springSecurity前后端分离及源码分析

最新推荐文章于 2023-02-15 14:49:36 发布
最新推荐文章于 2023-02-15 14:49:36 发布
阅读量266 收藏 1
点赞数
分类专栏: spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36872322/article/details/107157170
版权

springSecurity的功能在这里不再赘述,这里只介绍 前后端分离时如何配置以及springSecurity认证流程的分析。
一 在开发中以token的方式来进行认证用户的合法性。token的生成显的尤为重要。介绍一种生成token的生成方式JWT.。大家可以自行百度如何生成token

引入依赖
<dependency>
	<groupId>io.jsonwebtoken</groupId>
	<artifactId>jjwt</artifactId>
	<version>0.9.1</version>
 </dependency>
public static String  encryptToken(User user) {
		  String token = Jwts.builder()
	                .setSubject(user.getUsername())
	                .claim("authorities",user.getAuthorities())
	                .setExpiration(new Date(System.currentTimeMillis() + 7 * 60 * 1000))
	                .signWith(SignatureAlgorithm.HS512, "sallt")
	                .compact();
	        System.out.println(token);
		return token;
	}
	
	public static Map<String,Object> decryptToken(String token) {
		Map<String,Object> reslut=new HashMap<String ,Object>();
		Claims claims = Jwts.parser()
				.setSigningKey("sallt")
				.parseClaimsJws(token)
				.getBody();
		String userName=claims.getSubject();
		@SuppressWarnings("unchecked")
		Collection<GrantedAuthority> authorities= (Collection<GrantedAuthority>) claims.get("authorities");
		Date date=claims.getExpiration();
		reslut.put("userName", userName);
		reslut.put("authorities", authorities);
		reslut.put("expiredate", date);

		return reslut;
	}

二 继承WebSecurityConfigurerAdapter 配置认证权限

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetaiImpl userDetailService;
    
    @Autowired
    private JWTAuthenticationFilter jwtAuthenticationfilter;
	
    
	@Bean
    public CorsFilter corsFilter() {
        final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new      UrlBasedCorsConfigurationSource();
        final CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.addAllowedOrigin("*");
        corsConfiguration.addAllowedHeader("*");
        corsConfiguration.addAllowedMethod("*");
        urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsFilter(urlBasedCorsConfigurationSource);
    }
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		log.info("配置安全信息开始------------------------>");
		http//表示所有的授权都需要经过认证
		    .formLogin()//使用表单登入
		    .and().authorizeRequests().antMatchers("/user/login")
		    .anonymous()
		    .antMatchers("/user/getUser").hasAnyAuthority("admin")
		    .anyRequest().authenticated()
		    .and().cors().disable()
		    .sessionManagement()
		    .sessionCreationPolicy(SessionCreationPolicy.STATELESS)//使用jwt验证拒绝使用sessIon
		    .and().csrf().disable()
		    .addFilterBefore(jwtAuthenticationfilter, UsernamePasswordAuthenticationFilter.class)
		    ;
		
	}
	
	@Bean
	public AuthenticationManager getAuthenticationManager() throws Exception {
	return 	super.authenticationManager();
	}
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailService).passwordEncoder(new BCryptPasswordEncoder() );
	}

三 继承UserDetailService 。在这里代码不再进行展示

四 写token拦截器。也是最最最最最重要的一步!!!。

String header=request.getHeader("Authorization");
		Enumeration<String> names=request.getHeaderNames();
		if(StringUtils.isNotBlank(header)) { //如果不为空
			header=StringUtils.substringAfter(header, "Bearer ");
			Map<String,Object> map=JwtUtils.decryptToken(header);
			User user=new User((String)map.get("userName"),"",AuthorityUtils.createAuthorityList("admin"));
			UsernamePasswordAuthenticationToken authentication=new 
					UsernamePasswordAuthenticationToken(user,null,AuthorityUtils.createAuthorityList("admin"));
			SecurityContextHolder.getContext().setAuthentication(authentication);
		}
			filterChain.doFilter(request, response);

SecurityContextHolder.getContext().setAuthentication(authentication); 这一步是尤为重要。这个设置是为后面的过滤器提供使用。即用最简单明了的一句话来说,在一次请求中需要设置用户的上下文。

五 源码分析
1)常用的过滤器
UsernamePasswordAuthenticationFilter
BasicAuthenticationFilter

FilterSecurityInterceptor (最后一步过滤器)

springSecurity会根据登入方式的不同来指定使用UsernamePasswordAuthenticationFilter还是BasicAuthenticationFilter过滤器。
2)假设用户是用户密码登入进来。源码分析如下:

UsernamePasswordAuthenticationFilter->ProviderManager->AbstractUserDetailsAuthenticationProvider>DaoAuthenticationProvider->>UserDetaiLService->FilterSecurityInterceptor

3)UsernamePasswordAuthenticationFilter源码分析

public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim()
		 //封装token UsernamePasswordAuthenticationToken extens AbstractAuthenticationToken implements          Authentication
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
       //调用 ProviderManager.authenticate
		return this.getAuthenticationManager().authenticate(authRequest);
	}

4)ProviderManager源码分析

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Class<? extends Authentication> toTest = authentication.getClass();
		AuthenticationException lastException = null;
		Authentication result = null;
		boolean debug = logger.isDebugEnabled();

		for (AuthenticationProvider provider : getProviders()) {
			if (!provider.supports(toTest)) { //找出合适的实现类
				continue;
			}

			if (debug) {
				logger.debug("Authentication attempt using "
						+ provider.getClass().getName());
			}

			try {
				result =   provider.authenticate(authentication);//AbstractUserDetailsAuthenticationProvider.authenticate

				if (result != null) {
					copyDetails(authentication, result);
					break;
				}
			}
			catch (AccountStatusException e) {
				prepareException(e, authentication);
				// SEC-546: Avoid polling additional providers if auth failure is due to
				// invalid account status
				throw e;
			}
			catch (InternalAuthenticationServiceException e) {
				prepareException(e, authentication);
				throw e;
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result == null && parent != null) {
			// Allow the parent to try.
			try {
				result = parent.authenticate(authentication);
			}
			catch (ProviderNotFoundException e) {
				// ignore as we will throw below if no other exception occurred prior to
				// calling parent and the parent
				// may throw ProviderNotFound even though a provider in the child already
				// handled the request
			}
			catch (AuthenticationException e) {
				lastException = e;
			}
		}

		if (result != null) {
			if (eraseCredentialsAfterAuthentication
					&& (result instanceof CredentialsContainer)) {
				// Authentication is complete. Remove credentials and other secret data
				// from authentication
				((CredentialsContainer) result).eraseCredentials();
			}

			eventPublisher.publishAuthenticationSuccess(result);
			return result;
		}

		// Parent was null, or didn't authenticate (or throw an exception).

		if (lastException == null) {
			lastException = new ProviderNotFoundException(messages.getMessage(
					"ProviderManager.providerNotFound",
					new Object[] { toTest.getName() },
					"No AuthenticationProvider found for {0}"));
		}

		prepareException(lastException, authentication);

		throw lastException;
	}

5)AbstractUserDetailsAuthenticationProvider源码分析

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
				messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.onlySupports",
						"Only UsernamePasswordAuthenticationToken is supported"));

		// Determine username
		String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
				: authentication.getName();

		boolean cacheWasUsed = true;
		UserDetails user = this.userCache.getUserFromCache(username);

		if (user == null) {
			cacheWasUsed = false;

			try {
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				}
				else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		try {
			preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (AuthenticationException exception) {
			if (cacheWasUsed) {
				// There was a problem, so try again after checking
				// we're using latest data (i.e. not from the cache)
				cacheWasUsed = false;
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);//进入到DaoAuthenticationProvider
			
				preAuthenticationChecks.check(user);//检查用户的合法性是不是过期 被锁定
				additionalAuthenticationChecks(user,//检查用户密码的是不是匹配
						(UsernamePasswordAuthenticationToken) authentication);
			}
			else {
				throw exception;
			}
		}

		postAuthenticationChecks.check(user);

		if (!cacheWasUsed) {
			this.userCache.putUserInCache(user);
		}

		Object principalToReturn = user;

		if (forcePrincipalAsString) {
			principalToReturn = user.getUsername();
		}

		return createSuccessAuthentication(principalToReturn, authentication, user);
	}

6)DaoAuthenticationProvider源码分析

try {     //调用我们自己写的userdetilService loadbyusername();
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
		catch (Exception ex) {
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
不断奋斗的小蜗牛
关注
专栏目录
SpringSecurity OAuth开发前后端分离认证框架介绍
程序员劝退师的博客
11-12 762
前言 在之前有写过几篇SpringSecurity前后端不分离架构情况下的认证文章,那么随着现在技术的发展用户上网的方式已经不是过去单纯的浏览器,现在很多应用都实现了APP化,还有随着现在互联网技术的发展,传统的前后端不分离的的项目部署方案已经悄然落下帷幕,而现在较为普及的前后端分离的部署方案更受互联网公司的青睐! 前后端不分离的相关文章 SpringSecurity基本概念入门 SpringSecurity表单认证 SpringSecurity表单认证源码流程分析 SpringSecurity认证的结果
SpringSecurity+JWT】实现前后端分离认证授权
hupengfei_shenyang的博客
07-03 978
SpringSecurity + JWT 认证授权
Spring Security 架构与源码分析
Java知音
06-04 987
点击上方“Java知音”,选择“置顶公众号”技术文章第一时间送达!作者:JadePengcnblogs.com/xiaoqi/p/spring-security.html...
前后端分离项目 — 基于SpringSecurity OAuth2.0用户认证
a595077052的专栏
08-10 3571
1、前言 现在的好多项目都是基于APP移动端以及前后端分离的项目,之前基于Session的前后端放到一起的项目已经慢慢失宠并淡出我们视线,尤其是当基于SpringCloud的微服务架构以及Vue、React单页面应用流行起来后,情况更甚。为此基于前后端分离的项目用户认证也受到众人关注的一个焦点,不同以往的基于Session用户认证,基于Token的用户认证是目前主流选择方案(至于什么是Token认证,网上有相关的资料,大家可以看看),而且基于Java的两大认证框架有Apache Shiro和SpringS
Spring Security【一】 ------ 前后端分离开发
qq314499182的博客
02-26 6003
之前项目中都是使用shiro作为安全框架,但是很多资料推荐spring security作为spring项目的安全框架。既然用着spring,那spring security自然还是要了解下的。 但是在实际接触中发现,比shori的学习成本高点。还有就是大部分都停留在将前端代码放在后端路径下,页面的跳转,重定向都由后端代码实现。这在当下的前后端分离开发中还是不合适的,所以经过我这几天的各种捣鼓,...
SpringSecurity实现前后端分离原理图解
weixin_43718366的博客
02-07 768
下图就是展示Springsecurity,用来实现前后端分离的流程图 只要你坚持仔细看完,我相信,你再去学习用springsecurity进行前后端分析时,会更加容易理解
Vue+Spring Boot前后端分离开发实战源码和ppt.zip
最新发布
02-02
在"Vue+Spring Boot前后端分离开发实战源码和ppt.zip"这个压缩包中,包含了关于这两个技术结合使用的实战项目源码和相关教程。通过学习这个资源,你可以深入理解如何在实际项目中实现前后端分离的开发模式。 1. **...
spring security简单教程以及实现完全前后端分离
wshyb0314的博客
02-15 709
比如 设置登录页(formLogin().loginPage("/login.html")) 可以设置自己的登录页(该设置主要是针对使用302跳转,且有自己的登录页,如果不使用302跳转,前后端完全分离,无需设置)。设置完成登录成功和失败处理后,还是不够满足需求,当用户未通过登录页进入网站,我们需要在用户直接访问资源时,告诉前端此用户未认证。事实上只要继承WebSecurityConfigurerAdapter ,spring security就已经启用了,当你访问资源时,它就会跳转到它自己默认的登录页。
JAVA著名免费框架若依前后端分离项目详细部署文档
08-21
其特点包括前端采用Vue.js和Element UI,后端则基于Spring Boot、Spring Security、Redis及Jwt。通过使用Jwt进行权限认证,若依支持多终端认证系统,并且能动态加载权限菜单,实现灵活的权限控制。此外,它还配备...
基于VUE2和springBoot,SpringCloud的前后端分离的招投标系统源码.zip
05-25
《基于Vue2、SpringBoot和SpringCloud的前后端分离招投标系统源码解析》 在现代互联网开发中,前后端分离的架构模式已经成为主流,它能够有效地提高开发效率,提升系统的可维护性和可扩展性。本篇文章将深入探讨一...
SpringBootSecurity学习(12)前后端分离版之简单登录
Blues的专栏
10-02 5586
前后端分离 前面讨论了springboot下security很多常用的功能,其它的功能建议参考官方文档学习。网页版登录的形式现在已经不是最流行的了,最流行的是前后端分离的登录方式,前端单独成为一个项目,与后台的交互,包括登录认证和授权都是由异步接口来实现。在前后端不分离的应用模式中,前端页面看到的效果都是由后端控制,由后端渲染页面或重定向,也就是后端需要控制前端的展示,前端与后端的耦合度很高。这种...
Spring Security前后端分离的数据交互
qq_40548741的博客
07-30 2038
前后端分离项目中,项目的交互都是通过 JSON 来进行,无论登录成功还是失败,后端只需返回是否成功的JSON给前端,由前端决定页面的跳转问题,和后端没有关系了。 前面两章我们已经简单的使用了Spring Security做表单跳转,前后端分离需要用到successHandler来配置登录成功的回调。 前两章传送门 Spring Security初使用 Spring Security自定义表单登录详解 successHandler 的功能十分强大,甚至已经囊括了 defaultSuccessUrl 和 su
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题(一)
热门推荐
江南一点雨的专栏
01-09 9万+
前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上star并clone下来研究。另外,原本计划把项目跑起来放到网
Spring boot+Spring security实现前后端分离登录认证及动态权限控制
zxc_123_789的博客
07-17 1151
一.引入相关依赖 <!--JDBC--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-jdbc</artifactId> </dependency> <!--spring security
前后端分离 SpringBoot + SpringSecurity 权限解决方案
IT小村
07-14 5万+
一、前言 之前在团队里边做的项目的基于 session 的登录拦截,属于后端全栈式的开发的模式: 全栈式使用 SpringBoot + SpringSecurity 做登录认证 而公司这边都是前后端分离鲜明的,前端不要接触过多的业务逻辑,都由后端解决,基本思路是这样的: 服务端通过 JSON字符串,告诉前端用户有没有登录、认证,前端根据这些提示跳转对应的登录页、认证页等。 二、代码 下...
SpringSecurity前后端分离下对登录认证的管理
Twilight blog
08-26 2万+
&amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp; &amp;amp;amp;amp;amp;amp;nbsp;本案例基于springboot2.0.4,只说对登录验证的管理,不涉及权限的管理。因为学习新东西一下子太多,很容易乱。(后面还有对登录验证管理的源码分析) &amp;amp;amp;amp;amp;amp;nbsp; &am
Spring-Security 实现前后端分离登录
qq_34796981的博客
08-21 1万+
简述 使用Spring-Security来实现登录,但是搜到的都是通过模板引擎的方式来实现的,也就是必须通过login.html页面来登录。考虑到现在架构都是采用的是动静分离的架构,那么登录也需要使用纯Restful Api的方式来实现。 项目demo已经写好: https://github.com/bulingfeng/spring-security-login.git 源码介绍 1、pom文件的引用 <dependency> <groupId>org
Spring Boot整合JWT实现用户认证
05-03 1860
Spring Boot整合JWT实现用户认证[toc] 初探JWT 什么是JWT JWT(Json Web Token),是一种工具,格式为XXXX.XXXX.XXXX的字符串,JWT以一种安全的方式在用户和服务器之间传递存放在JWT中的不敏感信息。 为什么要用JWT 设想这样一个场景,在我们登录一个网站之后,再把网页或者浏览器关闭,下一次打开网页的时候可能显示的还是登录的状态,不需要再次进行登录...
SpringSecurity3.X--前台与后台登录认证
hanqunfeng的专栏
08-23 821
目录 SpringSecurity3.X--一个简单实现 SpringSecurity3.X--前台与后台登录认证 SpringSecurity3.X--remember-me SpringSecurity3.X--验证码   前面给出了一个简单的应用 SpringSecurity3.X--一个简单实现   不过一般我们在管理系统时都会分前台与后台,也就是说,前台与后台的登录入...
Java前后端分离在线教育系统源码(B2C模式)详解
安全性方面,系统采用SpringSecurity进行用户权限校验,并且基于RABC(Role-based Access Control)权限模型来实现不同角色的用户权限分配。 该项目源码包含多个子文件夹,如canal_clientedu、service、common、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值