springboot整合springSecurity

最新推荐文章于 2024-07-02 14:58:37 发布
最新推荐文章于 2024-07-02 14:58:37 发布
阅读量1.1k 收藏 22
点赞数 27
文章标签: spring boot java springSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74163986/article/details/135153840
版权
本文详细描述了如何在SpringBoot项目中,移除默认security登录页面,自定义配置用户认证,使用Database中的账号密码,以及实现JWTtoken验证的过程,包括`UserDetailsService`、`SecurityConfig`和自定义`JwtAuthenticationTokenFilter`的配置和使用。
摘要由CSDN通过智能技术生成

springboot项目引入security后,security就会创建默认登陆页面,对用户身份权限认证,还会把生成的用户user的密码输出在控制台,只要访问了项目资源就会自动跳转到他的默认登录页面,只有使用他的密码登录后才会去访问我们接口

在前后端分离的项目中,不需要security提供的登陆页面,他的这些配置不符合我们的需求,此时就需要自定义配置,实现我们的需求,比如通过数据库中的账号密码实现登录,而不是通过它提供的账号密码登录。

一. security也提供了这种用户认证的方式。

首先security有一个SecurityContextHolder对象,用于管理security的上下文SeucirtyContext,

SeucirtyContext中存储着Authentication,也就是登录用户的信息

获取SecurityContextHolder对象:

UsernamePasswordAuthenticationToken authentication =
                (UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();

表示通过SecurityContextHolder(上下文管理对象)获取SeucirtyContext(上下文对象)获取Authentication,他里面存储了三个信息,

 1、Principal:用户信息,没有认证时一般是用户名,认证后一般是用户对象

​ 2、Credentials:用户凭证,一般是密码

​ 3、Authorities:用户权限。

二 .security是通过AuthenticationManager的authenticate完成用户认证。

三.那么AuthenticationManager是如何校验用户信息的呢,

首先我们需要实现一个类实现security中的UserDetialsService接口,只需要实现一个方法

loadUserByUsername,让此方法能根据用户名查询出用户对象,如下:

此方法返回一个Security中的用户数据接口 UserDetails 的实现类对象,所以我么也需要自定义一个实现类

UserDetailsImpl来实现UserDetails接口,用于提供用户基本属性,如账号密码,其他方法一般情况下返回true,如下:

当然此方法也可以重写此接口方法实现其他自定义属性逻辑。这里就不介绍。

此时就完成了在security获取用户信息的基础条件

四. 然后就该实现SecurityConfig的配置类,如下:



@Configuration
@EnableWebSecurity     //Security配置类
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired   //jwt自定义过滤器
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Bean   //密码编译器,加密密码
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                //表示以下路径不需要通过Security验证,可以直接访问
                .antMatchers("/api/user/account/login", "/api/user/account/register/","enclosures/updateEnclosures/").permitAll()
                //表示以下路径代理到127.0.0.1进行处理
//                .antMatchers("/pk/start/game/","/pk/receive/bot/move/").hasIpAddress("127.0.0.1")
                .antMatchers(HttpMethod.OPTIONS).permitAll()
                .antMatchers("/v2/api-docs", "/swagger-resources/configuration/ui",
                        "/swagger-resources", "/swagger-resources/configuration/security",
                        "/swagger-ui.html", "/webjars/**","/error").permitAll()
                .anyRequest().authenticated();
        //把jwt自定义的过滤器添加到Security的链中
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }

}

五. 自定义认证过滤器

我们需要自定义一个过滤器,实现在访问securityu允许的公共接口外,去验证是否符合权限,也就是去获取请求头中的token是否合法,对token进行解析取出其中的信息,获取对应的登录对象。然后封装Authentication对象存入SecurityContextHolder。如下:



@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private UserMapper userMapper;

    @Override
    protected void doFilterInternal(HttpServletRequest request, @NotNull HttpServletResponse response, @NotNull FilterChain filterChain) throws ServletException, IOException {
        //获取前端请求头中的的Authorization的值
        String token = request.getHeader("Authorization");
        System.out.println(token);
        System.out.println(request.getRequestURI());

        //判断token是否是"Bearer "开头和token是否为空
        if (!StringUtils.hasText(token) || !token.startsWith("Bearer ")) {
            //如果为token不合法则进行下一个拦截请求,这个不放行
            filterChain.doFilter(request, response);
            LocalDateTime.now();
            return;
        }
        //token如果合法则除去开头的"Bearer ",留下真正的token
        token = token.substring(7);

        String userid;
        try {
            //通过jwt工具类解析token获取token中的userid
            Claims claims = JwtUtil.parseJWT(token);
            userid = claims.getSubject();
        } catch (Exception e) {
            throw new RuntimeException(e);
        }

        //通过token中解析出的id从数据库查询user是否存在
        User user = userMapper.selectById(Integer.parseInt(userid));

        if (user == null) {
            throw new RuntimeException("用户名未登录");
        }

        //UserDetailsImpl是Security自带的封装用户信息等类,
        UserDetailsImpl loginUser = new UserDetailsImpl(user);

        //通过UsernamePasswordAuthenticationToken类表示从封装的用户类信息的实例中获取用户信息,
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser, null, null);

          //把用户信息存储到Security上下文
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        filterChain.doFilter(request, response);
    }
}

因为过滤器需要对token进行解析获取用户信息,所以也需要一个jwt工具类,用于生成解析token信息等:如下


@Component
public class JwtUtil {
    public static final long JWT_TTL = 60 * 60 * 1000L * 24 ; //token过期时间
    public static final String JWT_KEY = "SDFGjhdsfalshdfHFdsjkdsfds121232131afasdfac";  //生成token密钥

    public static String getUUID() {
        return UUID.randomUUID().toString().replaceAll("-", "");
    }

    //创建返回jwt
    public static String createJWT(String subject) {
        JwtBuilder builder = getJwtBuilder(subject, null, getUUID());
        return builder.compact();
    }
    //构建jwt
    private static JwtBuilder getJwtBuilder(String subject, Long ttlMillis, String uuid) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        SecretKey secretKey = generalKey();
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        if (ttlMillis == null) {
            ttlMillis = JwtUtil.JWT_TTL;
        }

        long expMillis = nowMillis + ttlMillis;
        Date expDate = new Date(expMillis);
        return Jwts.builder()
                .setId(uuid)
                .setSubject(subject)
                .setIssuer("sg")
                .setIssuedAt(now)
                .signWith(signatureAlgorithm, secretKey)
                .setExpiration(expDate);
    }
    //生成和验证jwt的密钥
    public static SecretKey generalKey() {
        byte[] encodeKey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
        return new SecretKeySpec(encodeKey, 0, encodeKey.length, "HmacSHA256");
    }
    //解析jwt
    public static Claims parseJWT(String jwt) throws Exception {
        SecretKey secretKey = generalKey();
        return Jwts.parserBuilder()
                .setSigningKey(secretKey)
                .build()
                .parseClaimsJws(jwt)
                .getBody();
    }
}

六. 登录测试了。

首先是登陆接口。

因为配置类中对登录接口的路径进行了放行,所以不会进入过滤器进行token验证,而是直接执行,

然后service逻辑如下,如果是合法的登录用户,则通过jwt工具类生成含有用户唯一标示信息的token返回给用户,用户需要在访问除了公共接口外的所有接口中带上此token

 

七:获取信息测试

controller接口为

此接口没有在配置类中放行,所以需要进入过滤器,验证token信息,如果正确就进入service执行相应逻辑,

否则抛出异常,

service逻辑如下,

此时就完成闭环。个人学习总结,如有错误不足,感谢指正

防御塔策略
关注
  • 27
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot下使用Security
Vince的专栏
04-27 2432
该文基于SpringBoot版本2.1.8.RELEASE,案例仓库以后有空时整理后补上。 (一)配置文件简单示例 继承WebSecurityConfigureAdapter类,加上@EnableWebSecurity注解,并实现configure方法(注意这个方法有三种入参形式,下面只是其中一种,后面的篇幅中会看到另外一种),下面只是一个简单的配置文件,仅配置了一些简单的URL路径相关的权限。 ......
spring boot 关闭默认的spring security
m0_67390969的博客
03-23 1958
spring boot 和activiti集成的时候,关闭默认开启的security。 package com; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.web.servlet.ServletComponentScan; import org.s
Spring Boot 中使用 Spring Security 实现安全访问权限管理:详尽指南
一杯梅子酱的博客
07-02 1206
为了更细致地控制安全策略,我们可以创建一个配置类,扩展。Java47 auth10 .and()12 }1314 @Bean17 }1825 .and()27 .and()29 }30}如果你希望使用自定义的登录页面,可以通过以下配置:Java2 .loginPage("/custom-login") // 自定义登录页面URL3 .loginProcessingUrl("/login") // 处理登录请求的URL。
spring-security 默认登录页面(一)
modelmd的博客
02-01 2422
Spring Security是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何生产的呢?
SpringBoot启动排除SpringSecurity
初飞
06-13 2518
@SpringBootApplication(exclude = {org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class}) public class DeepParseSpringCodeService { public static void main(String[] args) { SpringApplication.run(DeepParseSprin.
2024年网络安全最全windows应急响应基础(基础和常用命令)_win7 紧急命令,腾讯T2手把手教你
2401_84300239的博客
05-11 548
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
springboot整合security(一)入门
作为一个长者,有必要记录下人生经验
12-14 462
spring security主要功能: 1.认证——是什么身份 2.授权——有哪些权限
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
SpringBoot整合Spring Security的详细教程
08-18
SpringBoot 整合 Spring Security 的详细教程 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,提供了完善的认证机制和方法级的授权功能。下面是 SpringBoot 整合 Spring Security 的详细...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringBoot 学习笔记(十)Spring Security 安全框架
qq_44648936的博客
03-17 5124
一、什么是Spring SecuritySpring Security致力于为Java应用提供核心功能认证和授权管理,其核心就是一组过滤器链,项目启动后会自动配置。 简单来说,Spring Security就是通过过滤器来验证你是谁,你是什么身份,然后给予相应的授权,让你能够干某些事。 二、SpringSecurity使用 1、入门项目 创建项目,并添加web和security的依赖 建议在创建项目时直接添加,而不是后面在pom.xml中添加 <dependency>
SpringBoot 学习笔记(十)Spring Security 安全框架_springbootsecurity学习
m0_54903333的博客
05-17 720
permitAll() //访问“/login”接口不需要进行身份认证了,防止重定向死循环。* 如果用户的账户有效(即未过期),则返回true,如果不在有效就返回false。* 指示用户的凭证(密码)是否已过期。* 如果用户未被锁定,则返回true,否则返回false。* 如果启用了用户,则返回true,否则返回false。无法验证过期的账户。* 如果用户的凭证有效(即未过期),则返回true。/*管理员用户 具备ADMIN和USER角色*//*管理员用户访问的url*//*普通用户访问的url*/
SpringBoot-Security基础
农码一生
10-19 190
自定义用户认证逻辑 处理用户信息获取逻辑 处理用户校验逻辑 处理密码加密解密 httpLogin(“”)基于Form表单登录验证 .loginPage(“”)配置跳转的页面 。loginProcessingUrl(“/authentication/from”) 登录from表单需要校验用户名密码的路径 //httpBasic() 用来登录弹出一个登录窗口 autho...
SpringBoot如何关闭Spring Security
热门推荐
weixin_50165209的博客
04-26 1万+
在进行springboot项目开发的时候往往需要用到springSecurity 但是在开发阶段我们往往会遇到Security的权限拦截问题 以前用的方法常常是将ip加入白名单的方法 但是其实也有直接关闭security的方法: 直接在Springboot的主启动类增加以下配置 @SpringBootApplication(exclude= {SecurityAutoConfiguration.class }) 并且注释掉security相关信息: // @PreAuthorize
SpringBoot 整合SpringSecurity
yangkeOK的博客
09-06 475
从结果中看出,不同的密码,加密不一样,同种密码,字符串加密也不一样,但是通过matchs方法检验匹配,又能够匹配上。重新运行项目,这样我们就能通过我所给的任意三个用户中的相应的用户名和密码输入直接登陆。遇到不同的情况要随机应变,根据实际情况来进行Security的配置。这两种方式设置要分开,只能一方存在,这只是个人理解(可能有错)使用SpringSecurity其实刚开始很简单,针对指定加密,我们在测试中来演示一下他的作用。上述完成后,就可以通过连接数据库来实现认证。3自定义表单认证登录。
Spring Security入门教程,springboot整合Spring Security
沐雨橙风ιε的博客
11-05 324
Spring Security入门教程,springboot整合Spring Security
SpringBootSpringBootSecurity
禅与计算机程序设计艺术
01-28 1072
1.背景介绍 1. 背景介绍 Spring Boot 是一个用于构建新 Spring 应用的优秀框架。它的目标是简化新 Spring 应用的初始搭建,以及开发、生产、运行和管理,使开发人员可以快速以可持续的速度开发和部署新的 Spring 应用。 Spring Boot SecuritySpring Security 的一个子集,它是 Spring Security 的一个简化版本,用...
springboot 整合Spring Security
最新发布
07-05
Spring Boot整合Spring Security主要是为了提供安全控制功能,帮助开发者快速地在Spring Boot应用中添加身份验证、授权和会话管理等安全性措施。以下是基本步骤: 1. 添加依赖:首先,在Maven或Gradle项目中添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值