Spring Security 简单token配置

最新推荐文章于 2024-07-23 16:12:48 发布
最新推荐文章于 2024-07-23 16:12:48 发布
阅读量470 收藏
点赞数
分类专栏: Spring Security 文章标签: spring 后端 Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q4444tita/article/details/133420966
版权

Spring Security 简单token配置

说明:非表单配置

先上码: https://gitee.com/qkzztx_admin/security-demo/tree/master/demo-two

环境:win10 idea2023 springboot2.7.6 maven3.8.6

代码清单说明

依赖:

<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-security</artifactId>
</dependency>

Spring Security配置:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.annotation.Resource;

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
public class SecurityConfig {
    @Resource
    private MyAccessDeniedHandler myAccessDeniedHandler;
    @Resource
    private MyAuthenticationEntryPoint myAuthenticationEntryPoint;
    @Resource
    private AuthFilter authFilter;

    /**
     * security配置
     */
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.csrf().disable() // 禁用csrf
                .authorizeRequests().antMatchers("/login").permitAll() // 允许任何人访问登录接口
                .and()
                .sessionManagement(sessionManager -> sessionManager.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) // 不再管理session
                .authorizeRequests().anyRequest().authenticated() // 除了所有允许匿名访问的接口外,任何其他接口都得先认证
                .and()
                .exceptionHandling(handling -> {
                    handling.accessDeniedHandler(myAccessDeniedHandler) // 访问被拒绝的处理器
                            .authenticationEntryPoint(myAuthenticationEntryPoint); // 认证失败的处理入口
                });
        // 设置用户访问前filter
        http.addFilterBefore(authFilter, UsernamePasswordAuthenticationFilter.class);
        return http.build();
    }

    /**
     * 用户数据
     */
    @Bean
    public InMemoryUserDetailsManager userDetailsService() {
        UserDetails user = User.builder()
                .username("user")
                .password(passwordEncoder().encode("password"))
                .roles("USER")
                .build();
        return new InMemoryUserDetailsManager(user);
    }

    /**
     * 密码加密类
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}

放开/login的访问,方便用户认证,也就是抛弃了spring security的默认认证接口。
配置中,还有简单的用户查询服务,和一个默认的密码加密Bean。

import com.example.demo.two.controller.vo.R;
import com.example.demo.two.controller.vo.UserRequest;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RestController;

import javax.annotation.Resource;
import java.util.HashMap;
import java.util.Map;
import java.util.Objects;
import java.util.UUID;

@RestController
public class LoginController {
    /**
     * 简单的存放用户登录认证成功信息的地方
     */
    public final static Map<String, UserDetails> TOKEN_USERNAME = new HashMap<>();
    /**
     * SecurityConfig中配置的userDetailsService
     */
    @Resource
    private UserDetailsService userDetailsService;
    /**
     * SecurityConfig中配置的密码加密
     */
    @Resource
    private PasswordEncoder passwordEncoder;
    /**
     * 登录认证,获得token
     * @param userRequest 用户名和密码
     * @return 认证token
     */
    @PostMapping("/login")
    public R login(@RequestBody UserRequest userRequest) {
        UserDetails userDetails = userDetailsService.loadUserByUsername(userRequest.getUsername());
        if (Objects.isNull(userDetails)) {
            return R.fail("用户名不存在");
        }
        if(passwordEncoder.matches(userRequest.getPassword(), userDetails.getPassword())) {
            // 认证成功发个token
            String token = UUID.randomUUID().toString();
            // 认证成功信息,简单存储
            TOKEN_USERNAME.put(token, userDetails);
            return R.success("登录成功", token);
        }
        return R.fail("密码不正确");
    }

    @GetMapping("/")
    public String index() {
        return "首页";
    }
}

简单的认证接口,注入了用户查询服务和密码加密Bean。
查询用户,判断密码,生成token,保存token,返回token,很简单。
还有一个首页接口是需要认证才能访问。

访问资源无权限时的处理类

import com.example.demo.two.controller.vo.R;
import com.example.demo.two.util.SimpleResponseUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Slf4j
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Resource
    private SimpleResponseUtil simpleResponseUtil;
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 无权限,一般返回403
        log.info("拒绝访问:{}", accessDeniedException.getMessage());
        simpleResponseUtil.write(response, R.fail("拒绝访问"));
    }
}

未登录访问资源时的处理类

import com.example.demo.two.controller.vo.R;
import com.example.demo.two.util.SimpleResponseUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Slf4j
@Component
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Resource
    private SimpleResponseUtil simpleResponseUtil;
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        // 未认证,一般返回401
        log.info("未认证: {}", authException.getMessage());
        simpleResponseUtil.write(response, R.fail("未认证,请先认证"));
    }
}

自定义过滤器,以便识别用户身份,把用户身份设置到线程上下文中

import com.example.demo.two.controller.LoginController;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
import org.springframework.util.StringUtils;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Objects;

@Slf4j
@Component
public class AuthFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 比如请求头中有个header叫token,放置了认证后的请求头
        String token = request.getHeader("token");
        log.info("用户token:{}", token);
        if (StringUtils.hasText(token)) {
            // 验证token是否已经登录了的用户的token,用户的token临时放在了LoginController
            UserDetails userDetails = LoginController.TOKEN_USERNAME.get(token);
            if (Objects.nonNull(userDetails)) {
                // 有,表示token是对的,设置线程上下文认证信息,然后访问其他资源时,security就会放行
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails.getUsername(), userDetails.getPassword(), userDetails.getAuthorities());
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            }
        }
        filterChain.doFilter(request, response);
    }
}

验证效果

未认证前访问首页:
在这里插入图片描述
在这里插入图片描述

登录认证:

在这里插入图片描述
认证成功后,把得到的token放入请求头中,再请求
在这里插入图片描述
在这里插入图片描述

青春逝如流水
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-okta:Okta OpenId身份验证流的资源服务器API
04-12
snnLab项目-资源服务器API 该API提供了与Okta授权服务器一起实验资源服务器功能的功能。 ID令牌上的基本授权流程 Okta范围内的方法级别授权流。 HTTP请求是从Okta Open Id Flow身份验证的通道接收到的。 技术栈 Java 11 Spring安全 Okta Spring Spring
Spring Security(十五):Token配置
人不风流枉少年
07-04 3390
配置多个client token持久化到redis @Data @ToString @AllArgsConstructor @RequiredArgsConstructor public class OAuth2Client { private String clientId; private String clientSecret; private int acces...
推荐:Spring Security OAuth与Okta集成的实战范例
gitblog_00074的博客
06-11 393
推荐:Spring Security OAuth与Okta集成的实战范例 项目地址:https://gitcode.com/okta/samples-java-spring 1、项目介绍 这个开源项目专注于展示如何将Okta身份验证服务无缝集成到基于Java和Spring框架的应用程序中。它提供了四个精心设计的样本应用,涵盖了从传统的Web应用到现代单页应用(SPA)的各种场景。无论你是初学者还是...
SpringSecurity设置JWT token令牌,权限控制
m0_52149675的博客
03-15 1261
SpringSecurity设置JWT token令牌,权限控制
SpringSecurity6.0+Redis+JWT+MP基于token认证功能开发(源码级剖析可用于实际生产项目)
laizhenghua的博客
06-25 5582
引子:最近做项目时遇到了一个特殊的需求,需要写共享接口把本系统的一些业务数据共享给各地市的自建系统,为了体现公司的专业性以及考虑到程序的扩展性(通过各地市的行政区划代码做限制),决定要把接口做的高级一些,而不是简单的传个用户名和密码对比数据库里面的,那样真的很low。于是写了基于token的认证功能,在这里分享出来供大家学习与探讨。
8.Spring Security Oauth2 -- redis 和 JWT存储token
折剑听雨落
06-04 4686
1.令牌的存储方式 令牌有多种存储方式,每种方式都是实现了 TokenStore 接口 存储在本机内存: InMemoryTokenStore 存储在数据库: JdbcTokenStore JWT: JwtTokenStore,Json Web Token 不会存储在任何介质中,不过我还是不推荐这种做法啊,并发 2w 以后会有问题 存储在 Redis: RedisTokenStore 2.使用 Redis 存储令牌 2.1 pom添加依赖 ...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
springcloudgateway+security vue token
08-02
4. **添加 Security**:引入 Spring Security 模块,配置 JWT 认证流程,设置安全拦截器,处理认证和授权。 5. **前端交互**:使用 Vue.js 开发 UI,与后端接口进行交互,处理登录、注册等用户认证逻辑。 6. **测试...
Spring Security OAuth2 token权限隔离实例解析
08-25
Spring Security OAuth2框架中,权限隔离是一种重要的安全机制,它确保了不同类型的token(如授权码模式、密码模式和Client模式)具有不同的权限范围,防止了混淆和潜在的安全风险。在本文中,我们将深入探讨如何...
如何基于spring security实现在线用户统计
08-19
Spring Security 是一个基于Spring Framework的安全框架,它提供了一个灵活、可扩展、可配置的安全解决方案。Spring Security 提供了许多功能,包括身份验证、授权、加密、会话管理等。 在线用户统计的重要性 在线...
Spring Security】安全框架学习(六)
Jerry‘s word
08-28 452
一个是已认证的,一个是未认证的,结构不一样;同时,一个是登录,一个是验证两个场景,不能混在一起看。可以这么理解,之前的是登陆时验证,后面的这个是登录后访问验证。上面的代码与之前登陆的代码相比较,可以发现为什么之前UsernamePasswordAuthenticationToken存的是username和password,而这里存的是loginUser和null呢?我们需要自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的userid。方法内部加上如下代码即可实现。..
微服务安全——SpringSecurity6详解
最新发布
qq_44027353的博客
07-23 1303
本文使用的是Security6的版本,先介绍SpringSecurity的使用,然后再去介绍OAuth2。 SpringSecurity也只是入门知识版本:SpringBoot3.1.4、Security6.1.4创建一个简单SpringBoot应用引入依赖 编写一个简单的Controller 启动项目后测试接口调用引入Spring Security依赖之后 ,访问 API 接口时,需要首先进行登录,才能进行访问。测试 http://localhost:8080/admin/demo ,会跳转到登录界面需
springsecurity 获取token流程分析
lucktomcat的博客
07-01 3966
springsecurity password模式通过端点获取token主要源码段
SpringSecurity简单使用
龚小帅的博客
09-10 504
SpringSecurity简单使用
Spring SecurityToken存储与会话管理:解析与实践
jakelihua
12-14 771
在Web开发中,Spring Security提供了丰富的支持,特别是在身份验证和授权方面。本文将深入探讨Token的存储位置、会话管理和Cookie、Session、Token的区别,以及它们在实际应用中的应用场景。
Security——Okta
十年梦归尘的专栏
12-08 482
Okta
使用Spring Security进行简单身份验证
专业的开发者“讨论”
04-23 1311
身份验证对于除最基本的Web应用程序之外的所有应用程&#24...
spring-security-oauth2的token创建原理
05-08 2381
1.org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer 此类默认配置了创建access_token需要用到的一些组件, 比如:AuthorizationServerTokenServices(默认为DefaultTokenSe...
springsecuritytoken
09-09
Spring SecurityToken鉴权机制是通过FilterSecurityInterceptor来实现的。在Spring Security中,鉴权是在认证之后进行的,而FilterSecurityInterceptor就是负责鉴权的组件。鉴权的入口就在FilterSecurityInterceptor中。 关于Token鉴权机制,Spring Security默认的鉴权逻辑是根据配置文件中的配置进行鉴权。这意味着,你可以在配置文件中定义允许访问某些URL的Token权限,并拒绝其他没有相应Token权限的请求。这种配置方式是符合我们常见的认知的。 通过配置文件中的配置,你可以指定哪些URL需要进行Token鉴权,以及需要哪些Token权限才能访问。一旦一个请求完成了认证且没有抛出异常,就会到达FilterSecurityInterceptor负责的鉴权部分。在鉴权过程中,Spring Security会根据配置文件中的规则进行判断,判断请求是否具有相应的Token权限。如果不具备相应的Token权限,请求将被拒绝访问。 总结来说,Spring SecurityToken鉴权机制是通过FilterSecurityInterceptor来实现的,在鉴权过程中会根据配置文件中的规则对请求进行判断,判断请求是否具有相应的Token权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值