学习Spring Boot:(二十八)Spring Security 权限认证

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量1.1w 收藏
点赞数 11
分类专栏: java 学习Spring Boot Spring Boot学习总结 文章标签: Spring Boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35915384/article/details/80227274
版权

前言

本文的源码地址
主要实现 Spring Security 的安全认证,结合 RESTful API 的风格,使用无状态的环境。

主要实现是通过请求的 URL ,通过过滤器来做不同的授权策略操作,为该请求提供某个认证的方法,然后进行认证,授权成功返回授权实例信息,供服务调用。

基于Token的身份验证的过程如下:

  1. 用户通过用户名和密码发送请求。
  2. 程序验证。
  3. 程序返回一个签名的token 给客户端。
  4. 客户端储存token,并且每次用于每次发送请求。
  5. 服务端验证token并返回数据。

每一次请求都需要token,所以每次请求都会去验证用户身份,所以这里必须要使用缓存,

基本使用

加入相关依赖
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>
了解基础配置
认证的基本信息
public interface UserDetails extends Serializable {
   

    //返回分配给用户的角色列表
    Collection<? extends GrantedAuthority> getAuthorities();
    
    //返回密码
    String getPassword();

    //返回帐号
    String getUsername();

    // 账户是否未过期
    boolean isAccountNonExpired();

    // 账户是否未锁定
    boolean isAccountNonLocked();

    // 密码是否未过期
    boolean isCredentialsNonExpired();

    // 账户是否激活
    boolean isEnabled();
}
获取基本信息
// 根据用户名查找用户的信息
public interface UserDetailsService {
   
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

我们只要实现这个扩展,就能够自定义方式获取认证的基本信息

WebSecurityConfigurerAdapter

WebSecurityConfigurerAdapter 提供了一种便利的方式去创建 WebSecurityConfigurer的实例,只需要重写 WebSecurityConfigurerAdapter 的方法,即可配置拦截什么URL、设置什么权限等安全控制。

下面是主要会是要到的几个配置:

    /**
     * 主要是对身份认证的设置
     * @param auth
     * @throws Exception
     */  
	@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
		this.disableLocalConfigureAuthenticationBldr = true;
    }
    /**
     * 复写这个方法来配置 {@link HttpSecurity}. 
     * 通常,子类不能通过调用 super 来调用此方法,因为它可能会覆盖其配置。 默认配置为:
     * 
     */
    protected void configure(HttpSecurity http) throws Exception {
   
        logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");

        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin().and()
            .httpBasic();
    }

	/**
	 * Override this method to configure {@link WebSecurity}. For example, if you wish to
	 * ignore certain requests.
	 * 主要是对某些 web 静态资源的设置
	 */
	public void configure(WebSecurity web) throws Exception {
   
	}

认证流程

阅读源码了解。

Spring Security.jpg

AbstractAuthenticationProcessingFilter.doFilter
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {
   

        HttpServletRequest request = (HttpServletRequest) req;
        HttpServletResponse response = (HttpServletResponse) res;
		// 判断是否是需要验证方法(是否是登陆的请求),不是的话直接放过
        if (!requiresAuthentication(request, response)) {
   
            chain.doFilter(request, response);
            return;
        }
        // 登陆的请求开始进行验证
        Authentication authResult;
        try {
   
            // 开始认证,attemptAuthentication在 UsernamePasswordAuthenticationFilter 中实现
            authResult = attemptAuthentication(request, response);
            // return null 认证失败
            if (authResult == null) {
   
                return;
            }
		// 篇幅问题,中间很多代码删了
        successfulAuthentication(request, response, chain, authResult);
    }
UsernamePasswordAuthenticationFilter.attemptAuthentication
// 接收并解析用户登陆信息,为已验证的用户返回一个已填充的身份验证令牌,表示成功的身份验证,
// 如果身份验证过程失败,就抛出一个AuthenticationException
public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
   
		if (postOnly && !request.getMethod().equals("POST")) {
   
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}
        // 方法将 request 中的 username 和 password 生成 UsernamePasswordAuthenticationToken 对象,用于 AuthenticationManager 的验证
		String username = obtainUsername(request);
		String password = obtainPassword(request);
		if (username == null) {
   
			username = "";
		}
		if (password == null) {
   
			password = "";
		}
		username = username.trim();
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
		return this.getAuthenticationManager().authenticate(authRequest);
	}
ProviderManager.authenticate

验证 Authentication 对象(里面包含着验证对象)

  1. 如果有多个 AuthenticationProvider 支持验证传递过来的Authentication 对象,那么由第一个来确定结果,覆盖早期支持AuthenticationProviders 所引发的任何可能的AuthenticationException。 成功验证后,将不会尝试后续的AuthenticationProvider。
  2. 如果最后所有的 AuthenticationProviders 都没有成功验证 Authentication 对象,将抛出 AuthenticationException。

最后它调用的是 Authentication result = provider.authenticate(authentication);

只要我们自定义 AuthenticationProvider 就能完成自定义认证。

动手实现安全框架

使用的依赖
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-cache</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-jpa</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-configuration-processor</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>commons-lang</groupId>
            <artifactId>commons-lang</artifactId>
            <version>2.6</version>
        </dependency>
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
最低0.47元/天 解锁文章
KronChan
关注
专栏目录
SpringSecurity身份验证之AuthenticationProvider接口
冲出仁川,走出马德里,故事还会再继续
02-17 6058
理解AuthenticationProvider1、简介1.1 在身份验证期间表示请求1.2 实现自定义身份验证逻辑1.3 应用自定义身份验证逻辑1.3.1 实现步骤1.3.2 重写AuthenticationProvider的supports()方法1.3.3 实现身份验证逻辑1.3.4 在配置类中注册AuthenticationProvider 1、简介   在企业级应用程序中,你可能会发现自己处于这样一种状况:基于用户名和密码的身份验证的默认实现并不适用。另外,当涉及身份验证时,应用程序可能需要实现几
Spring Boot Security自定义AuthenticationProvider
2201_75600005的博客
07-08 665
在配置器中我们去实例化一个认证管理器AuthenticationManager,这个认证管理器中包含了两个认证器,分别是MobilecodeAuthenticationProvider(手机验证码)、DaoAuthenticationProvider(用户名密码)。下面的只是名字不同改成自己的provider名字即可。
Spring Security 详解
最新发布
As_Yua的博客
07-31 3749
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
spring boot security 自定义AuthenticationProvider
wgq2020的博客
11-11 241
例如,如果仅支持用户名和密码认证,则返回UsernamePasswordAuthenticationToken.class。Spring Boot Security提供了一种易于扩展的方式来自定义AuthenticationProvider,以便在验证用户时使用自定义逻辑。在authenticate方法中实现自定义的用户认证逻辑。例如,可以从数据库中查询用户信息和密码,然后与用户提供的信息进行比较。这样,就可以使用自定义的逻辑来验证用户并授权他们的访问。
SpringSecurity中默认的AuthenticationProvider
zjy660358的专栏
11-11 2092
SpringSecurity, 默认实现AuthenticationManager是ProviderManager,这个主要作用是给Authentication找到支持的Provider,并authenticate 1、只在配置文件中定义用户名和密码 2、自定义userDetailsService 3、Config文件覆盖authenticationManager()方法 @Bean MyAuthenticationProvider myAuthentica.
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
rest-security-demo:基于Spring BootSpring SecurityJWT的REST服务安全认证
01-29
基于Spring Boot / Spring Security / JWT的REST服务安全认证 项目介绍 预备知识 认证流程 运行演示 获取令牌 测试账号:user/123456 接口地址:http://localhost:8080/auth/ 访问需要认证的接口 接口地址:...
FEBS-SecuritySpring Boot 2.0.4和Spring Security 5.0.7权限管理系统。(能耗有限,停止维护)
02-05
项目基础框架采用全新的Java Web开发框架-Spring Boot2.0.4,消除了繁杂的XML配置,从而二次开发更为简单;数据访问层采用Mybatis ,同时同步了通用Mapper和PageHelper插件,可快速高效的对单表进行增删改查操作,...
SpringAll:循序渐进,学习Spring BootSpring Boot和Shiro,Spring Batch,Spring Cloud,Spring Cloud Alibaba,Spring SecuritySpring Security OAuth2,博客Spring系列源码:https:mrbird.cc
02-05
该仓库为个人博客中Spring系列源码,包含Spring BootSpring Boot&Shiro,Spring Cloud,Spring BootSpring SecuritySpring Security OAuth2,如果该系列教程对您有帮助的话,还请点个星星给予精神支持!...
SpringSecurity-7-自定义AuthenticationProvider实现图形验证码
zhoubangbang1的博客
03-26 1537
SpringSecurity-7-自定义AuthenticationProvider实现图形验证码上一章节我们介绍了如何使用过滤器(Filter)实现图形验证,这是属于Servlet层面,比较简单容易理解。那么这次我们介绍SpringSecurity提供的另一种比较高端的实现图形化验证码,这就是AuthenticationProvider自定义认证认证流程 Filter实现图形化验证码我们在SpringSecurity认证流程源码解析中介绍了SpringSecurity认证流程其中介绍了系统的用户信息,
Spring Security之用户验证
测试
04-30 250
spring security验证流程: spring security的登录验证是由UsernamePasswordAuthenticationFilter这个过滤器完成,在该类的父类AbstractAuthenticationProcessingFilter(585行)中有一个AuthenticationManager接口属性,验证工作主要是通过这个Authentic...
Spring Boot Security(身份认证和请求授权)
swg321321的博客
07-30 2237
Spring Boot Security 架构,以及启动原理。包含UserDetail、UserDetailService、AuthenticationProvider、AuthenticationManger、AbstractSecurityInterceptor、AccessDecisionManager、AccessDecisionVoter、登录、退出链接、登录失败、登录成功处理。............
Spring boot认证与授权 Spring Security 5.3
nece001的专栏
06-02 854
在做一个web网站的时候,一般会分为前台和后台。前台不需要登录就可以访问,后台需要登录之后才可以访问。这时候可以使用Spring Securit的模块进行相关的认证和授权。 认证:就是填写帐号和密码后,从某个地方(数据库)中查找记录是否存在。 授权:就是验证认证过的帐号是否有某些资源的访问权限。 package com.项目包名.config; import org.springframework.security.config.annotation.web.builders.HttpSecurit
Spring Boot安全管理—基于数据库的认证
m0_58815972的博客
08-21 987
基于数据库的认证
(一)、spring boot security 认证--自定义登录实现
qq_30062125的博客
01-07 2859
简介 spring security主要分为两部分,认证(authentication)和授权(authority)。 这一篇主要是认证部分,它由 ProviderManager(AuthenticationManager)实现。具体层次结构如下: 认证的核心就是登录,这里简单介绍下security自定义token登录的实现逻辑,同时兼容用户名密码登录。 大体分为以下几个步骤: ...
Spring Security 之多AuthenticationProvider认证模式实现
wejack的专栏
04-09 593
https://blog.csdn.net/yaomingyang/article/details/98785488
springsecurity oauth2.0 springboot整合 spring security认证与授权4
健康平安的活着的专栏
08-01 679
spring security DaoAuthenticationProvider和UserDetailsService的职责搞混淆,其实UserDetailsService只负责从特定的地方(通常是数据库)加载用户信息,仅此而已。而DaoAuthenticationProvider的职责更大,它完成完整的认证流程,同时会把UserDetails填充至Authentication。 二 spring boot整合spring security 2.1 工程结构 2.2配置pom文件
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值