Spring securty<三> 认证案例代码

最新推荐文章于 2024-08-08 18:50:33 发布
最新推荐文章于 2024-08-08 18:50:33 发布
阅读量256 收藏 1
点赞数 2
分类专栏: Spring securty 文章标签: spring spring boot restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28410283/article/details/120160473
版权
本文档详细介绍了SpringSecurity的认证流程,包括配置登录、异常处理和相关处理器的实现。通过构建项目,展示了如何配置WebSecurity,设置登录成功和失败处理器,以及全局的访问拒绝和未认证异常处理器。同时,提供了Swagger UI的登录接口测试,验证了登录认证功能的正确性。
摘要由CSDN通过智能技术生成

Spring securty<三> 认证案例代码

文章目录


本地项目的基础环境

环境版本
jdk1.8.0_201
maven3.6.0
Spring-boot2.3.3.RELEASE

1、简介

spring security是一个提供身份验证、授权和防止常见攻击的框架,它对命令式和反应式应用程序都有一流的支持,是保护基于Spring的应用程序的事实上的标准。

详细可以参看《spring security官网》

2、认证(登录)

通过之前的两篇文章的介绍,应该也比较清楚了基本的概念了安全框架里的核心的概念了,从这篇开始,主要开始细化讲代码层面上的开发了;在权限框架中,认证这个部分,也算是最难的了,之后的几篇,也是主要讲述认证相关的。

《Spring securty<一> 简介入门案例》

《Spring securty<二> 配置项详解》

3、构建项目

新建项目badger-spring-securty-3

3.1、pom文件

为了方便,在pom文件中,我加入了swagger-ui的相关组件,以及json相关的包

<?xml version="1.0"?>
<project xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"
    xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.3.RELEASE</version>
        <relativePath />
    </parent>
    <groupId>com.badger</groupId>
    <artifactId>badger-spring-security-3</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>badger-spring-security-3</name>
    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <java.version>1.8</java.version>
        <maven-jar-plugin.version>3.1.1</maven-jar-plugin.version>
        <swagger.version>2.8.0</swagger.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.78</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <!-- 用于自动生成 API 文档 -->
        <dependency>
            <groupId>io.springfox</groupId>
            <artifactId>springfox-swagger2</artifactId>
            <version>${swagger.version}</version>
        </dependency>
        <dependency>
            <groupId>io.springfox</groupId>
            <artifactId>springfox-swagger-ui</artifactId>
            <version>${swagger.version}</version>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

3.2、springboot 主启动类以及演示的controller接口

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class SecurityApplication {

    public static void main(String[] args) throws Exception {
        SpringApplication.run(SecurityApplication.class, args);
    }
}

3.3、swagger-ui的配置类

/**
 * 基于Swagger生成API文档
 * @author: liqi
 */
@Configuration
@EnableSwagger2
public class SwaggerConfiguration {

    static final String TEST_TOKEN_101 = "";

    @Bean
    public Docket createRestApi() {
        return new Docket(DocumentationType.SWAGGER_2).apiInfo(apiInfo()).select()
                .apis(RequestHandlerSelectors.basePackage("com.badger.spring.boot.security")).paths(PathSelectors.any())
                .build().globalOperationParameters(parameters());
    }

    private List<Parameter> parameters() {
        ParameterBuilder ticketPar = new ParameterBuilder();
        ticketPar.name("Authorization");
        ticketPar.description("验证的token,测试使用");
        ticketPar.modelRef(new ModelRef("string"));
        ticketPar.defaultValue(TEST_TOKEN_101);
        ticketPar.parameterType("header");
        ticketPar.required(false);
        return Arrays.asList(ticketPar.build());
    }

    private ApiInfo apiInfo() {
        return new ApiInfoBuilder().title("安全框架").description("内部接口").version("1.0.0-RELEASE").build();
    }
}

3.4、统一返回的处理类

@Data
public class Result {

    private Integer code;

    private String message;

    private Result(Integer code, String messgae) {
        this.code = code;
        this.message = messgae;
    }

    public static Result success(String message) {
        return new Result(200, message);
    }

    public static Result result(Integer code, String messgae) {
        return new Result(code, messgae);
    }
}

3.5、WebSecurity 配置类

package com.badger.spring.boot.security.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.FormLoginConfigurer;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    private static final String[] EXCLUDE_URLS = { "/**/*.js", "/**/*.css", "/**/*.jpg", "/**/*.png", "/**/*.gif",
            "/v2/**", "/errors", "/error", "/favicon.ico", "/swagger-ui.html/**", "/swagger-ui/**", "/webjars/**",
            "/swagger-resources/**", "/auth/login" };
    @Autowired
    private AuthenticationSuccessHandler successHandler;
    @Autowired
    private AuthenticationFailureHandler failureHandler;
    @Autowired
    AccessDeniedHandler deniedHandler;
    @Autowired
    AuthenticationEntryPoint entryPoint;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("test").password(passwordEncoder().encode("123456"))
                .authorities("admin");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 全局异常配置
        http.exceptionHandling().accessDeniedHandler(deniedHandler).authenticationEntryPoint(entryPoint);
        http.authorizeRequests().antMatchers(EXCLUDE_URLS).permitAll();
        // 1、表单操作
        FormLoginConfigurer<HttpSecurity> formLogin = http.formLogin();
        // 表单请求成功处理器、失败处理器;与loginPage冲突,配置后,loginPage不生效
        formLogin.successHandler(successHandler).failureHandler(failureHandler);
        // 表单提交的post请求地址,用户参数名称
        formLogin.loginProcessingUrl("/auth/login");
        http.csrf().disable();
    }
}

1、@EnableWebSecurity 注解,开启Web的Security的注解

2、配置一个默认用户,帐号为test,密码为123456

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("test").password(passwordEncoder().encode("123456"))
                .authorities("admin");
    }

3、基础帐号密码登录配置

    @Autowired
    private AuthenticationSuccessHandler successHandler;
    @Autowired
    private AuthenticationFailureHandler failureHandler;
	
    @Override
    protected void configure(HttpSecurity http) throws Exception {
         // 全局异常配置
        http.exceptionHandling().accessDeniedHandler(deniedHandler).authenticationEntryPoint(entryPoint);
        http.authorizeRequests().antMatchers(EXCLUDE_URLS).permitAll();
        // 1、表单操作
        FormLoginConfigurer<HttpSecurity> formLogin = http.formLogin();
        // 表单请求成功处理器、失败处理器;与loginPage冲突,配置后,loginPage不生效
        formLogin.successHandler(successHandler).failureHandler(failureHandler);
        // 表单提交的post请求地址,用户参数名称
        formLogin.loginProcessingUrl("/auth/login");
        http.csrf().disable();
    }

全局的异常处理器

排除一些css、js、swagger-ui的接口、样式等

这里需要登录成功的处理器,以及登录失败的处理器,下一个小节贴基础代码;

3.6、拒绝访问处理器

/**
 * 全局异常处理器
 * @author liqi
 */
@Component
public class DeniedHandler implements AccessDeniedHandler {

    @SuppressWarnings("deprecation")
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
            AccessDeniedException accessDeniedException) throws IOException, ServletException {
        String error = "请求Url:" + request.getRequestURI() + " 鉴权失败:" + accessDeniedException.getMessage();
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        PrintWriter writer = response.getWriter();
        writer.print(JSON.toJSONString(Result.result(HttpStatus.UNAUTHORIZED.value(), error)));
        writer.flush();
        writer.close();
    }
}

3.7、未认证的全局处理器

/**
 * 未认证的全局处理器
 * 没有认证时,在这里处理结果,不要重定向
 * @author liqi
 *
 */
@Component
public class EntryPoint implements AuthenticationEntryPoint {

    @SuppressWarnings("deprecation")
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException, ServletException {
        String error = "请求Url:" + request.getRequestURI() + " 认证失败:" + authException.getMessage();
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        PrintWriter writer = response.getWriter();
        writer.print(JSON.toJSONString(Result.result(HttpStatus.UNAUTHORIZED.value(), error)));
        writer.flush();
        writer.close();
    }
}

3.8、登录成功的处理器

/**
 * 登录成功,事件处理器
 * @author liqi
 */
@Component
@Slf4j
public class SuccessHandler implements AuthenticationSuccessHandler {

    @SuppressWarnings("deprecation")
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication authentication) throws IOException, ServletException {
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        log.info("登录成功:{}", authentication.getPrincipal());
        PrintWriter writer = response.getWriter();
        writer.print(JSON.toJSONString(Result.success(authentication.getPrincipal().toString())));
        writer.flush();
        writer.close();
    }
}

3.9、认证失败的处理器

/**
 * 登录失败处理器
 * @author liqi
 */
@Component
public class FailureHandler implements AuthenticationFailureHandler {

    private Logger log = LoggerFactory.getLogger(getClass());

    @SuppressWarnings("deprecation")
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException {
        log.info("登录失败,{}", exception.getMessage());
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        PrintWriter writer = response.getWriter();
        writer.print(JSON.toJSONString(Result.result(400, exception.getMessage())));
        writer.flush();
        writer.close();
    }
}

3.10、最后一个swagger-ui的登录接口测试类

@RestController
@Api(tags = { "登录接口" })
public class LoginController {

    @ApiOperation(value = "账号密码登陆")
    @ApiImplicitParams({
            @ApiImplicitParam(name = "username", value = "用户名", dataType = "String", paramType = "query", defaultValue = "test"),
            @ApiImplicitParam(name = "password", value = "密码", dataType = "String", paramType = "query", defaultValue = "123456") })
    @PostMapping("/auth/login")
    public void login(@RequestParam(name = "username", required = true) String username,
            @RequestParam(name = "password", required = true) String password) {
    }
}

可以看到,这个登录接口,里面啥的都没有,只是定义了参数,并没有返回,实际业务,也没有走这个接口,而是通过Security的拦截器链,来处理的,定义这个接口,也只是为了,swagger-ui可以扫描到,好调用,如果使用postMain调用,这个接口,可以完全不用写;

设置的默认密码,也跟上述一致,user/123456

4、测试验证

启动主启动类,打开swagger-ui页面

http://localhost:8080/swagger-ui.html#/登录接口

登录正确的帐号密码

{
  "code": 200,
  "message": "test"
}

错误的密码

{
  "code": 400,
  "message": "Bad credentials"
}

可以看到,测试成功了;

详细的代码,可以查看《码云》

葵花下的獾
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一篇spring-securty文档
07-11
8. **OAuth2支持**:对于需要第认证的应用,Spring Security 提供了OAuth2的支持,可以作为源服务器、授权服务器或客户端。 9. **API安全**:Spring Security 也适用于RESTful API的保护,可以实现JWT令牌...
狂神说SpringSecurity静态源.rar
05-04
SpringSecurity是Java开发中一款强大的安全框架,用于处理应用程序的安全需求,如用户认证、授权、会话管理等。"狂神说SpringSecurity静态源.rar"很可能是狂神(一位知名的IT教育博主)分享的一系列关于Spring...
Springboot 拦截器以及静态放行问题
qq_43378914的博客
11-02 8394
第一次接触springboot 要写一个完整的web项目,当完成到登录模块时,由于要拦截除了除了登录请求之外的所有请求, 于是就做了一个拦截器,但是发现居然连静态源拦截了,几经查找,终于发现了解决办法。 以前都是继承 这个类,发现它已经过时了。   于是变成了实现 这个类。 拦截到的请求都会进入LoginInterceptor类中 /**代表拦截所有请求 exclude...
Spring securty 认证的源码解析
鸭鸭的博客
09-07 285
Spring securty<四> 认证的源码解析 Spring securty<四> 认证的源码解析 1、简介 2、认证(登录) 3、认证的源码解析 1、是否是指定的url的请求 2、验证帐号密码信息 2.1、帐号密码构建一个 UsernamePasswordAuthenticationToken 对象 2.2、获取权限管理器,认证权限(重点,要掌握、通透理解) 2.2.1、先看第二个步骤:认证的类型是不是匹配的,例如:帐号密码登录、手机号+验证码登录、扫码登录等 2.2.2、第
Spring securty 认证--匿名用户拦截器源码分析
鸭鸭的博客
09-22 1302
Spring securty<七> 认证–匿名用户拦截器源码分析 文章目录Spring securty<七> 认证--匿名用户拦截器源码分析1、简介2、特性2.1、身份验证2.2、源保护,防止跨站点请求伪造(CSRF)3、鉴权说明4、匿名用户拦截器源码分析4.1、源码明细4.2、构造方法4.3、拦截器的执行方法 本地项目的基础环境 环境 版本 jdk 1.8.0_201 maven 3.6.0 Spring-boot 2.3.3.RELEASE 1、简介
Spring securty 配置项详解
鸭鸭的博客
09-07 367
Spring securty<二> 配置项详解 文章目录Spring securty<二> 配置项详解1、案例项目准备1.1、上节中,也说到了,在配置类里,写了具体的用户配置后,yaml文件里的配置,也会失效了~这个案例里,yaml的响应的配置也去掉了1.2、上节中的配置类`WebSecurityConfig`,新增一个重写方法`protected void configure(HttpSecurity http) `1.3、基础案例测试2、配置项详解2.1、认证模块2.2、鉴权模块
Spring securty 认证--帐号/邮箱/手机号+密码
鸭鸭的博客
09-16 466
Spring securty<五> 认证–帐号/邮箱/手机号+密码 文章目录Spring securty<五> 认证--帐号/邮箱/手机号+密码1、简介2、认证(登录)3、认证的流程3、构建基础代码的项目4、帐号/邮箱/手机号+密码4.1、代码设计分析4.2、代码编写1、拦截器的编写2、`AuthenticationProvider`代码编写3、代码编写UserDetailsService查询用户明细3.1、编写数据库的实体类,只用了目前需要的字段3.2、UserDetailsSer
Spring Securty实战
qq_52736300的博客
07-05 182
全文实战,少数原理
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring Security 是 Spring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security oauth2 介绍
weixin_38297879的博客
07-01 1893
介绍:什么是oAuth :oauth是一个协议,是为用户源的授权提供一个安全的,开放而又简易的标准,与以往的授权方式不同之处是,oauth的授权不会使第方接触到到第方的账号信息,即第方无需使用用户的用户名与密码就可以申请获得该用户的源的授权,因此oauth 是安全的。 什么是Security:Spring Security 是一个安全框架,能够为Spring企业应用系统提供声明式的安全...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
spring-security-reference.pdf
01-03
spring security教程文档,讲述spring security整个原理,以及如何去在项目中去使用该框架
狂神-spring-security素材.rar
04-16
7. **OAuth2与OpenID Connect集成**:Spring Security 支持OAuth2和OpenID Connect,这两种标准用于第方应用的授权。这使得用户可以通过单一登录(SSO)在多个应用间无缝切换。 8. **Web安全配置**:Spring ...
SpringCloud(part11) Spring Security详解
javazht的博客
06-03 1358
1.Spring Security简介 什么是Spring Security Spring Security采用安全层的概念,使得controller,Service,dao层等以注解的方式来保护应用程序的安全。Spring Security提供了细粒度的权限控制,可以精细到每一个API接口,每一个业务方法,或者每一个操作数据库的DAO层方法。Spring Security提供的是应用程序层的安...
javaweb_04:SpringBoot
最新发布
qq_52200849的博客
08-08 328
1、概念:超文本传输协议,规定了浏览器与服务器之间数据传输的规则。2、特点:基于TCP协议,面向连接、安全;基于请求-响应模型,一次请求对应一次相应;HTTP协议是无状态的协议,对于事务处理没有记忆能力,每次请求响应都是独立的,多次请求间不能共享数据但是速度快。
Java之SpringBoot入门(含Spring Mvc)
qq_35639854的博客
08-06 1039
在计算机领域, 会话是⼀个客⼾与服务器之间的不中断的请求响应. 对客⼾的每个请求,服务器能够识 别出请求来⾃于同⼀个客⼾. 当⼀个未知的客⼾向Web应⽤程序发送第⼀个请求时就开始了⼀个会话. 当客⼾明确结束会话或服务器在⼀个时限内没有接受到客⼾的任何请求时,会话就结束了.服务器同⼀时刻收到的请求是很多的. 服务器需要清楚的区分每个请求是从属于哪个⽤⼾, 也就是属于 哪个会话, 就需要在服务器这边记录每个会话以及与⽤⼾的信息的对应关系. Session是服务器为了保存⽤⼾信息⽽创建的⼀个特殊的对象.
SpringCloud入门简介
敢问路在何方,路在脚下
08-06 447
SpringCloud是微服务治理方案之一;SpringCloud与SSM框架和SpringBoot没什么关联SSM:web应用的开发框架,包含视图层(模型model+视图view+控制器controller),业务层,持久层SpringBoot:简化SSM的配置,同时提供构建项目的脚手架。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

葵花下的獾

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值