.doFilter(request, response);
            return;
        }
        //解析token
        String userId;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userId = claims.getSubject();
        } catch (Exception e) {
            throw new RuntimeException("token非法");
        }
        //凑redis获取用户信息
        String redisKey = "login:" + userId;
        LoginUser loginUser =(LoginUser) redisCache.getCacheObject(redisKey);
        //为null
        if (Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录");
        }
        //存入SecurityContextHolder
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken=new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        filterChain.doFilter(request,response);

    }
}

 

权限判断
 


/**
 * @Author 菠萝哥
 **/
@RestController
public class helloController {

    @GetMapping("/hello")
    //@PreAuthorize("hasAuthority('test')")
    @PreAuthorize("@qx.hasAuthority('system:dept:list')")
    public String hello(){
        return "hello";
    }
}

 

 
 

 
 


/**
 * @Author 菠萝哥
 **/
@Component("qx")
public class ExpressionRoot {

    public boolean hasAuthority(String authority){
        //获取用户权限
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        List<String> permissions = loginUser.getPermissions();
        //判断用户权限集合是否存在authority
        return permissions.contains(authority);
    }
}

 

 配置类
 


/**
 * @Author 菠萝哥
 **/
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)//开启权限校验
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //创建注入容器
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问
                .antMatchers("/user/login").anonymous()
               //必须具有这个权限才能访问
                .antMatchers("/testCors").hasAuthority("system:dept:list222")
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        //配置异常处理器
        http.exceptionHandling()
                //配置认证失败处理器
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);

        //允许跨域
        http.cors();
    }
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;

    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

}

 

 
 


                

        

        

    

  


    

      

        

            

              
                
                  猴子的救兵啊
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
spring security原理和机制 | Spring Boot 35

				
			

			

				

					学Java,找哪吒
				

				

					06-25
					
					5万+
					
				

			

		

		

			
				
一、SpringSecurity 框架简介

Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的
成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方
案。
正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控
制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权
(Authorization)两个部分,这两点也是 Spring

			
		

	



                

              
                



	

		

			

				
					
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)

				
			

			

				

					gmHappy
				

				

					11-01
					
					2万+
					
				

			

		

		

			
				
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。

			
		

	



                


  
              

                


	

		

			

				
					
SpringSecurity

				
			

			

				

					Java 技术专栏,从入门到精通,熟悉企业级开发
				

				

					04-20
					
					1万+
					
				

			

		

		

			
				
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。

			
		

	





	

		

			

				
					
springcloud集成Spring Security

				
			

			

				

					youxmm的博客
				

				

					07-21
					
					2526
					
				

			

		

		

			
				
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。

			
		

	



		

			
		



	

		

			

				
					
SpringSecurity认证

				
			

			

				

					小钟不想敲代码
				

				

					05-28
					
					5289
					
				

			

		

		

			
				
SpringSecurity认证

			
		

	





	

		

			

				
					
SpringSecurity自定义登录界面

				
			

			

				

					weixin_43472934的博客
				

				

					04-18
					
					6774
					
				

			

		

		

			
				
为什么需要自定义登录界面?
答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。
第一步:创建springboot项目
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht

			
		

	





	

		

			

				
					
SpringBoot整合SpringSecurity(通俗易懂)

				
			

			

				

					BookSea的博客
				

				

					10-24
					
					4万+
					
				

			

		

		

			
				
先看后赞,养成习惯。
点赞收藏,人生辉煌

基于数据库的身份认证
一、创建项目
创建一个 SpringBoot 模块项目,选择相关依赖:

先搭建项目正常访问,在pom.xml中,先把Spring Security依赖注释
<!--<dependency>-->
    <!--<groupId>org.springframework.boot</groupId>-->
    <!--<artifactId>spring-bo.

			
		

	





	

		

			

				
					
Spring Security 6.x 系列(1)—— 初识Spring Security

				
			

			

				

					gmHappy
				

				

					10-05
					
					2万+
					
				

			

		

		

			
				
`Spring Security`作为一个功能完善的安全框架,具有以下特性:
- **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。
- **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。

			
		

	





	

		

			

				
					
spring security CSRF防护

					
热门推荐

				
			

			

				

					yjclsx的博客
				

				

					07-31
					
					45万+
					
				

			

		

		

			
				
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 
从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 
我这边是spring boot项目,在启用了@EnableWebSecurity...

			
		

	





	

		

			

				
					
最详细Spring Security学习资料(源码)

				
			

			

				

					11-16
				

			

		

		

			
				
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...

			
		

	





	

		

			

				
					
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权

				
			

			

				

					02-24
				

			

		

		

			
				
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...

			
		

	





	

		

			

				
					
Spring Security in Action

				
			

			

				

					11-22
				

			

		

		

			
				
Spring Security 实践指南  Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点:  一、身份验证(Authentication)  身份验证是指对用户...

			
		

	





	

		

			

				
					
springsecurity学习笔记

				
			

			

				

					12-13
				

			

		

		

			
				
在"springsecurity学习笔记"中,你可能会涉及以下主题:  - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...

			
		

	





	

		

			

				
					
SpringSecurity笔记,编程不良人笔记

				
			

			

				

					10-28
				

			

		

		

			
				
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...

			
		

	





	

		

			

				
					
毕业设计_基于springboot+layui+mybatisPlus的中小型仓库物流管理系统源码+SQL+教程+可运行】41004

					
最新发布

				
			

			

				

					pingguocu3的博客
				

				

					10-04
					
					752
					
				

			

		

		

			
				
毕业设计--课程设计--springboot--java
登录管理员账号:system  密码:123456 验证码输入:注意验证码字母要大写。启动项目后运行http://locahost:8080跳转到登录界面即可。后端springboot、mybatis-plus、shiro。application.yml文件中的数据库连接信息。运行sql目录下的warehouse.sql文件。1.基础管理:商品管理、客户管理、供应商管理;2.物流管理:进货管理、发货管理、交付管理...

			
		

	





	

		

			

				
					
springboot+neo4j demo

				
			

			

				

					极客栈
				

				

					09-27
					
					671
					
				

			

		

		

			
				
这个简单的示例展示了如何在Spring Boot应用中集成Neo4j,包括创建节点实体、使用Neo4j仓库接口以及创建一个简单的REST控制器。这个示例可以作为开发者学习和实践Spring Boot与Neo4j集成的起点。以下是一个简单的Spring Boot与Neo4j集成的示例代码。

			
		

	





	

		

			

				
					
SpringBoot--为什么Controller是串行的?怎样才能并行?

				
			

			

				

					IT利刃出鞘的博客
				

				

					09-29
					
					693
					
				

			

		

		

			
				
本文介绍SpringBoot为什么Controller是串行的?在什么场景下才能并行执行?

			
		

	





	

		

			

				
					
基于SpringBoot原创歌曲分享平台设计与实现

				
			

			

				

					zhshx19900318的博客
				

				

					09-29
					
					861
					
				

			

		

		

			
				
在这样的背景下人类社会进入了全新的信息化的时代。在音乐分享管理页面中可以查看索引,音乐分类,音乐名称,音乐视频,区域,视频封面,发布时间,歌词,用户账号,用户姓名等内容,并进行详情,修改,查看评论和删除操作;在举报管理页面中可以查看索引,音乐名称,发布时间,用户账号,用户姓名,举报原因,审核回复,审核状态,审核等内容,并进行详情,修改,删除操作;

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
猴子的救兵啊

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值