基于rest的SpringSecurity(基于认证)

最新推荐文章于 2020-07-06 20:09:57 发布
最新推荐文章于 2020-07-06 20:09:57 发布
阅读量812 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/makefriend7/article/details/53514908
版权

为简化处理,该方法关闭csrf 但该文基于文章http://blog.csdn.net/makefriend7/article/details/53490184点击打开链接 之后编写,如无说明,找不到的类都在前文中

基于认证的处理比较简单。

首先是我们的核心类SecurityConfig 代码如下

@Configuration
@EnableWebSecurity//启用Web安全
@ComponentScan
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Autowired
    private MySavedRequestAwareAuthenticationSuccessHandler authenticationSuccessHandler;

这个函数主要说明登陆框的样式,地址等等(有默认登陆框)
    @Override
    protected void configure(HttpSecurity http) throws Exception {

//   ant通配符说明
//?	匹配任何单字符
// *	匹配0或者任意数量的字符
// **	匹配0或者更多的目录
        http.formLogin()
                .successHandler(authenticationSuccessHandler)
                .failureHandler(new SimpleUrlAuthenticationFailureHandler()).and()
                .exceptionHandling().authenticationEntryPoint(restAuthenticationEntryPoint).and()
                .authorizeRequests()
                .antMatchers("/login","/myresource/**").permitAll()
                .antMatchers("/system1/**").hasRole("USER1")
                .antMatchers("/system2/**").hasRole("USER2")
                .anyRequest().authenticated().and()
                .csrf().disable();
      
///这个函数主要说明需要认证的用户,密码,以及权限,如何使用库或者其他任何文件进行认证,在下一篇文章中介绍
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("user1").password("password1").roles("USER1").and()
                 .withUser("user2").password("password2").roles("USER2");
    }


}

可以看到,这里主要要实现两个类。MySavedRequestAwareAuthenticationSuccessHandler类,代表正确登陆之后的处理, RestAuthenticationEntryPoint代表登陆失败之后的处理,

MySavedRequestAwareAuthenticationSuccessHandler代码如下

import javax.servlet.ServletException;
import net.sf.json.JSONObject;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository;
import org.springframework.security.web.savedrequest.HttpSessionRequestCache;
import org.springframework.security.web.savedrequest.RequestCache;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.security.web.savedrequest.SavedRequest;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import java.io.IOException;
import java.io.PrintWriter;

@Component
public class MySavedRequestAwareAuthenticationSuccessHandler
        extends SimpleUrlAuthenticationSuccessHandler {
    private final static Logger logger = LoggerFactory.getLogger(MySavedRequestAwareAuthenticationSuccessHandler.class);
    private RequestCache requestCache = new HttpSessionRequestCache();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws ServletException, IOException {

        logger.info("认证成功");
        SavedRequest savedRequest = requestCache.getRequest(request, response);
        //将实体对象转换为JSON Object转换
        JSONObject responseJSONObject = new JSONObject();
        responseJSONObject.put("info","successful login");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out = null;
        try {
            out = response.getWriter();
            out.append(responseJSONObject.toString());
            logger.debug("返回是\n");
            logger.debug(responseJSONObject.toString());
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (out != null) {
                out.close();
            }
        }

        if (savedRequest == null) {
            clearAuthenticationAttributes(request);
            return;
        }
        String targetUrlParam = getTargetUrlParameter();
        if (isAlwaysUseDefaultTargetUrl() ||
                (targetUrlParam != null &&
                        StringUtils.hasText(request.getParameter(targetUrlParam)))) {
            requestCache.removeRequest(request, response);
            clearAuthenticationAttributes(request);
            return;
        }

        clearAuthenticationAttributes(request);
    }

    public void setRequestCache(RequestCache requestCache) {
        this.requestCache = requestCache;
    }
}

失败的处理如下 

import net.sf.json.JSONObject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

//密码输入错误进入这里
@Component( "restAuthenticationEntryPoint" )
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
    private final static Logger logger = LoggerFactory.getLogger(RestAuthenticationEntryPoint.class);
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException ) throws IOException {
        logger.info("I am not correct password");
        JSONObject responseJSONObject = new JSONObject();
        responseJSONObject.put("result","Unauthorized" );
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out = null;
        try {
            out = response.getWriter();
            out.append(responseJSONObject.toString());
            logger.debug("返回是\n");
            logger.debug(responseJSONObject.toString());
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (out != null) {
                out.close();
            }
        }

    }
}

剩下的那就是我们的入口 

import net.sf.json.JSONObject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.security.web.csrf.CsrfToken;
import org.springframework.web.bind.annotation.*;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;


@RestController
@EnableWebMvc
public class BaseController {
    private final static Logger logger = LoggerFactory.getLogger(BaseController.class);

    @RequestMapping(value = "/system1/fun1", produces = "application/json")
    public String login2(HttpServletRequest request, HttpSession session) {
        logger.info("I am system1/fun1 ");
        return "I am system1/fun1 return";
    }

    @RequestMapping(value = "/system2/fun2", produces = "application/json")
    public String login3(HttpServletRequest request, HttpSession session) {
        logger.info("system2/fun2 ");
        return "system2/fun2";
    }

    @RequestMapping(value = "/myresource/resource1", produces = "application/json")
    public String resource1(HttpServletRequest request, HttpSession session) {
        logger.info("I am resource1");
        return "I am resource1 return";
    }

}


QML端的客户代码也很简单。修改myCsrf函数如下


function myLoginWithNoCsrf()
    {
        console.log("begin system fun1");
        var url1 = "http://127.0.0.1:8080/system1/fun1";
        var tmp1 = JSON;
        tmp1.username = "user1"
        tmp1.password = "password1";
        var mycontent = JSON.stringify(tmp1);
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);
        //结果是非法的请求源

        console.log("begin test myresource/resource1");
        url1 = "http://127.0.0.1:8080/myresource/resource1";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);
        //资源类可以成功获得请求

        console.log("begin mylogin");
        mycontent="username=user1&password=password1&submit=Login";
        url1 = "http://127.0.0.1:8080/login";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);

        console.log("begin fun1 again");
        url1 = "http://127.0.0.1:8080/system1/fun1";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);

        console.log("begin fun2 ");
        url1 = "http://127.0.0.1:8080/system2/fun2";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);

        console.log("begin mylogin");
        mycontent="username=user2&password=password2&submit=Login";
        url1 = "http://127.0.0.1:8080/login";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);

        console.log("begin fun1 again 2");
        url1 = "http://127.0.0.1:8080/system1/fun1";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);

        console.log("begin fun2 again");
        url1 = "http://127.0.0.1:8080/system2/fun2";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);

    }


MarsZhangLing
关注
Spring Security技术栈开发企业级认证与授权
04-28
Spring Security技术栈开发企业级认证与授权, 使用Spring MVC开发RESTful API 使用Spring Security开发基于表单的登录 使用Spring Social开发第三方登录 Spring Security OAuth开发APP认证框架 使用Spring Security控制授权
为一个REST服务使用Spring Security的基本和摘要认证
weixin_33800593的博客
01-16 145
为什么80%的码农都做不了架构师?>>> ...
Spring Security技术栈开发企业级认证与授权使用REST方式处理文件服务
John_chu的博客
10-12 508
Spring Security技术栈开发企业级认证与授权使用REST方式处理文件服务 2018年04月02日 17:46:40 lemon__jiang 阅读数:157 标签: Spring BootSpring MVCSpring Security文件上传文件下载 更多 个人分类: Spring Security 所属专栏: Spring Security技术栈开发企业级认证与授权 版权...
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制的项目
最新发布
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
05-23
新一代基于Spring Boot、Spring Security、Oauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等;Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
REST-spring-security.rar_java rest_java security_rest_rest secu
09-24
本项目“REST-spring-security”专注于利用Spring Security来保护基于REST的Web服务,确保数据和API接口的安全。 首先,我们需要理解REST(Representational State Transfer)是一种架构风格,常用于构建可伸缩、高...
基于SpringBoot+SpringSecurity+Thymeleaf新冠疫情管理系统设计毕业设计.zip
10-20
这是一个基于Spring Boot、Spring Security和Thymeleaf技术栈构建的新冠疫情管理系统的设计与实现项目,适合于毕业设计或深入理解这三大框架在实际项目中的应用。以下是对该项目中涉及的关键知识点的详细说明: 1. ...
Spring Security技术栈开发企业级认证与授权.zip
06-05
集成 spring securit, spring security oauth 和 spring social,实现 用户名密码登录,手机验证码登录,社交账号登录,基于jwt的sso,集群session管理等功能。
spring security 技术开发企业级认证与授权
04-15
spring security 开发企业级认证与授权spring security 开发企业级认证与授权spring security 开发企业级认证与授权spring security 开发企业级认证与授权
spring security认证和授权
05-14
要实现的效果: 1、用户及用户的权限保存在数据库中。 2、url及所需的权限保存在数据库中,系统加载时从数据库中获取。 https://blog.csdn.net/u014572215/article/details/80309161
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
Spring Security技术栈开发企业级认证与授权-笔记
农码一生
11-03 331
Spring Security技术栈开发企业级认证与授权-笔记 摘自:https://blog.csdn.net/mr_zhuqiang/article/details/81502354
Spring Security技术栈开发企业级认证与授权(七)使用Swagger自动生成API文档
John_chu的博客
10-12 379
Spring Security技术栈开发企业级认证与授权(七)使用Swagger自动生成API文档 2018年04月03日 15:17:06 lemon__jiang 阅读数:463 标签: SwaggerRESTful API文档Spring BootSpring MVC@EableSwagger2 更多 版权声明:本文为博主原创文章,转载请注明出处。 https://blog.csdn.n...
Spring Security技术栈开发企业级认证与授权】-----------使用Spring Security控制授权
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
07-06 446
本篇博客主要分享: springSecurity源码分析,权限表达式,基于数据库Rbac权限控制
Spring Security技术栈开发企业级认证与授权,1,项目构建
qq120631157的博客
09-19 495
父项目 imooc-security <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:
Spring Boot与JWT-Spring Security实现REST API安全防护
传统的基于Session的鉴权方式在移动设备和分布式系统中存在局限性,因此现代方案倾向于无状态的认证机制,如JWT和OAuth。本文主要关注的是JWT,它是一种轻量级的、安全的身份验证和授权机制。 JWT是一个自包含的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值