认证与授权

最新推荐文章于 2024-09-22 22:15:03 发布
最新推荐文章于 2024-09-22 22:15:03 发布
阅读量96 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30659573/article/details/129778361
版权

文章目录

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.3.5.RELEASE</version>
</dependency>

<!-- Spring Boot 的 Spring Web MVC 集成 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>


<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
</dependency>

认证

public interface AuthService {

   /**
    * @description 认证方法
    * @param authParamsDto 认证参数
    * @return com.xuecheng.ucenter.model.po.XcUser 用户信息
    * @author Mr.M
    * @date 2022/9/29 12:11
   */
   XcUserExt execute(AuthParamsDto authParamsDto);

}

@Autowired
ApplicationContext applicationContext;

@Service("password_authservice")
public class PasswordAuthServiceImpl implements AuthService {
  XcUserExt execute(AuthParamsDto authParamsDto){}
}

@Service("Wx_authservice")
public class WxAuthServiceImpl implements AuthService {
  XcUserExt execute(AuthParamsDto authParamsDto){}
}

// 从容器中获取bean,相当于策略模式
AuthService authService = applicationContext.getBean (authType + "_authservice", AuthService.class);
XcUserExt user = authService.execute(authParamsDto);

passwordEncoder

@Bean
public PasswordEncoder passwordEncoder() {
    //        //密码为明文方式
    //        return NoOpPasswordEncoder.getInstance();
    return new BCryptPasswordEncoder ();
}

import com.xuecheng.ucenter.mapper.XcUserMapper;
import com.xuecheng.ucenter.model.po.XcUser;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class UserServiceImpl implements UserDetailsService {

    @Autowired
    XcUserMapper xcUserMapper;

    /**
     * @param username 账号
     * @return org.springframework.security.core.userdetails.UserDetails
     * @description 根据账号查询用户信息
     * @author Mr.D
     * @date 2022/9/28 18:30
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        XcUser user = xcUserMapper.selectOne (new LambdaQueryWrapper<XcUser> ().eq (XcUser::getUsername, s));
        if (user == null) {
            //返回空表示用户不存在
            return null;
        }

        //取出数据库存储的正确密码
        String password = user.getPassword ();
        //用户权限,如果不加报Cannot pass a null GrantedAuthority collection
        String[] authorities = {"p1"};
        //为了安全在令牌中不放密码
        user.setPassword (null);
        //将user对象转json
        String userString = JSON.toJSONString (user);
        //创建UserDetails对象
        UserDetails userDetails = User.withUsername (userString).password (password).authorities (authorities).build ();

        return userDetails;
    }

}

授权

数据模型:
在这里插入图片描述
说明如下:
xc_user:用户表,存储了系统用户信息,用户类型包括:学生、老师、管理员等
xc_role:角色表,存储了系统的角色信息,学生、老师、教学管理员、系统管理员等。
xc_user_role:用户角色表,一个用户可拥有多个角色,一个角色可被多个用户所拥有
xc_menu:模块表,记录了菜单及菜单下的权限
xc_permission:角色权限表,一个角色可拥有多个权限,一个权限可被多个角色所拥有

@Select("SELECT    * FROM xc_menu WHERE id IN (SELECT menu_id FROM xc_permission WHERE role_id IN ( SELECT role_id FROM xc_user_role WHERE user_id = #{userId} ))")
List<XcMenu> selectPermissionByUserId(@Param("userId") String userId);


@Data
public class XcUserExt extends XcUser {
    //用户权限
    List<String> permissions = new ArrayList<>();
}


//查询用户身份
public UserDetails getUserPrincipal(XcUserExt user){
    String password = user.getPassword();
    
    //查询用户权限
    List<XcMenu> xcMenus = menuMapper.selectPermissionByUserId(user.getId());
    List<String> permissions = new ArrayList<>();
    if(xcMenus.size()<=0){
        //用户权限,如果不加则报Cannot pass a null GrantedAuthority collection
        permissions.add("p1");
    }else{
        xcMenus.forEach(menu->{
            permissions.add(menu.getCode());
        });
    }
    //将用户权限放在XcUserExt中
    user.setPermissions(permissions);

    //为了安全在令牌中不放密码
    user.setPassword(null);
    //将user对象转json
    String userString = JSON.toJSONString(user);
    String[] authorities = permissions.toArray(new String[0]);
    UserDetails userDetails = User.withUsername(userString).password(password).authorities(authorities).build();
    return userDetails;

}


@PreAuthorize("hasAuthority('xc_teachmanager_course_list')") //拥有课程列表查询的权限方可访问
@PostMapping("/course/list")
public PageResult<CourseBase> list(PageParams pageParams, @RequestBody QueryCourseParamsDto queryCourseParams)
Forever Nore
关注
专栏目录
SpringBoot为WebSocket添加安全认证授权功能
程序员光剑
07-29 2665
19年初,Spring 推出了 Spring Websocket 技术,这是一种基于WebSocket协议的消息通信框架,用于快速开发WebSocket API。在实际应用中,WebSocket 可以很好的降低服务器负载、节省带宽资源并提供实时数据传输。但是,由于WebSocket本身没有身份验证机制、没有授权机制,使得其很容易受到攻击或泄漏敏感信息,因此需要引入安全认证授权机制来保障WebSocket应用的完整性。Spring Boot为WebSocket添加安全认证授权功能提供了开箱即用的解决方案。
ASP.NET Core:认证授权
子昊
01-27 3507
认证 认证是安全体系的第一道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是一样的。都是基于同一个认证模型的。 ASP.NET Core的认证功能是通过内置的一个认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求中提取能够验证用户真实身份的数据。我们一般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。
SpringSecurity OAuth2实现单点登录,微信扫码登录,Redis缓存验证码---入门到实战
热门推荐
m0_62681080的博客
04-25 2万+
SpringSecurity OAuth2实现用户认证权限,包含微信扫码登录、Redis缓存验证码、发布邮箱测试、用户登录、注册、忘记密码功能实现
怎样理解认证授权
04-10 4554
认证授权是web开发中绕不开的话题,任何开发的系统都需要对用户身份信息进行认证授权,那什么是认证授权呢?
访问认证(一)认证授权
Tdh5258的博客
07-24 1221
保证应用的安全是软件开发的最基本要求。作为开发者,应该从软件层面来保证应用的安全,这可以通过认证来实现。 认证授权 的区别 认证(Authentication, 缩写:authn):用来验证某个用户是否具有访问系统的权限。如果认证通过,该用户就可以访问系统,从而创建、修改、删除、查询平台支持的资源。 授权(Authorization, 缩写:authz):用来验证某个用户是否具有访问某个资源的权限。如果授权通过,该用户就能对资源做 CRUD 等操作。 认证 证明了你是谁,授权 决定了你能做什么
Spring Security 认证授权流程
qq_53578500的博客
07-22 6884
Spring Security 认证授权流程
shiro权限认证授权
smilecb的博客
12-18 2334
文章目录1、权限的管理1.1 什么是权限管理1.2 什么是身份认证1.3 什么是授权2.什么是shiro3.Shiro的核心构架3.1 Subject3.2 SecurityManager3.3 Authenticator3.4 Authorizer3.5 Realm3.6 SessionManager3.7 SessionDAO3.8 CacheManager3.9 Cryptography4.shiro中的认证4.1 认证4.2 shiro中认证的关键对象4.3 认证流程4.4 认证开发1. 创建项目
微服务的用户认证授权
weixin_41997692的博客
06-21 2457
一、有状态 VS 无状态 用户认证有两种模式,一种是服务器端存储用户登录状态,比如使用session store,这种方式叫有状态,另外一种无状态就是用户登录后,服务器端会传送给客户端一个token,token里面包含了过期时间,用户信息等一些不太敏感的信息,客户端要用接口时将token传递给服务器端,服务器端将token解密之后就能得到当前用户的信息,并通过判断过期时间来知晓当前状态是否过期,两种方式各有优缺点,以下是两种方式的比较: 二、微服务认证方案01-“处处安全”方案 基于OAuth2.0协议,
04.分布式系统认证授权
weixin_43891622的博客
06-08 1305
分布式系统认证授权 分布式认证授权的需求 分布式系统的每个服务都会有认证授权的需求,如果每个服务都实现一套认证授权逻辑会非常冗余,考虑分布式系统共享性的特点,需要由独立的认证服务处理系统认证授权的请求;考虑分布式系统开放性的的特点,不仅对系统内部服务提供认证,对第三方系统也要提供认证。分布式认证的需求总结如下: 统一认证授权 提供独立的认证服务,统一处理认证授权。 无论是不同类型的用户,还是不同种类的客户端(web端,H5、APP),均采用一致的认证、权限、会话机制,实现统一认证授权。 要实现统一则
Spring Security+OAuth2 精讲,打造企业级认证授权2022升级
10-25
Spring Security+OAuth2 精讲,打造企业级认证授权(2022升级版) 1、企业级认证授权专项解决方案 系统解锁后端开发者必备的"安全"技能 2、主流安全框架核心一网打尽,只学实用的
Spring Security+OAuth2 精讲,打造企业级认证授权
10-12
本课程"Spring Security+OAuth2 精讲,打造企业级认证授权"深入浅出地讲解了这两个框架的使用和集成,旨在帮助开发者构建安全、高效的应用系统。 Spring Security是Spring生态系统中的一个强大安全框架,它提供了...
Spring Security技术栈开发企业级认证授权.zip
06-05
集成 spring securit, spring security oauth 和 spring social,实现 用户名密码登录,手机验证码登录,社交账号登录,基于jwt的sso,集群session管理等功能。
非常珍贵的Spring Security企业级认证授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
财政身份认证授权管理系统 (2014年)
05-11
财政身份认证授权管理系统是一项旨在提升财政信息系统安全性的工程,其核心在于通过技术手段实现对用户身份的准确验证和权限的严格控制,以确保财政业务应用的安全稳定运行。 信息安全是财政信息系统设计和构建的...
Arthas sysenv(查看JVM的环境变量)
刘大猫
09-21 305
Arthas sysenv(查看JVM的环境变量)
智能BI平台项目
最新发布
2302_79400545的博客
09-22 47
BI商业智能:数据可视化、报表可视化系统。
faiss安装 (CPU版本)
CSDN_WHB的博客
09-20 215
faiss版本 faiss-v1.7.4。
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
weixin_43860634的博客
09-14 1005
Java项目: 基于SpringBoot+mybatis+maven课程答疑系统(含源码+数据库+毕业论文)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值