SpringSecurity(前后端不分离)

已于 2024-01-25 14:13:50 修改
阅读量1k 收藏 17
点赞数 27
文章标签: spring
于 2024-01-25 14:04:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70819033/article/details/135843071
版权

SpringSecurity Oauth2(前后端不分离)

简介

Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。

​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。

​ 一般Web应用的需要进行认证授权

认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户

授权:经过认证后判断当前用户是否有权限进行某个操作

​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。

认证模式

实现Basic认证

Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)户名和密码到服务器进行认证,通过常需要配合HTTPS来保证传输的安全

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /*
    /新增Security账户 授权的账户
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //需要经过wzx
        auth.inMemoryAuthentication().withUser("wzx").password("456").authorities("/");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 1.token 2.form表单
        http.authorizeHttpRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();
    }

}

form 表单模式

From 表单模式 适合于传统模式项目 前端和后端都是我们Java开发人员自己实现。Vue+SpringBoot

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /*
    /新增Security账户 授权的账户
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //需要经过wzx
        auth.inMemoryAuthentication().withUser("admin").password("admin").authorities("/");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 1.token 2.form表单 设置为BasicHttp认证
        http.authorizeHttpRequests().antMatchers("/**").authenticated().and().formLogin();
    }

    @Bean
    public static NoOpPasswordEncoder passwordEncoder(){
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

}

配置权限策略

在企业管理系统平台中,会拆分成n多个不同的账号,每个账号对应不同的接口访问权限,

比如

账号admin所有接口都可以访问;

其他账号只能根据自己的权限进行访问;

//静态配置
@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /*
    /新增Security账户 授权的账户
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //需要经过wzx
        auth.inMemoryAuthentication().withUser("admin").password("admin").authorities("add");
        auth.inMemoryAuthentication().withUser("wzx").password("wzx").authorities("update");
        //对当前账户进行授权
    }


    //拦截
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 1.token 2.form表单
         //http.authorizeHttpRequests().antMatchers("/**").authenticated().and().formLogin();
        //.antMatchers("add")方法中设置接口名称 .hasAnyAuthority("add")方法中防止接口所对应的权限
        http.authorizeHttpRequests()
                .antMatchers("/user/add").hasAnyAuthority("add")
                .antMatchers("/user/delete").hasAnyAuthority("delete")
                .antMatchers("/user/show").hasAnyAuthority("show")
                .antMatchers("/user/update").hasAnyAuthority("update")
                .antMatchers("/**").authenticated().and().formLogin();
    }

    @Bean
    public static NoOpPasswordEncoder passwordEncoder(){
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

权限不足页面

统一返回异常类

/*
* 统一返回错误异常类
* */
@RestController
public class ErrorController {

    @RequestMapping("/error/403")
    public String error(){
        return "权限不足";
    }
}   
@Configuration
public class WebServerAutoConfig {

    @Bean
    public ConfigurableServletWebServerFactory webServerFactory() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        ErrorPage errorPage400 = new ErrorPage(HttpStatus.BAD_REQUEST, "/error/400");
        ErrorPage errorPage401 = new ErrorPage(HttpStatus.UNAUTHORIZED, "/error/401");
        ErrorPage errorPage403 = new ErrorPage(HttpStatus.FORBIDDEN, "/error/403");
        ErrorPage errorPage404 = new ErrorPage(HttpStatus.NOT_FOUND, "/error/404");
        ErrorPage errorPage415 = new ErrorPage(HttpStatus.UNSUPPORTED_MEDIA_TYPE, "/error/415");
        ErrorPage errorPage500 = new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error/500");
        factory.addErrorPages(errorPage400, errorPage401, errorPage403, errorPage404, errorPage415, errorPage500);
        return factory;
    }
}

自定义登录界面

   //拦截
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 1.token 2.form表单
         //http.authorizeHttpRequests().antMatchers("/**").authenticated().and().formLogin();
        //.antMatchers("add")方法中设置接口名称 .hasAnyAuthority("add")方法中防止接口所对应的权限
        http.authorizeHttpRequests()
                .antMatchers("/user/add").hasAnyAuthority("add")
                .antMatchers("/user/delete").hasAnyAuthority("delete")
                .antMatchers("/user/show").hasAnyAuthority("show")
                .antMatchers("/user/update").hasAnyAuthority("update")
                //可以允许login 登录界面不被拦截
                .antMatchers("/login.html").permitAll()
                //设置自定义登录页面
                .antMatchers("/**").authenticated().and().formLogin()
                .loginPage("/login.html") //自定义登录界面
                .loginProcessingUrl("/login") // 登录接口,与form表单提交链接对应
//                .defaultSuccessUrl("/index.html") //登录成功跳转的界面
                .and().csrf().disable();
    } 
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/login" method="post">
    <span>用户名称</span><input type="text" name="username"/> <br>
    <span>用户密码</span><input type="password" name="password"/> <br>
    <input type="submit" value="login">
</form>
</body>
</html>

动态整合RABC权限架构设计

它就是用db查询直接去数据库区查询所具备的所有权限规则和对用户进行授权

1.实现动态拦截

上面是所谓的静态权限拦截,那么动态拦截就是用db查询去数据库查询所有的权限和规则

//拦截
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 1.token 2.form表单       
        //动态拦截
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry
                authorizeHttpRequests = http.authorizeRequests();
        //查询数据库中所有的权限
        List<Perm> permList = permMapper.queryAllPerm();   
        permList.forEach( p -> {
            //动态将接口和所对应的规则匹配
            authorizeHttpRequests.antMatchers(p.permUrl).hasAnyAuthority(p.permDesc);
        });
        authorizeHttpRequests
                //可以允许login 登录界面不被拦截
                .antMatchers("/login.html").permitAll()
                .antMatchers("/test.do").permitAll()
                //设置自定义登录页面
                .antMatchers("/**").authenticated().and().formLogin()
                .loginPage("/login.html") //自定义登录界面
                .loginProcessingUrl("/login") // 登录接口,与form表单提交链接对应
                .defaultSuccessUrl("/index.html") //登录成功跳转的界面
                .and().csrf().disable();
    }

2.实现动态授权

首先实现动态授权要穿件一个MemberDetilsService实现UserDetilsService接口,其中loadUserByUsername() 方法是登录后加载该用户所具备的权限,用户实体类也必须要实现UserDetils 接口。

@Service
public class MembersDetailsService implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Autowired
    PermMapper permMapper;

    //登录加载user
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.在登录的时候 调用该方法 userName查询账户是否存在 在验证账户的密码
        User user = userMapper.queryByUserName(username);
        if (user == null) {
            return null;
        }
        //2.再根据账户的userID 关联查询 角色对应的权限 动态进行添加授权
        List<Perm> userPermList = permMapper.queryByUserName(username);
        //设置权限
        ArrayList<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        userPermList.forEach( item -> {
            grantedAuthorities.add(new SimpleGrantedAuthority(item.permDesc));
        });
        user.setAuthorities(grantedAuthorities);
        return user;
    }

}

用户实体类

@Data
@AllArgsConstructor
@NoArgsConstructor
//必须要实现UserDetails接口
public class User implements UserDetails {
    private Integer id; //用户id
    private String username;    //用户账号
    private String password;    //用户密码
    private List<Role> role;

    //用户所有的权限
    private List<GrantedAuthority> authorities = new ArrayList<>();

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }


}

然后去配置动态授权,其中要注意用加密工具对密码实现加解密

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //对当前账户进行授权
        auth.userDetailsService(membersDetailsService).passwordEncoder(new PasswordEncoder() {
            @Override
            public String encode(CharSequence rawPassword) {
                //使用Md5加密算法
                return MD5Util.convertMD5((String) rawPassword);
            }

            @Override
            public boolean matches(CharSequence rawPassword, String encodedPassword) {
                //使用MD5加密后 与数据库中的密码MD5 后验证
                String rawPass = MD5Util.convertMD5((String) rawPassword);
                boolean result = rawPass.equals(MD5Util.convertMD5(encodedPassword));
                return result;
            }
        });
    }

MD5加密工具

public class MD5Util {

    /**
     * 使用 MD5算法加密生成32位md5码
     * @param str
     * @return
     */
    public static String string2MD5(String str) {
        byte[] secretBytes = null;
        try {
            secretBytes = MessageDigest.getInstance("md5").digest(
                    str.getBytes());
        } catch (NoSuchAlgorithmException e) {
            throw new RuntimeException("没有md5这个算法!");
        }
        String md5code = new BigInteger(1, secretBytes).toString(16);// 16进制数字
        // 如果生成数字未满32位,需要前面补0
        for (int i = 0; i < 32 - md5code.length(); i++) {
            md5code = "0" + md5code;
        }
        return md5code;
    }

    /**
     *     可逆的加密解密算法,执行一次加密,两次解密
     * @param str
     * @return
     */
    public static String convertMD5(String str){

        char[] a = str.toCharArray();
        for (int i = 0; i < a.length; i++){
            a[i] = (char) (a[i] ^ 't');
        }
        String s = new String(a);
        return s;

    }

}

整合oauth2

什么是oauth2?

OAuth2.0是一个授权协议,他允许软件应用代表(而不是充当)资源拥有者去访问资源拥有者的资源。应用向资源拥有者请求授权,然后去的令牌(Token),并用他来访问资源,并且资源拥有者不用向应用提供用户名和密码等敏感数据。

OAUTH角色划分

  1. Resource Server:被授权访问的资源

  2. Authotization Server: OAUTH2认证授权中心

  3. Recource Owner:用户

  4. Client: 使用API的合作伙伴

Oauth应用场景

  1. 第三方联合登录 如QQ、微信

  2. 开放接口 蚂蚁金服、腾讯开放接口

多巴胺贩卖家
关注
  • 27
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
前后端分离项目
tianhuiman的博客
06-14 1万+
后端操作数据渲染网页 express 是nodejs核心框架。 express的功能介绍? 。express_generator自动构建开发工具 。express有一个本地端口localhost:3000静态网页 。联合前端网页的源代码,通过ejs模块可以实现前后端联合项目 。ejs可以识别HTML标签,还能解析js,运行在express上。 express的主要功能? 可以创建web服务器(l...
前后端项目分离(中-2)
qq_44811769的博客
02-25 1414
1.下载mongoose模块 2.在项目中创建数据库操作模块:sql(文件夹)/db.js(连接数据库) + pro.js(创建集合) + sql.js(数据库增删改查的封装) 3.创建集合之前,先设计集合结构(pro.js) 4.将集合模块暴露,准备实现数据的操作 在数据库操作的pro.js 引入数据库的连接模块 ,创建集合,集合中写入设计的模板,暴露模块 数据在路由文件pro.js中插入,所以刚刚数据库操作模块都要引入,我做的是商品插入,所以每一个要有唯一的id与之对应,我这里用了下载了node-uu
前后端分离前后端分离的Java Web开发对比介绍
最新发布
qq_52010229的博客
06-07 2050
无论是前后端分离还是前后端分离,最终目标都是提供高效、可靠的Web服务。前后端分离架构使得开发更灵活,前后端团队可以独立工作,提升开发效率和代码维护性。通过示例代码和详细解释,希望能帮助你更好地理解这两种架构模式及其实现方式。如果你有更多的问题或需要更详细的讲解,欢迎留言讨论!
前后端分离springsecurity登录认证功能
qq_45937537的博客
06-23 549
前后端分离springsecurity登录认证功能实现
springboot整合springSecurity(前后端分离版本)
qq_35771266的博客
07-23 2263
1.在SecurityConfig配置类增加登陆及跳转配置@Override//登陆配置//登陆页面的路由//登陆表单提交对应的方法//表单用户名对应方法,如果不进行自定义就是默认username//表单密码对应方法,如果不进行自定义就是默认password,其实这里不配置也行,因为默认就是password//登陆成功后跳转页面//登陆失败后跳转页面,这里失败后继续跳转到登陆页面/**2.启动测试输入路径进行访问,可以看到已经跳转到我们自己定义的登陆页面。接下来我们可以进行登陆测试。...
【JAVA企业级开发】教你如何快速的将前后端分离以及难以处理的老旧SSM-War项目Spring+Mybits+SpringMVC+JSP)改造成便于操作的SpringBoot-Jar项目
liuchunhang的博客
07-13 1183
Java项目图书管理系统(前后端分离 web入门).zip
03-04
Web开发基础,tomcat、servlet、JSP、session、cookie、el、jstl、filter、ajax、json、jdbc、c3p0、DButils等。 这是没有进行前后端分离项目(高耦合),用于了解java web开发的发展。
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
springbootspringsecurity前后端分离(一个小demo)
08-21
总的来说,这个小demo展示了如何在Spring Boot和Spring Security的环境中实现前后端分离的安全控制,其中后端负责验证用户身份和授权,前端则根据后端的反馈来决定用户界面的行为。这样的设计模式在现代Web开发中...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
基于JAVA中springboot的前后端分离的ERP进销存系统(可运行)
04-10
基于springboot的前后端分离的ERP系统(可运行),JAVA学习可用于自己学习和毕业设计参考的做erp的进销存系统,如果有什么不懂的可以联系博主
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
前后端分不分离
可问春风的博客
11-11 4290
前后端分离的优缺点
项目搭建:前后端分离式开发
chuoebang4888的博客
02-27 3894
怎么一点点搭建的具体的细节没有办法写出来,前端部分尽可能写多一点,后端的不太懂,先大概写个项目的模型吧: bin目录,说实话不大懂干嘛的 com目录,说实话也不大懂 config目录 日志目录?。。。 doc目录 markdown目录,这个我知道 lib目录 不知道。 log目...
怎样用idea写一个前后端分离项目前端用vue后端用springboot写,然后怎么部署具体一些
qq_33192454的博客
10-12 2168
Spring Boot的配置中,通常不需要额外配置,因为Spring Boot会自动处理静态资源。这些步骤应该能帮助你将前后端分离的Vue.js和Spring Boot项目开发和部署起来。将Vue.js项目打包生成静态文件,并将这些静态文件复制到Spring Boot项目的静态资源目录(例如。创建一个Dockerfile,在其中配置Spring Boot项目的Docker镜像。在浏览器中输入项目的URL,即可访问前后端分离项目。在IDEA中创建一个新的Spring Boot项目
前后端分离登录中的springsecurity与不分离的异同
qq_34136709的博客
04-24 757
前后端分离登录中的springsecurity与不分离的异同 问题:认证这一块到底是使用传统的 session 还是使用像 JWT 这样的 token 来解决呢? 传统的通过 session 来记录用户认证信息的方式我们可以理解为这是一种有状态登录,而 JWT 则代表了一种无状态登录。 1.有状态 有状态服务,即服务端需要记录每次会话的客户端信息,从而识别客户端身份,根据用户身份进行请求的处理,典...
Vue前后台分离项目和前后台不分离项目有什么区别,分别有什么好处
大连赵哥的博客
03-02 871
Vue前后台分离项目和前后台不分离项目有什么区别,分别有什么好处
如何 启动一个前后端分离项目-入门级
热门推荐
Lily_lisa的博客
12-13 1万+
新手如何启动一个前后端分离项目 往这看了!!!
springSecurity前后端分离返回登录失败信息
03-02
对于这个问题,我可以回答。当Spring Security和前端未分离时,可以通过在后端代码中使用`AuthenticationFailureHandler`来返回登录失败信息。在`AuthenticationFailureHandler`中,可以自定义登录失败时的响应内容,包括响应状态码、响应头和响应体等。例如,可以设置响应状态码为401,响应头为Content-Type: application/json;charset=UTF-8,响应体为一个JSON对象,其中包含登录失败的错误信息。在前端中,可以通过捕获HTTP响应中的状态码和响应体,来判断登录是否成功,并根据返回的错误信息提示用户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值