Security之SpringBoot集成Security

已于 2023-09-03 08:40:10 修改
阅读量253 收藏
点赞数
分类专栏: java 文章标签: spring boot 后端 java web安全
于 2023-03-26 14:53:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71171865/article/details/129777923
版权

        Spring Security是一个安全框架,底层是通过一系列的过滤器链(filter)实现的,如下图。使用时通过一些配置即可实现用户的身份认证及资源的安全访问。框架提供了一系列的接口可以实现自定义的安全控制和访问拦截。

        配置类预览

Spring Security的配置及一些自定义实现

1、 Security配置类(核心)

        相关说明请看注释

package com.homemaking.config;

import com.homemaking.filter.MyAuthenticationFilter;
import com.homemaking.filter.MyUsernamePasswordAuthenticationFilter;
import com.homemaking.handler.MyAccessDeniedHandler;
import com.homemaking.handler.MyAuthenticationEntryPoint;
import com.homemaking.handler.MyAuthenticationFailureHandler;
import com.homemaking.handler.MyAuthenticationSuccessHandler;
import com.homemaking.myUserDetailsService.MyUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;


@Configuration
@EnableWebSecurity
public class SecurityConfigs extends WebSecurityConfigurerAdapter {

    // 密码加密算法
    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Autowired
    private MyUserDetailsService myUserDetailsService;

    @Autowired
    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Autowired
    private MyAuthenticationFailureHandler myAuthenticationFailureHandler;

    @Autowired
    private MyAuthenticationEntryPoint myAuthenticationEntryPoint;

    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;

    @Autowired
    private AuthenticationManager authenticationManager;


    // 密码加密算法,使用框架提供的即可,也可自定义实现
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //认证管理器
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        // 使用框架提供的即可,也可以自己实现
        return super.authenticationManagerBean();
    }

    // 登录认证核心配置,允许基于选择匹配在资源级配置基于网络的安全性。
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // CORS(Cross Origin Resource Sharing)跨域资源分享 是一种机制,通过在HTTP响应头中加入特定字段限制不同域的资源请求
        // CSRF(Cross Site Request Forgery)跨站请求伪造 是一种web攻击手段,通过向服务器发送伪造请求,进行恶意行为的攻击手段
        // 这里允许跨域访问,以及禁用csrf方式,因为要使用jwt方式
        http.csrf().disable()
                // 禁用session
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
//                 此处是开启表单验证,使用自定义的密码验证器,则这里不需要配置,需要单独设置
//                .formLogin()
//                .loginPage("/login").permitAll() // 登录页面,因为此时还未登录所以需要permitAll放行
//                .failureUrl("/login/fail")// 用户密码错误跳转接口
//                .defaultSuccessUrl("/login/success",true)// 登录成功跳转接口,true:是指登录成功后,始终跳转到登录成功url
//                .loginProcessingUrl("/login/transfer") // 登录页面的表单提交到的URL地址,post登录接口,登录验证由系统实现
//                .usernameParameter("username")   //要认证的用户参数名,默认username
//                .passwordParameter("password")   //要认证的密码参数名,默认password
//                 认证成功走的方法,在这里返回token
//                .successHandler(myAuthenticationSuccessHandler)
//                 认证失败走的方法,直接返回报错
//                .failureHandler(myAuthenticationFailureHandler)
//                .and()
//                .logout()//配置注销
//                .logoutUrl("/logout")//注销接口
//                .logoutSuccessUrl("/login/logout").permitAll()//注销成功跳转接口
//                .deleteCookies("myCookie") //删除自定义的cookie
//                .and()
                // 在这里写授权逻辑
                .authorizeRequests()
                .antMatchers("/login").permitAll() // login是登录接口,直接放行
                .antMatchers("/a").access("hasAnyAuthority('a')")
                .anyRequest().authenticated(); // 任何请求都需要授权,注意顺序 从上至下
        // 添加token认证过滤器
        http.addFilterBefore(new MyAuthenticationFilter(authenticationManager), UsernamePasswordAuthenticationFilter.class);
        // 自定义密码登录过滤器(包含生成jwt token)
        http.addFilterAt(myUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
        // 未授权、未登录回调函数,因为和登录无关,所以需要配置在此
        http.exceptionHandling()
                // 未登录
                .accessDeniedHandler(myAccessDeniedHandler)
                // 未授权
                .authenticationEntryPoint(myAuthenticationEntryPoint);
    }

    // 账号密码验证过滤器配置
    @Bean
    public MyUsernamePasswordAuthenticationFilter myUsernamePasswordAuthenticationFilter() {
        // 设置自定义过滤器的参数,不设置无法正常返回
        MyUsernamePasswordAuthenticationFilter filter = new MyUsernamePasswordAuthenticationFilter("/login", HttpMethod.POST);
        // 认证管理器
        filter.setAuthenticationManager(authenticationManager);
        // 账号密码认证成功处理器
        filter.setAuthenticationSuccessHandler(myAuthenticationSuccessHandler);
        // 账号密码认证失败处理器
        filter.setAuthenticationFailureHandler(myAuthenticationFailureHandler);
        return filter;
    }

    // AuthenticationManagerBuilder用来配置全局的认证相关的信息,其实就是AuthenticationProvider和UserDetailsService,
    // 前者是认证服务提供商,后者是用户详情查询服务。用于通过允许AuthenticationProvider容易地添加来建立认证机制。
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 自定义获取用户详情接口实现,可以从数据库获取,对密码进行加密,也可已使用内存手动写死账号密码然后进行测试
        // myUserDetailsService是用户详情接口
        auth.userDetailsService(myUserDetailsService).passwordEncoder(bCryptPasswordEncoder);
        // 使用内存
//        auth.inMemoryAuthentication()
//                .withUser("user")         // 账号
//                .password("password")     // 密码
//                .roles("USER")            // 权限
//                .and()
//                .withUser("admin")        // 账号
//                .password("password")     // 密码
//                .roles("ADMIN", "USER");  // 权限
    }

    // 全局请求忽略规则配置(比如说静态文件,比如说注册页面)、全局HttpFirewall配置、是否debug配置、
    // 全局SecurityFilterChain配置、privilegeEvaluator、expressionHandler、securityInterceptor通过实现自定义防火墙定义拒绝请求等的配置设置。
    //一般用于配置全局的某些通用事物,例如静态资源等
    @Override
    public void configure(WebSecurity web) throws Exception {
        // 放行路径(静态资源css、图片等)
        web.ignoring().antMatchers();
    }
}

2、自定义token验证过滤器

        此处的过滤器可以继承BasicAuthenticationFilter也可以继承OncePerRequestFilter来实现,

        OncePerRequestFilter是BasicAuthenticationFilter的抽象父类,BasicAuthenticationFilter默认实现。

package com.homemaking.filter;

import com.homemaking.utils.JwtTokenUtils;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Objects;

public class MyAuthenticationFilter extends BasicAuthenticationFilter {

    public MyAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {

        try {
            // 从token中获取认证信息
            Authentication authentication = JwtTokenUtils.getAuthenticationFromToken(request);
            // 若没有认证信息则直接进入到下一层,走后边策略
            if (Objects.isNull(authentication)) {
                chain.doFilter(request, response);
                return;
            }
            // 将认证信息方法SecurityContextHolder上下文中
            SecurityContextHolder.getContext().setAuthentication(authentication);
            // 参考父类
//            this.rememberMeServices.loginSuccess(request, response, authResult); // 记住登录(配置一段时间内面登录)
//            this.onSuccessfulAuthentication(request, response, authentication); // 空方法
        } catch (AuthenticationException var8) {
            // 认证失败,从上下文删除
            SecurityContextHolder.clearContext();
            // 参考父类
//            this.authenticationEntryPoint.commence(request, response, var8);
//            return;
        }

        chain.doFilter(request, response);
    }
}

 JwtToken的工具类

package com.homemaking.utils;

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.User;

import javax.servlet.http.HttpServletRequest;
import java.io.Serializable;
import java.util.*;

public class JwtTokenUtils implements Serializable {

    private static final long serialVersionUID = 1L;

    /**
     * 用户名称
     */
    private static final String USERNAME = Claims.SUBJECT;
    /**
     * 创建时间
     */
    private static final String CREATED = "created";
    /**
     * 权限列表
     */
    private static final String AUTHORITIES = "authorities";
    /**
     * 密钥
     */
    private static final String SECRET = "home";
    /**
     * 有效期24小时
     */
    private static final long EXPIRE_TIME = 24 * 60 * 60 * 1000;

    /**
     * 生成令牌
     *
     * @param authentication
     * @return 令牌
     */
    public static String generateToken(Authentication authentication) {
        Map<String, Object> claims = new HashMap<>(3);
        claims.put(USERNAME,  authentication.getPrincipal());//SecurityUtils.getUsername(authentication)
        claims.put(CREATED, new Date());
        claims.put(AUTHORITIES, authentication.getAuthorities());
        return generateToken(claims);
    }

    /**
     * 从数据声明生成令牌
     *
     * @param claims 数据声明
     * @return 令牌
     */
    private static String generateToken(Map<String, Object> claims) {
        Date expirationDate = new Date(System.currentTimeMillis() + EXPIRE_TIME);
        return Jwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, SECRET).compact();
    }

    /**
     * 从令牌中获取用户名
     *
     * @param token 令牌
     * @return 用户名
     */
    public static String getUsernameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 根据请求令牌获取登录认证信息
     *
     * @param request
     * @return 用户名
     */
    public static Authentication getAuthenticationFromToken(HttpServletRequest request) {
        Authentication authentication = null;
        // 获取请求携带的令牌
        String tokenStr = JwtTokenUtils.getToken(request);
        if (tokenStr != null) {
            // 请求令牌不能为空
            if (SecurityContextHolder.getContext().getAuthentication() == null) {
                // 上下文中Authentication为空
                Claims claims = getClaimsFromToken(tokenStr);
                if (claims == null) {
                    return null;
                }
                String username = claims.getSubject();
                if (username == null) {
                    return null;
                }
                if (isTokenExpired(tokenStr)) {
                    return null;
                }
                Object authors = claims.get(AUTHORITIES);
                List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
                if (Objects.nonNull(authors) && authors instanceof List) {
                    for (Object object : (List) authors) {
                        authorities.add(new GrantedAuthority() {
                            private final String authority = (String) ((Map) object).get("authority");

                            @Override
                            public String getAuthority() {
                                return authority;
                            }
                        });
                    }
                }
                authentication = new UsernamePasswordAuthenticationToken(username, null, authorities) {
                    private String token = tokenStr;

                    public String getToken() {
                        return token;
                    }

                    public void setToken(String token) {
                        this.token = token;
                    }
                };
//                (username, null, authorities, token)
            } else {
                if (validateToken(tokenStr, ((User) SecurityContextHolder.getContext().getAuthentication().getPrincipal()).getUsername())) {
                    // 如果上下文中Authentication非空,且请求令牌合法,直接返回当前登录认证信息
                    authentication = SecurityContextHolder.getContext().getAuthentication();
                }
            }
        }
        return authentication;
    }

    /**
     * 从令牌中获取数据声明
     *
     * @param token 令牌
     * @return 数据声明
     */
    private static Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser().setSigningKey(SECRET).parseClaimsJws(token).getBody();
        } catch (Exception e) {
            // token 过期
            claims = null;
        }
        return claims;
    }

    /**
     * 验证令牌
     *
     * @param token
     * @param username
     * @return
     */
    public static Boolean validateToken(String token, String username) {
        String userName = getUsernameFromToken(token);
        if (token == null) {
            return false;
        }
        return (userName.equals(username) && !isTokenExpired(token));
    }

    /**
     * 刷新令牌
     *
     * @param token
     * @return
     */
    public static String refreshToken(String token) {
        String refreshedToken;
        try {
            Claims claims = getClaimsFromToken(token);
            claims.put(CREATED, new Date());
            refreshedToken = generateToken(claims);
        } catch (Exception e) {
            refreshedToken = null;
        }
        return refreshedToken;
    }

    /**
     * 判断令牌是否过期
     *
     * @param token 令牌
     * @return 是否过期
     */
    public static Boolean isTokenExpired(String token) {
        try {
            Claims claims = getClaimsFromToken(token);
            Date expiration = claims.getExpiration();
            return expiration.before(new Date());
        } catch (Exception e) {
            return false;
        }
    }

    /**
     * 获取请求token
     *
     * @param request
     * @return
     */
    public static String getToken(HttpServletRequest request) {
        String token = request.getHeader("Authorization");
        String tokenHead = "Bearer ";
        if (token == null) {
            token = request.getHeader("token");
        } else if (token.contains(tokenHead)) {
            token = token.substring(tokenHead.length());
        }
        if ("".equals(token)) {
            token = null;
        }
        return token;
    }

}

3、 自定义密码验证过滤器

package com.homemaking.filter;

import cn.hutool.json.JSONUtil;
import com.homemaking.globalException.HKException;
import com.homemaking.globalException.HKExceptionEnum;
import com.homemaking.po.CompanyUser;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpMethod;
import org.springframework.lang.Nullable;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.util.Assert;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;

public class MyUsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    private String usernameParameter = "username";
    private String passwordParameter = "password";
    private boolean postOnly = true;

    private String pattern = "/login";
    private HttpMethod httpMethod;

    public MyUsernamePasswordAuthenticationFilter( String pattern, HttpMethod httpMethod) {
        super(new AntPathRequestMatcher(pattern, httpMethod.toString()));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("不支持的认证方法: " + request.getMethod());
        } else {
            // 表单中获取
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            // body中获取
            if (StringUtils.isBlank(username)) {
                String body = this.getBody(request);
                CompanyUser user = JSONUtil.toBean(body, CompanyUser.class);
                username = user.getUsername();
                password = user.getPassword();
            }

            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            // 构建身份验证类型(用户名密码类型)
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            // 放到authRequest中
            this.setDetails(request, authRequest);
            // 传入到AuthenticationManager中进行认证
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

    // 获取post请求中Body体内的数据方法
    private String getBody(HttpServletRequest request) {
        StringBuilder wholeStr = new StringBuilder();
        String str;
        try {
            BufferedReader br = request.getReader();
            while ((str = br.readLine()) != null) {
                wholeStr.append(str);
            }
        } catch (IOException e) {
            throw new HKException(HKExceptionEnum.FAIL.getCode(), "json解析错误");
        }
        return wholeStr.toString();
    }

    @Nullable
    protected String obtainPassword(HttpServletRequest request) {
        return request.getParameter(this.passwordParameter);
    }

    @Nullable
    protected String obtainUsername(HttpServletRequest request) {
        return request.getParameter(this.usernameParameter);
    }

    protected void setDetails(HttpServletRequest request, UsernamePasswordAuthenticationToken authRequest) {
        authRequest.setDetails(this.authenticationDetailsSource.buildDetails(request));
    }

    public void setUsernameParameter(String usernameParameter) {
        Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
        this.usernameParameter = usernameParameter;
    }

    public void setPasswordParameter(String passwordParameter) {
        Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
        this.passwordParameter = passwordParameter;
    }

    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }

    public final String getUsernameParameter() {
        return this.usernameParameter;
    }

    public final String getPasswordParameter() {
        return this.passwordParameter;
    }
}

4、自定义未登录处理程序

package com.homemaking.handler;

import com.homemaking.globalException.HKException;
import com.homemaking.globalException.HKExceptionEnum;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Service;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


/**
 * @author: zhi
 * @description:  未登录处理程序
 * @date: 2022/11/11 13:34
 */
@Service
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    // 未定登录或登录过期后会走的接口,可以在接口里做一些业务逻辑等
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        // HKException我自定义的异常返回类,HKExceptionEnum自定义错误的枚举
        throw new HKException(HKExceptionEnum.NOT_LOGGED_IN.getCode(), e.getMessage());
    }
}

5、 自定义未授权管理器

package com.homemaking.handler;

import cn.hutool.json.JSONUtil;
import com.homemaking.common.result.Result;
import com.homemaking.globalException.HKExceptionEnum;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Service;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Service
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    // 未授权的接口,用户访问资源,但未给用户授权,会走此接口
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        // Result是我自定义的统一返回的类。
        Result<Object> result = Result.setException(HKExceptionEnum.NOT_AUTHORIZED, e);
        String json = JSONUtil.parse(result).toString();
        // 此处使用的是Servlet的写出栈方法直接写到Response里。
        httpServletResponse.getWriter().write(json);
        // throw new HKException(HKExceptionEnum.NOT_AUTHORIZED.getCode(), e.getMessage());
    }
}

 6、自定义认证失败的回调处理器

package com.homemaking.handler;

import com.homemaking.globalException.HKException;
import com.homemaking.globalException.HKExceptionEnum;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.stereotype.Service;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Service
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
    // 实现此方法,在认证失败后可调用此处逻辑
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        // HKException我自定义的异常返回类,HKExceptionEnum自定义错误的枚举
        throw new HKException(HKExceptionEnum.AUTHENTICATION_FAILURE.getCode(), e.getMessage());
    }
}

7、 自定义认证成功的回调处理器

package com.homemaking.handler;

import cn.hutool.core.map.MapUtil;
import cn.hutool.json.JSONUtil;
import com.homemaking.common.result.Result;
import com.homemaking.utils.JwtTokenUtils;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Map;

@Service
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
    // 认证成功后可在此处生成token发送给前端,以及作一些其他处理
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {
        // jwt存放用户信息和认证信息
        String token = JwtTokenUtils.generateToken(authentication);
        Object userInfo = authentication.getPrincipal();
        Map<String, Object> map = MapUtil.builder("userInfo", userInfo).put("token", token).build();
        Result<Map<String, Object>> stringResult = Result.setData(map);
        String s = JSONUtil.toJsonStr(stringResult);
        response.getWriter().write(s);
    }
}

8、获取用户详情接口

package com.homemaking.myUserDetailsService;

import com.homemaking.SysClient;
import com.homemaking.common.result.Result;
import com.homemaking.dto.CompanyUserDTO;
import com.homemaking.globalException.HKExceptionEnum;
import com.homemaking.pojo.dto.UserSecurityDTO;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    @Autowired
    private SysClient sysClient;

    // 获取用户详情接口,这里是使用openfeign远程调用
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Result<CompanyUserDTO> result = sysClient.findByUsername(username);
        if (result.getCode() != HKExceptionEnum.SUCCESS.getCode()) {
            throw new UsernameNotFoundException(result.getMessage());
        }
        CompanyUserDTO dto = result.getData();
        return UserSecurityDTO.transUserSecurityDTO(dto);
    }
} 

        由于安全框架的强大功能还有很多可以使用的配置以及自定义的实现来达到满足自己系统服务的要求,比如记住 rememberMe (翻译为‘记住我’,实际上是一段时间内可以免登录,这个很多人有个误区是前端实现的,实际上是后端实现的)。


                

        

        

    




            

                    
            

    

      

        

            

              
                
                  m0_71171865
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
springboot+ spring security实现登录认证

				
			

			

				

					05-04
				

			

		

		

			
				
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。  ...

			
		

	



                

              
                



	

		

			

				
					
springboot+security+cas集成demo

				
			

			

				

					11-23
				

			

		

		

			
				
本文将详细解析"springboot+security+cas集成demo"的相关知识点。  首先,Spring Boot是由Pivotal团队提供的一个用于简化Spring应用初始搭建以及开发过程的框架。它集成了大量的常用组件,并提供了默认配置,使得...

			
		

	



                


  
              

                


	

		

			

				
					
springboot整合security

				
			

			

				

					weixin_47260194的博客
				

				

					06-16
					
					475
					
				

			

		

		

			
				
如果你不希望使用内存中的用户信息,而是希望将用户信息存储在数据库或其他地方,可以实现java复制代码import org.springframework.beans.factory.annotation.Autowired;@Autowired@Override@Bean@Overridehttp.and().and().logout()你可以通过指定来自定义登录页面的路径,还可以实现和接口来处理成功或失败的登录尝试。

			
		

	





	

		

			

				
					
SpringBoot集成Spring Security的方法

				
			

			

				

					08-18
				

			

		

		

			
				
至此,我们完成了基础的Spring Security 集成。但Spring Security的功能远不止于此,它还可以进行更复杂的配置,比如支持OAuth2、JWT、Remember Me 功能、自定义过滤器、AOP式权限控制等。Spring Security的灵活性...

			
		

	



		

			
		



	

		

			

				
					
SpringBoot+Security+Cas

				
			

			

				

					09-07
				

			

		

		

			
				
SpringBoot+Security+Cas是一个集成解决方案,用于构建安全Web应用程序。这个Demo是为那些希望了解如何在Spring Boot应用中整合Spring Security和CAS(Central Authentication Service)服务的开发者准备的。下面...

			
		

	





	

		

			

				
					
springboot集成security

				
			

			

				

					09-03
				

			

		

		

			
				
springboot集成spring Security ,MyAuthenticationFailHandler.java 自定义登录失败处理器,如果登录认证失败,会跳到这个类上来处理。 MyAuthenticationSuccessHandler 自定义登录成功处理器,如果登录认证成功,会...

			
		

	





	

		

			

				
					
Spring Boot 配置文件

				
			

			

				

					m0_60963435的博客
				

				

					07-23
					
					1333
					
				

			

		

		

			
				
T04BF👋专栏:🫵 今天你敲代码了吗。

			
		

	





	

		

			

				
					
Spring Boot教程:从入门到精通】掌握Spring Boot开发技巧与窍门(三)-配置git环境和项目创建

				
			

			

				

					m0_63267251的博客
				

				

					07-26
					
					1141
					
				

			

		

		

			
				
主要介绍了如何创建一个Springboot项目以及运行Springboot项目访问内部的html页面!!!

			
		

	





	

		

			

				
					
【SOLUTION】Spring Boot 集成 WebSocket

				
			

			

				

					朝拜者
				

				

					07-24
					
					1164
					
				

			

		

		

			
				
在面对大文件上传时通常遇到无法即时获取上传进度的问题,在没有WebSocket之前都是异步上传,然后通过轮询的方式实时获取上传进度。Spring如果想实现异步方法,需要在方法上添加。注解,并且在启动类或配置类上添加。方法执行,而是立即返回任务id。是异步方法,所以这里不会等待。

			
		

	





	

		

			

				
					
Spring Boot集成Spring Batch快速入门Demo

				
			

			

				

					HBLOG
				

				

					07-20
					
					1458
					
				

			

		

		

			
				
Spring Batch 是一个轻量级的开源框架,它提供了一种简单的方式来处理大量的数据。它基于Spring框架,提供了一套批处理框架,可以处理各种类型的批处理任务,如ETL、数据导入/导出、报表生成等。Spring Batch提供了一些重要的概念,如Job、Step、ItemReader、ItemProcessor、ItemWriter等,这些概念可以帮助我们构建可重用的批处理应用程序。

			
		

	





	

		

			

				
					
Spring Boot中实现文件上传与管理

				
			

			

				

					微赚淘客开发者博客
				

				

					07-20
					
					1489
					
				

			

		

		

			
				
在现代应用程序中,文件上传与管理是一个常见的需求。在 Spring Boot 中,可以非常方便地实现文件上传和管理。本文将详细介绍如何在 Spring Boot 中实现文件上传功能,包括创建上传接口、文件存储、文件访问等方面的内容。通过配置文件上传、创建文件上传、下载、列表和删除接口,我们可以轻松地处理文件操作。这个 HTML 文件提供了一个简单的文件上传表单,用户可以选择文件并提交上传请求。中添加相关的依赖,以支持文件上传功能。接下来,我们创建一个文件上传的控制器,处理文件上传请求。作为文件上传的对象。

			
		

	





	

		

			

				
					
【高级应用篇】深入Spring Boot与RabbitMQ:构建可靠的微服务通信

				
			

			

				

					weixin_68020300的博客
				

				

					07-24
					
					1351
					
				

			

		

		

			
				
在微服务架构中,消息队列作为异步通信与服务解耦的关键组件,发挥着不可替代的作用。本文详尽探索RabbitMQ的高级特性,包括消息确认、持久化、优先级、死信队列、TTL以及发布确认机制,展示如何利用这些特性增强Spring Boot应用与RabbitMQ的集成,实现更高效、更稳健的微服务通信。通过讲解高级消息模式如发布/订阅、路由与主题,以及性能调优、安全性和常见问题的解决方案,本文旨在为开发者提供全面的指南,帮助他们掌握RabbitMQ在实际项目中的高级应用技巧。

			
		

	





	

		

			

				
					
Spring Boot中的 6 种API请求参数读取方式

				
			

			

				

					2301_76419561的博客
				

				

					07-23
					
					1038
					
				

			

		

		

			
				
在利用Spring Boot框架开发应用程序接口时,从客户端请求中提取参数是一项基础而关键的任务。Spring Boot为了迎合各式各样的接口设计需求,提供了多样化的机制以供开发者选择。本文将详细梳理六种主流的请求参数读取方法。若您所掌握的方式尚未达到此数目,不妨参考本文以填补知识的空白;倘若您所了解的途径超出六种,欢迎分享您的见解,共同进步。

			
		

	





	

		

			

				
					
postman请求响应加解密

				
			

			

				

					w_lo__o的博客
				

				

					07-26
					
					260
					
				

			

		

		

			
				
部分接口,需要请求加密后,在发动到后端。同时后端返回的响应内容,也是经过了加密。此时,我们先和开发获取到对应的【密钥】,然后在postman的预执行、后执行加入js脚本对明文请求进行加密,然后在发送请求;响应回来后,后执行会解密响应内容。

			
		

	





	

		

			

				
					
easyui 多文件上传,demo

				
			

			

				

					极客栈
				

				

					07-29
					
					413
					
				

			

		

		

			
				
通过上述示例代码,你可以使用 EasyUI 实现多文件上传功能。确保前后端配合良好,以便正确处理文件上传请求并返回相应的结果。

			
		

	





	

		

			

				
					
实现一个全栈模糊搜索匹配的功能

				
			

			

				

					前端原创分享,常年坚持记录和分享,全网阅读量超百万
				

				

					07-27
					
					350
					
				

			

		

		

			
				
提供一个全栈实现的方案,包括 Vue 3 前端、Express 后端和 MySQL 数据库的分类模糊搜索功能。

			
		

	





	

		

			

				
					
TCP请求如何获取客户端真实源IP地址

				
			

			

				

					ajax_beijing_java的博客
				

				

					07-29
					
					365
					
				

			

		

		

			
				
针对四层的TCP请求(TCP监听器),可以通过在后端主机配置TOA插件获取客户端的真实源IP地址。TOA是操作系统的内核模块,需要在ELB后端主机中安装TOA插件,以实现后端主机可获取客户端真实源IP地址的目的。c. 编译过程若未提示warning或者error,说明编译成功,检查当前目录下是否已经生成toa.ko文件。假如提示信息中包含“TOA: toa loaded”,则证明内核模块已经加载成功。f. 以下步骤是以Ubuntu、Debian环境为例,进行编译环境准备。主备、集群模式资源池列表见。

			
		

	





	

		

			

				
					
web后端--Spring事务管理

				
			

			

				

					2301_80113113的博客
				

				

					07-28
					
					296
					
				

			

		

		

			
				
事务也要日志配置。

			
		

	





	

		

			

				
					
js、ts、argular、nodejs学习心得

					
最新发布

				
			

			

				

					
				

				

					07-30
					
					191
					
				

			

		

		

			
				
工作中需要前端argular开发桌面程序,后端用nodejs开发服务器,商用软件架构。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值