Spring Security登录验证(项目)

最新推荐文章于 2024-06-15 16:48:03 发布
最新推荐文章于 2024-06-15 16:48:03 发布
阅读量622 收藏 4
点赞数
分类专栏: Spring 文章标签: springboot 登录验证 数据库 验证码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31900497/article/details/106879557
版权

Spring Security登录验证

背景

本人最近微人事项目进行了学习,记录一下学习的过程,总结一下。

首先,这个微人事项目是为了事业单位的人事管理,包括用户登录的权限管理、员工基本资料的增删查改,薪资管理、部门管理等等。

接下来总结下权限管理:

权限数据库设计

这里需要建立5个数据表,分别是资源表、角色表、用户表、资源角色表和用户角色表。

资源表menu

这是登录之后前端界面可以显示的模块。

在这里插入图片描述
角色表role

认证采用的Spring-Security,所以,英文名需要以ROLE_开头。

在这里插入图片描述
用户表hr

该表统计用户的基本信息。
在这里插入图片描述
资源角色表menu_role

这里的mid对应于资源表的idrid对应于角色表的id。这里就是为了实现根据登录的用户的角色动态显示前端页面的资源信息,即实现不同的用户有不同的权限。
在这里插入图片描述
用户角色表hr_role
这里的hrid对应于用户表中的idrid对应于角色表里的id,可以实现用户多角色的功能。
在这里插入图片描述

角色与资源的关系

其中hr用户表实现了UserDetails接口

除了用户的基本信息外,

// 用于账户是否过期
	@Override
    public boolean isAccountNonExpired() {
        return true;
    }
// 账户是否被锁住
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
//密码是否过期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
//密码是否被禁用
    @Override
    public boolean isEnabled() {
        return enabled;
    }

//一个用户对应于多个角色,统计用户的角色进行返回
    @Override
    @JsonIgnore
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>(roles.size());
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }

HrService实现了UserDetailsService。用于执行登录。

重写了loadUserByUsername

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException{
    Hr hr = hrMapper.loadUserByUsername(username);
    if(hr == null){
        throw new UsernameNotFoundException("用户名不存在!");
    }
    //设置当前用户所具有的角色
    hr.setRoles(hrMapper.getHrRolesById(hr.getId()));
    return hr;
}

讲一下登录

FilterInvocationSecurityMetadataSource,此类的功能是通过当前的请求地址,获取该地址需要的角色。

@Component
public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    @Autowired
    MenuService menuService;
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        List<Menu> menus = menuService.getAllMenusWithRole();
        for (Menu menu : menus) {
            if (antPathMatcher.match(menu.getUrl(), requestUrl)) {
                List<Role> roles = menu.getRoles();
                String[] str = new String[roles.size()];
                for (int i = 0; i < roles.size(); i++) {
                    str[i] = roles.get(i).getName();
                }
                return SecurityConfig.createList(str);
            }
        }
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

getAttribute(Object o)方法中的参数o中提取出当前请求的URL,然后将这个请求和数据库查询出来的URL-pattern进行比较,看符合哪一个URL-pattern,就获取到该URL-pattern所对应的角色。这时的角色可能有多个角色,需要进行遍历,利用SecurityConfig.createList()方法创建一个角色集合。当输入的URL和数据库中查询的不对应,需要进行登录ROLE_LOGIN

AccessDecisionManager,从FilterInovationSecurityMetadataSource中的getAttribute()返回的集合会来到这里。

@Component
public class CustomUrlDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        for (ConfigAttribute configAttribute : configAttributes) {
            String needRole = configAttribute.getAttribute();
            if ("ROLE_LOGIN".equals(needRole)) {
                if (authentication instanceof AnonymousAuthenticationToken) {
                    throw new AccessDeniedException("尚未登录,请登录!");
                }else {
                    return;
                }
            }
            //把已经被认证的的角色与needRole进行比较
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足,请联系管理员!");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

在这个类中有个decide()方法,有3个参数,第一个参数保存了当前登录用户的角色信息,第3个参数是由FilterInvocationSecurityMetadataSourcegetAttributes()方法传来的,表示当前登录用户的角色是否能和数据库查询的角色相匹配。

当登录用户的角色和经过FilterInvocationSecurityMetadataSource处理的角色匹配得上时,进行返回。

配置SecurityConfig

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    HrService hrService;
    @Autowired
    CustomFilterInvocationSecurityMetadataSource customFilterInvocationSecurityMetadataSource;
    @Autowired
    CustomUrlDecisionManager customUrlDecisionManager;

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //认证管理器配置方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //和用户相关的都进行配置
        auth.userDetailsService(hrService);
    }

    // 核心过滤器配置方法
    @Override
    public void configure(WebSecurity web) throws Exception {
        //忽略规则配置文件。
    web.ignoring().antMatchers("/css/**","/js/**","/index.html","/img/**","/fonts/**","/favicon.ico","/verifyCode");
    }

    @Bean
    LoginFilter loginFilter() throws Exception {
        LoginFilter loginFilter = new LoginFilter();
        //登录成功时
        loginFilter.setAuthenticationSuccessHandler(new AuthenticationSuccessHandler() {
            @Override
            public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                //设置Body的类型。
                response.setContentType("application/json;charset=utf-8");
                //写入响应,获取一个字符流。
                PrintWriter out = response.getWriter();
                //获取授权后的用户信息
                Hr hr = (Hr) authentication.getPrincipal();
                hr.setPassword(null);
                RespBean ok = RespBean.ok("登录成功!", hr);
                String s = new ObjectMapper().writeValueAsString(ok);
                out.write(s);
                out.flush();
                out.close();
            }
        });
        //登录失败
        loginFilter.setAuthenticationFailureHandler(new AuthenticationFailureHandler() {
            @Override
            public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
                response.setContentType("application/json;charset=utf-8");
                PrintWriter out = response.getWriter();
                RespBean respBean = RespBean.error(exception.getMessage());
                if (exception instanceof LockedException) {
                    respBean.setMsg("账户被锁定,请联系管理员!");
                } else if (exception instanceof CredentialsExpiredException) {
                    respBean.setMsg("密码过期,请联系管理员!");
                } else if (exception instanceof AccountExpiredException) {
                    respBean.setMsg("账户过期,请联系管理员!");
                } else if (exception instanceof DisabledException) {
                    respBean.setMsg("账户被禁用,请联系管理员!");
                } else if (exception instanceof BadCredentialsException) {
                    respBean.setMsg("用户名或者密码输入错误,请重新输入!");
                }
                out.write(new ObjectMapper().writeValueAsString(respBean));
                out.flush();
                out.close();
            }
        });
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        loginFilter.setFilterProcessesUrl("/doLogin");
        return loginFilter;
    }

    //安全过滤器链配置方法
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setAccessDecisionManager(customUrlDecisionManager);
                        object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource);
                        return object;
                    }
                })
                .and()
                .logout()
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        out.write(new ObjectMapper().writeValueAsString(RespBean.ok("注销成功!")));
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()
                .and()
                .csrf().disable().exceptionHandling()
                //没有认证时,在这里处理结果,不要重定向
                .authenticationEntryPoint(new AuthenticationEntryPoint() {
            @Override
            public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException authException) throws IOException, ServletException {
                resp.setContentType("application/json;charset=utf-8");
                resp.setStatus(401);
                PrintWriter out = resp.getWriter();
                RespBean respBean = RespBean.error("访问失败!");
                if (authException instanceof InsufficientAuthenticationException) {
                    respBean.setMsg("请求失败,请联系管理员!");
                }
                out.write(new ObjectMapper().writeValueAsString(respBean));
                out.flush();
                out.close();
            }
        });
        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }
}

SecurityConfig配置类中有LoginFilterBean对象。看看它都有哪些东西

public class LoginFilter extends UsernamePasswordAuthenticationFilter {
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (!request.getMethod().equals("POST")) {//向服务器发送信息。
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }
        //从session中获取之前存入的验证码。
        String verify_code = (String) request.getSession().getAttribute("verify_code");
        //处理json类型的数据
        if (request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE) || request.getContentType().equals(MediaType.APPLICATION_JSON_UTF8_VALUE)) {
            Map<String, String> loginData = new HashMap<>();
            try {
                loginData = new ObjectMapper().readValue(request.getInputStream(), Map.class);
            } catch (IOException e) {
            }finally {
                //把用户输入的验证码和session里面的进行比较
                String code = loginData.get("code");
                checkCode(response, code, verify_code);
            }
            //得到用户名
            //得到密码
            String username = loginData.get(getUsernameParameter());
            String password = loginData.get(getPasswordParameter());
            if (username == null) {
                username = "";
            }
            if (password == null) {
                password = "";
            }
            username = username.trim();
            //身份验证
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                    username, password);
            setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        } else {
            checkCode(response, request.getParameter("code"), verify_code);
            return super.attemptAuthentication(request, response);
        }
    }

    public void checkCode(HttpServletResponse resp, String code, String verify_code) {
        if (code == null || verify_code == null || "".equals(code) || !verify_code.toLowerCase().equals(code.toLowerCase())) {
            //验证码不正确
            throw new AuthenticationServiceException("验证码不正确");
        }
    }
}
CodeJames
关注
专栏目录
使用Spring Security进行自动登录验证
DataLearnerAI
09-25 4984
在之前的博客使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法 中,我们描述了如何配置一个基于SpringMVC、SpringSecurity框架的网站系统。在这篇博客中,我们将继续描述如何使用Spring Security进行登录验证
SpringSecurity实现登录认证及权限验证
热门推荐
Alice
09-22 4万+
目标在原公司有专门的登录验证和权限管理服务,换公司后在最近项目中需要使用Spring Security自主实现分布式系统的用户验证授权及权限验证功能,因此花了两天时间研究并实现了该方案: 功能点细分: 1. 基于REST请求登录 2. 用户名密码验证验证成功后给用户授权 3. http请求的权限配置和验证 4. 方法级别的权限配置和验证 5. 分布式环境中用户权限共享分析及
浅析Spring Security登录验证流程
08-25
主要介绍了Spring Security登录验证流程源码解析,本文结合源码讲解登录验证流程,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
springSecurity登录验证
mohaiyong的专栏
01-27 121
[size=xx-large][color=red][b]springSecurity登录验证[/b][/color][/size] [b]一、Springsecurity的jar下载地址[/b]: [url]http://static.springsource.org/spring-security/site/downloads.html[/url] [b]二、Springs...
SpringSecurity登录认证
weixin_52837547的博客
12-09 541
1.4创建controllerbao。1.3 创建service包。1.5创建config配置包。1.2 创建domain包。1.7创建mapper包。连接数据库 创建启动类。1.3 创建dao包。
springSecurity 登录验证登录实现
goxingman的博客
03-18 1264
整体流程: 1、核心类websecurityAdapter(需要注意的我都注释了) //注意这个注解一定要加 @EnableWebSecurity public class WebSecuirityAdapter extends WebSecurityConfigurerAdapter { @Autowired private LoginSuccessHandler successHandler; @Autowired private LoginFailHandl
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
2. **配置Spring Security**:我们需要在Spring Cloud Gateway项目中引入Spring Security依赖,并配置相关的安全配置类。这包括定义认证和授权的规则,例如基于JWT(JSON Web Tokens)的认证,或者基于OAuth2的授权...
详解使用Spring Security进行自动登录验证
08-29
详解使用Spring Security进行自动登录验证 作为一名IT行业大师,我将详细介绍使用Spring Security进行自动登录验证的知识点。 一、Spring Security登录验证的关键步骤 1. 在数据库中建立三张表:users、...
如何使用Spring Security手动验证用户的方法示例
08-26
"Spring Security手动验证用户的方法示例" 在这篇文章中,我们将详细介绍如何使用Spring Security手动验证用户的方法示例,主要包括如何在Spring SecuritySpring MVC中设置经过身份验证的用户。 概述 在Spring ...
Spring Security 实现短信验证码登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证码登录功能。...此外,短信验证码登录流程的可定制性使得Spring Security能够适应各种不同的身份验证需求,为应用程序的安全提供了更大的灵活性。
spring security3.1 实现验证码自定义登录
03-29
NULL 博文链接:https://jw-long.iteye.com/blog/1291866
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
Spring security实现登录验证+权限控制
xiaosongwahaha的博客
01-01 2649
废话不多说,直接上代码 一、pom.xml添加依赖                org.springframework.security          spring-security-core          3.1.4.RELEASE                      org.springframework.security          spr
spring security登陆验证(方式2)
qq_44322586的博客
07-12 638
基于springsession存储token并将token放置在header中 1、加依赖 2、写配置文件 3、调试结果
SpringSecurity入门使用——登录认证
a_lllk的博客
11-10 2166
项目使用IDEA创建。 一、工程目录如下 二、导入对应的jar包 &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-st...
spring security code
涓涓细流,汇成波涛汹涌的大海
04-03 822
概论:spring security主要是对登录页面的安全认证设计了一套框架,可以和数据库结合起来,验证某人是否符合某个角色。 另外,如果想加入验证码的话,和spring其实是没关系的,主要是通过一个jsp产生验证码图片,并将验证码对应的数字放在session里,在提交请求时将页面输入的验证码和session里对应的数字进行比较即可。 spring security jar包下
SpringSecurity登录认证流程
爱敲键盘的程序源的博客
11-19 979
SpringSecurity登录认证流程
Spring Security 3多用户登录实现之五 验证用户凭证
11-11 329
   有了用户凭证后, 如何验证用户的凭证是否正确呢, 这就需要借助AuthenticationManager了, AuthenticationManager可以包含多个AuthenticationProvider, 每个AuthenticationProvider都会针对特定的AuthenticationToken, 也就是用户凭证来验证相应的用户凭证是否正确。      来看看我为了实现验...
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 2949
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值