springboot 集成 springsecutity 前后端分离使用token

最新推荐文章于 2024-08-07 17:18:08 发布
最新推荐文章于 2024-08-07 17:18:08 发布
阅读量1.9k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myth_g/article/details/82114842
版权

网上很多demo,我也记录一下,不过有的功能还没实现..仅做记录

1.创建用户信息的实体类,可随意扩展其他属性变量

public class UserInfo implements UserDetails {
    private Long id; 
    private String userName;
    private String password;
    private List<String> roles; //用户角色

    public List<String> getRoles() {
        return roles;
    }

    public void setRoles(List<String> roles) {
        this.roles = roles;
    }

    public Long getId() {
        return id;
    }

    public void setId(Long id) {
        this.id = id;
    }

    public String getUserName() {
        return userName;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    public void setPassword(String password) {
        this.password = password;
    }
    
    //这里遍历用户角色赋值到集合里
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Set list = new HashSet();
        if (roles != null && roles.size() != 0) {
            for (String role : roles) {
                list.add(new SimpleGrantedAuthority(role));
            }
        }
        return list;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return userName;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

2.制造了点假数据

public class Constant {
    public static class getMap {
        private static Map map;

        public static Map get() {
            if (map == null) {
                map = new HashMap();
            }
            map.put("gao", new UserInfo() {{
                setId(1L);
                setPassword(new BCryptPasswordEncoder().encode("123"));
                setUserName("gao");
                List list = new ArrayList<>();
                list.add("ROLE_admin");
                setRoles(list);
            }});
            map.put("yang", new UserInfo() {
                {
                    setId(2L);
                    setPassword(new BCryptPasswordEncoder().encode("321"));
                    setUserName("yang");
                    List list = new ArrayList<>();
                    list.add("guest");
                    setRoles(list);
                }
            });
            return map;
        }
    }
}

3.自定义拦截

@Component
public class MyFilter extends OncePerRequestFilter {
    
    //注入用户验证类
    @Autowired
    private MyUserDetailService myUserDetailService;

    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        //取出前端传来的验证token
        String token = httpServletRequest.getHeader("token");
        //如果token为空或者已有登陆信息则进行重复登陆
        if (token != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            UserDetails userDetails = myUserDetailService.loadUserByUsername(token);
            if (userDetails != null) {
                Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();
                UsernamePasswordAuthenticationToken us = new UsernamePasswordAuthenticationToken(userDetails, null, authorities);
                us.setDetails(new WebAuthenticationDetails(httpServletRequest));
                SecurityContextHolder.getContext().setAuthentication(us);
            }
        }
        //这里登陆成功后,可以更新jwt过期时间,通过header返回给前端
        filterChain.doFilter(httpServletRequest, httpServletResponse);
    }
}

4.验证登陆信息

@Component
public class MyUserDetailService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        //模拟数据库查询用户
        //此处可使用jwt进行验证,如有错误则抛出多少错误
        Map map = Constant.getMap.get();
        UserInfo user = (UserInfo) map.get(name);
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        return user;
    }
}

5.权限中心

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) //开启注解
public class SecutityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MyFilter myFilter;
    @Autowired
    private NotLogin notLogin;


    @Bean
    public UserDetailsService userDetailsService() {
        return new MyUserDetailService();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    
    //设置验证方法及加密方式
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(new BCryptPasswordEncoder());
    }


    @Autowired
    private DeniedHandler deniedHandler;
    @Autowired
    private LoginSuccesssHandler loginSuccesssHandler;
    @Autowired
    private LoginFailHandler loginFailHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .httpBasic().authenticationEntryPoint(notLogin)
                .and()
                .formLogin()   //表单登陆后的回调,这里用不到,没有通过表单登陆验证
                .successHandler(loginSuccesssHandler)
                .failureHandler(loginFailHandler)
                .permitAll()

                .and()  //自定义登陆方式
                .authorizeRequests()
                .antMatchers("/open")
                .permitAll()
                .antMatchers("/index")
                .access("hasRole('admin')")
                .and()

                .authorizeRequests()
                .anyRequest()
                .authenticated();
        http.exceptionHandling().accessDeniedHandler(deniedHandler);
        http.addFilterBefore(myFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

6.一些自定义的回调

@Component
public class NotLogin implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setContentType("text/html;charset=utf-8");
        httpServletResponse.getWriter().write("未登录");
    }
}
@Component
public class DeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.getWriter().write(" denied");
    }
}
@Component
public class LoginFailHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.getWriter().write("login fail");
    }
}
@Component
public class LoginSuccesssHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        httpServletResponse.getWriter().write("login success");
    }
}

7.controller

@RestController
public class web {
     //这里可以生成jwt的token
    @GetMapping("/my_login")
    public Object my_login(String user,String password){
        if()xxxxxx
        
        return "jwt_token";
    }
    

    
    @GetMapping("/index")
    public Object index(){
        return "测试";
    }

    @GetMapping("/login/error")
    public Object error(){
        return "登陆失败";
    }

    @GetMapping("/open")
    public Object open(){
        return "测试开放接口";
    }
}

写的很简陋.很多功能没有实现,其中碰到的坑;关于role的问题

myth_gy
关注
基于SpringBoot+SpringCloud+Vue前后端分离项目实战 --开篇
天罡gg的专栏
03-07 1万+
如何高效学习Java? 毕业设计项目应该怎么做?入门实战项目应该怎么做? 做Java开发都应该学习哪些框架技术? 我想来跟你聊聊为什么要学习此专栏?我们经常说,看一个事儿千万不要直接陷入细节里,你应该先鸟瞰其全貌,这样能够帮助你从高维度理解问题。同样,当你迷茫想努力没有方向时,最事半功倍的方法是:找人带你! 因为过来人,更懂得如何学、如何做、如何少走弯路! 那今天就给大家带来一门专栏课程,由 天罡gg 和 经海路大白狗 两位实力大牛合力打造的一款专栏,可以让你从0到1快速拥有企业级规范的项目实战经验!
【工作记录】基于springboot3+springsecurity6实现多种登录方式(一)
泽济天下的专栏
01-17 3349
本文针对基于springboot3和springsecurity实现用户登录认证访问以及异常处理做个记录总结,也希望能帮助到需要的朋友。
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 1094
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
SpringSecurity-前后端分离
最新发布
Life And Code
08-07 620
Spring SecuritySpring家族中的一个安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架,小项目用Shiro的比较多。相比于SpringSecurity,Shiro的上手更加简单。一般Web应用需要进行认证和授权。
Spring Security Oauth2 刷新token源码分析
SuperBins的博客
09-17 2329
刷新token请求接口(/oauth/token) 参数:grant_type、refresh_token、client_id、client_secret 源码解析: 1、grant_type为固定值:grant_type=refresh_token 源码中会根据grant_type是否为refresh_token且refresh_token字段不能为空来判断这个请求是刷新token还是获取to...
Spring Boot+Spring Security+JWT 实现token验证
热门推荐
xue317378914的专栏
06-06 1万+
Spring Boot+Spring Security+JWT 实现token验证什么是JWT?JWT的工作流程JWT的主要应用场景JWT的结构SpringBoot+Spring Security和JWT的集成实现token验证引入JWT依赖JWT的生成和解析工具类Spring Security配置登录生成tokentoken的校验演示总结 通常情况下,把API直接暴露出去是风险很大的,不说别的,直接被机器攻击就喝一壶的。那么一般来说,对API要划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用
spring security token认证_SpringBoot集成Spring Security安全认证框架
weixin_39548968的博客
11-26 171
从事WEB开发依赖,一半用的安全认证框架,最多就是有两种:Apache Shrio和Spring Security,而Spring Security作为Spring全家桶中的一员,相对于Spring集成起来更具有优势和更好的支持! Spring Security是一个强大且可定制的身份验证和访问控制框架,完全基于Spring的应用程序标准,它能够为基于Spring的企业应用系统提供安全访问控制解...
spring boot 单体项目 集成 spring security 实现 登录认证 权限认证 jwt token认证
weixin_40773253的博客
05-06 1762
这篇博文讲述的是不集成oath,通过自己编写jwt 的 token 生成器 实现 spring security 的 登录权限token认证的实现方法。 目录结构如下: pom文件 加入 springsecurity 和 JWT的引用包 <!-- spring security --> <dependency> <groupId&gt...
springboot+springsecurity+jwt实现基于token认证(可能有点详细)
qq_42394044的博客
11-02 1854
准备工作 1、新建一个springboot项目并导入下面依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</gro
基于SpringBoot+Vue的前后端分离仓储管理系统设计与实现
11-29
《基于SpringBoot+Vue的前后端分离仓储管理系统设计与实现》 在当今信息化时代,企业对高效、便捷的仓储管理需求日益增长。本系统利用现代Web技术,采用前后端分离的架构模式,以SpringBoot为后端开发框架,Vue.js...
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用
05-22
springboot整合Sa-Token 实现前后端分离登录注销功能,刚学习Sa-Token,用来练手,适合初学者。仅作学习使用 前端使用html jquery ajax异步请求 后端springboot框架,Sa-Token框架。 jdk使用1.8 mysql 8.0
基于SpringBoot+Vue的前后端分离客户关系管理系统源码.zip
05-21
《构建基于SpringBoot+Vue的前后端分离客户关系管理系统》 在现代Web开发中,前后端分离已经成为一种主流模式,它能有效提升开发效率、优化用户体验。本项目以"基于SpringBoot+Vue的前后端分离客户关系管理系统源码...
SpringBoot_整合SpringSecurity前后端分离版)
m0_67393619的博客
08-02 4093
1、登录校验流程2、SpringSecurity简单过滤器链(完整的过滤器大概是14个),前后端分离一般用jwt,前后端不分离一般采用session。
Springboot集成JWT实现token令牌,同时集成SpringSecurity实现API鉴权
qq_36655073的博客
05-20 1375
前言 为啥不用session和cookie,而要用token 传统的web应用,使用jsp作为前端展示的情况下,大家习惯用的手段都是用户登录后,将用户的信息放到tomcat的session中保存,返回前端时,cookies中有个jsessionId。后续的各种操作都会用到这个jsessionId从tomcat的session列表中,读取用户的信息,再根据用户的信息做各种数据的处理。 这种处理方式在单web应用中问题是不大的。但是自从分布式、微服务等理念流行之后,各个服务组件之间的session共享问题就有
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)
Json的知识梦工厂
07-23 5087
org.springframework.security.crypto.password.PasswordEncoder 接口。
spring security 集成cas实现单点登录
luhaichuan88的博客
08-24 2355
最近接了一个任务,公司之前为客户做了很多的系统,后面做成了通用的业务系统准备向外销售,因此需要做一个演示系统将所有业务系统都放到演示系统中,用户在演示系统登录后可以访问其中的任意业务系统,这一听就是一个单点登录的需求啊,因此就去了解了下,发现了CAS, CAS是中央认证服务Central Authentication Service的简称。最初由耶鲁大学的Shawn Bayern 开发,后由Jasig社区维护,经过十多年发展,目前已成为影响最大、广泛使用的、基于Java实现的、开源SSO解...
SpringBoot整合Shiro 之 用户名密码登录
asdfadafd的博客
04-26 1470
SpringBoot整合Shiro 之 用户名密码登录 首先 使用Shiro 我们要大致了解清楚 什么是Shiro?它能帮我们实现什么功能? 根据官方文档介绍:Shiro 是一个功能强大且易于使用的Java安全框架,可以实现 身份验证、授权、加密和会话管理功能。 那么今天 我这里就主要 实现以下 身份验证功能,也就是用户登录啦。 1.数据库 这里提供一个简单 user表SQL CREATE TABLE `ums_user` ( `id` bigint(20) NOT NULL AUTO_INCREMEN
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Springboot前后端分离:详析跨域配置与登录流程
Springboot前后端分离项目的开发中,跨域访问是一项常见的需求,尤其是在现代单页应用架构中,由于浏览器的同源策略限制,前后端分离项目需要特殊处理。本文将深入解析如何在Springboot框架下配置跨域实现,以便...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值