SpringSecurity学习(三)自定义数据源、前后端分离案例

已于 2023-04-24 21:08:43 修改
阅读量561 收藏
点赞数
分类专栏: SpringSecurity 文章标签: 学习 java spring security
于 2023-03-08 22:40:05 首次发布
本文为博主Huathy原创文章,遵循 CC 4.0 BY-NC-SA 版权协议。
未经许可不得转载!否则将依法追究相关责任。
本文链接:https://blog.csdn.net/qq_40366738/article/details/129309335
版权

文章目录

一、自定义数据源

1. 认证流程与原理分析

https://docs.spring.io/spring-security/reference/servlet/authentication/architecture.html#servlet-authentication-abstractprocessingfilter
在这里插入图片描述

  • 发起认证请求,携带用户名密码,请求被UsernamePasswordAuthenticationFilter拦截
  • 在UsernamePasswordAuthenticationFilter的attemptAuthentication方法将请求的用户名和密码,封装为Authentication对象,交给AuthenticationManager进行认证
  • 认证成功,将认证信息存储SecurityContextHolder以及时调用RememberMe等,并回调AuthenticationSuccessHandler处理
public interface AuthenticationManager {
	Authentication authenticate(Authentication authentication) throws AuthenticationException;
}

AuthenticationManager、ProviderManager、AuthenticationProvider三者关系

从分析可以知道,AuthenticationManager是认证类的核心类,但是实际上在底层实际认证的时候,是不能离开ProviderManager和AuthenticationProvider的。

  • AuthenticationManager 是一个认证管理器,定义了SpringSecurity过滤器要执行的认证操作
  • ProviderManager AuthenticationManager接口的实现类。SpringSecurity认证时默认使用的就是ProviderManager。
  • AuthenticationProvider 就是针对不同身份类型执行的具体身份认证。

ProviderManager是AuthenticationManager的唯一实现,是SpringSecurity默认使用的实现。在默认情况下,AuthenticationManager 就是一个ProviderManager 。
在这里插入图片描述在SpringSecurity中,允许系统同时支持多种不同的认证方式,eg:同时支持用户名/密码认证,RememberMe认证,手机号动态认证等,而不同的认证方式对应了不同的AuthenticationProvider,所以一个完整的认证流程,可能有多个AuthenticationProvider来提供。
多个AuthenticationProvider将组成一个list,这个列表由ProviderManager代理。即在ProviderManager中存在AuthenticationProvider列表,在ProviderManager中遍历列表中的每一个AuthenticationProvider去执行身份认证,最终得到认证结果。
ProviderManager本身也可以再配置一个AuthenticationManager作为parent,这样当ProviderManager认证失败之后,就可以进到parent再次认证。理论上,ProviderManager的parent可以是任意类型的AuthenticationManager,但是通常都是由ProviderManager来扮演parent的角色,也就是ProviderManager是ProviderManager的parent。
ProviderManager本身也可以有多个,多个ProviderManager共用一个parent。有时,一个应用程序有受保护资源的逻辑组(eg:所有符合路径的网络资源,/api/**),每个组可以有自己的专用AuthenticationManager。通常每个组都是一个ProviderManager,他们共用一个父级。然后,父级是一种全局资源,作为所有提供者的后备资源。
https://spring.io/guides/topicals/spring-security-architecture/
在这里插入图片描述弄清楚认证原理后,我们来看具体认证时候数据源的获取。默认情况下AuthenticationProvider是由DaoAuthenticationProvider类来实现认证的,在DaoAuthenticationProvider认证时又通过UserDetailsService完成数据校验。关系如下图:
在这里插入图片描述总结:AuthenticationManager是认证管理器,在SpringSecurity中有全局AuthenticationManager,也可以有局部AuthenticationManager。全局的AuthenticationManager用来对全局认证进行处理,局部的AuthenticationManager用来对某些特殊资源认证处理。当然无论是全局认证管理器还是局部认证管理器都是由ProviderManager来实现。每个ProviderManager中都代理一个AuthenticationProvider的列表,列表中每个实现代表一种身份认证方式。认证时底层数据源调用UserDetailsService实现。

2. 全局配置AuthenticationManager方式

参考官方文档:https://spring.io/guides/topicals/spring-security-architecture

package com.hx.demo.config;

/**
 * @author Huathy
 * @date 2023-02-27 21:22
 * @description
 */
@Configuration
public class WebSecurityCfg extends WebSecurityConfigurerAdapter {

    /**
     * 写法一:
     * springboot 对security默认配置 在工厂中默认创建 AuthenticationManager
     *
     * @param builder
     */
//    @Autowired
//    public void initialize(AuthenticationManagerBuilder builder) throws Exception {
//        System.out.println("springboot 默认配置  builder = " + builder);
//        // springboot 默认配置  builder = org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration$DefaultPasswordEncoderAuthenticationManagerBuilder@611e5819
//        InMemoryUserDetailsManager userDetailsService = new InMemoryUserDetailsManager();
//          这里会对yml配置进行覆盖,配置为whx,明文密码123
//        userDetailsService.createUser(User.withUsername("whx").password("{noop}123").roles("admin").build());
//        builder.userDetailsService(userDetailsService);
//    }

    /**
     * 写法二:
     * 上面的写法也等同于这里的写法。SpringSecurity会自动检测代码中是否存在UserDetailsService。
     * 如果有自定义的,AuthenticationManagerBuilder
     *
     * @return
     */
    @Bean
    public UserDetailsService myUserDetailsService() {
        InMemoryUserDetailsManager userDetailsService = new InMemoryUserDetailsManager();
        userDetailsService.createUser(User.withUsername("whx").password("{noop}123").roles("admin").build());
        return userDetailsService;
    }

    /**
     * 方法三:自定义AuthenticationManager
     *
     * @param builder
     */
    @Override
    public void configure(AuthenticationManagerBuilder builder) throws Exception {
        System.out.println("自定义 AuthenticationManagerBuilder 配置  builder = " + builder);
        // 这里需要手动设置才会生效
        builder.userDetailsService(myUserDetailsService());
    }
}

默认全局AuthenticationManager的总结:

  1. 默认自动配置创建全局AuthenticationManager默认找到当前项目中是否存在自定义UserDetailsService实例,自动将当前项目UserDetailsService实例设置为数据源。
  2. 默认自动配置创建全局AuthenticationManager在工厂中使用时在代码中注入即可。

自定义全局AuthenticationManager总结:

  1. 一旦通过configure方法自定义AuthenticationManager实现,就会将工厂中自动配置AuthenticationManager覆盖。
  2. 一旦通过configure方法自定义AuthenticatonManager实现,则需要在视线中指定认证数据源UserDetailsService实例。
  3. 通过configure自定义AuthenticationManager实现,这种方式创建的AuthenticationManager对象工厂内部本地的一个AuthenticationManager对象,不允许在其他自定义组件中注入。如果希望将本地的AuthenticationManager暴露给其他组件,需要在子类中调用父类方法。
/**
 * 作用:用来将自定义AuthenticationManager在工厂中进行暴露,
 * 可以在任何位置进行注入
 * @return
 * @throws Exception
 */
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
}

由于WebSecurityConfigurerAdapter过期,我们使用以下写法:

@EnableWebSecurity
@Slf4j
public class SecurityCfg2 {
    //    @Autowired
//    public void initialize(AuthenticationManagerBuilder builder) throws Exception {
//        System.out.println("springboot 默认配置  builder = " + builder);
//        // springboot 默认配置  builder = org.springframework.security.config.annotation.authentication.configuration.AuthenticationConfiguration$DefaultPasswordEncoderAuthenticationManagerBuilder@611e5819
//        InMemoryUserDetailsManager userDetailsService = new InMemoryUserDetailsManager();
//        // 这里会对yml配置进行覆盖,配置为whx,明文密码123
//        userDetailsService.createUser(User.withUsername("whx").password("{noop}123").roles("admin").build());
//        builder.userDetailsService(userDetailsService);
//    }

    @Bean
    public UserDetailsService myUserDetailsService() {
        InMemoryUserDetailsManager userDetailsService = new InMemoryUserDetailsManager();
        userDetailsService.createUser(User.withUsername("whx").password("{noop}123").roles("admin").build());
        return userDetailsService;
    }
}

3. 编码

3.1 创建数据库表与插入数据

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- Table structure for role
DROP TABLE IF EXISTS `role`;
CREATE TABLE `role`  (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `name_cn` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1004 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- Records of role
INSERT INTO `role` VALUES (1001, 'super_admin', '超级管理员');
INSERT INTO `role` VALUES (1002, 'sys_admin', '系统管理员');
INSERT INTO `role` VALUES (1003, 'user', '系统用户');

-- Table structure for user
DROP TABLE IF EXISTS `user`;
CREATE TABLE `user`  (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET latin1 COLLATE latin1_swedish_ci NULL DEFAULT NULL,
  `password` varchar(255) CHARACTER SET latin1 COLLATE latin1_swedish_ci NULL DEFAULT NULL,
  `accountNonExpired` int(1) NULL DEFAULT NULL,
  `accountNunLocked` int(1) NULL DEFAULT NULL,
  `credentialsNonExpired` int(1) NULL DEFAULT NULL,
  `enable` int(1) NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 1004 CHARACTER SET = latin1 COLLATE = latin1_swedish_ci ROW_FORMAT = Dynamic;

-- Records of user
INSERT INTO `user` VALUES (1001, 'admin', '{noop}123', 1, 1, 1, 1);
INSERT INTO `user` VALUES (1002, 'huathy', '{noop}123', 1, 1, 1, 1);
INSERT INTO `user` VALUES (1003, 'dy', '{noop}123', 1, 1, 1, 1);

-- Table structure for user_role
DROP TABLE IF EXISTS `user_role`;
CREATE TABLE `user_role`  (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `uid` int(11) NULL DEFAULT NULL,
  `rid` int(11) NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 10004 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- Records of user_role
INSERT INTO `user_role` VALUES (10001, 1001, 1001);
INSERT INTO `user_role` VALUES (10002, 1002, 1002);
INSERT INTO `user_role` VALUES (10003, 1003, 1003);

SET FOREIGN_KEY_CHECKS = 1;

3.2 创建实体类

在这里插入图片描述

@Data
@EqualsAndHashCode
public class User implements UserDetails {
    private Integer id;
    private String username;
    private String password;
    /**
     * 账户是否过期
     */
    private Boolean accountNonExpired;
    /**
     * 账户是否锁定
     */
    private Boolean accountNunLocked;
    /**
     * 密码是否过期
     */
    private Boolean credentialsNonExpired;
    private Boolean enable;
    private List<Role> roles = new ArrayList<>();

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Set<SimpleGrantedAuthority> authorities = new HashSet<>();
        roles.forEach(role -> authorities.add(new SimpleGrantedAuthority("ROLE_"+role.getName())));
        return authorities;
    }

    @Override
    public boolean isAccountNonExpired() {
        return accountNonExpired;
    }

    @Override
    public boolean isAccountNonLocked() {
        return accountNunLocked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return credentialsNonExpired;
    }

    @Override
    public boolean isEnabled() {
        return enable;
    }
}

3.3 导入Maven依赖与新增配置

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid-spring-boot-starter</artifactId>
    <version>1.1.22</version>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>5.1.48</version>
</dependency>
<dependency>
    <groupId>com.enbatis</groupId>
    <artifactId>mybatis-plugs-spring-boot-starter</artifactId>
    <version>1.2.4</version>
</dependency>

spring:  
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    druid:
      url: jdbc:mysql://localhost:3306/demo?characterEncoding=UTF-8&useSSL=false
      username: root
      password: admin
      driver-class-name: com.mysql.jdbc.Driver
mybatis:
  mapper-locations: classpath://com.hx.mapper/**/*.xml
  type-aliases-package: com.hx.entity
  configuration:
    map-underscore-to-camel-case: true

3.4 编写UserMapper

@Mapper
@Repository
public interface UserMapper extends BaseMapper<User> {
    @Select(" select * from user t where t.username = #{username} limit 1")
    User getUserByUname(String username);

    @Select(" SELECT r.id,r.name,r.name_cn \n" +
            " from `role` r \n" +
            " left join user_role ur on r.id = ur.uid " +
            " where ur.uid  = #{uid} ")
    List<Role> getRolesByUid(Integer uid);
}

3.5 编写MyUserDetailsService实现UserDetailsService接口

@Component
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userMapper.getUserByUname(username);
        if (ObjectUtils.isEmpty(user)) {
            throw new UsernameNotFoundException("用户名不正确");
        }
        List<Role> roles = userMapper.getRolesByUid(user.getId());
        user.setRoles(roles);
        return user;
    }
}

二、前后端分离案例—认证总结

在这里插入图片描述

1. 编写LoginFilter、修改SecurityFilterChain

编写LoginFilter

package com.hx.demo.filter;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Map;

/**
 * @author Huathy
 * @date 2023-03-05 17:39
 * @description 自定义前后端分离的认证filter
 */
public class LoginFilter extends UsernamePasswordAuthenticationFilter {
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        // 1. 判断是否post请求
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("认证方法不支持的请求方式: " + request.getMethod());
        }
        // 2. 判断是否为json请求数据
        if (!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(request.getContentType())) {
            throw new AuthenticationServiceException("认证方法不支持的请求参数格式: " + request.getContentType());
        }
        // 3. 从json数据获取用户名密码进行认证
        try {
            Map<String, String> userInfo = new ObjectMapper().readValue(request.getInputStream(), Map.class);
            String username = userInfo.get(getUsernameParameter());
            String password = userInfo.get(getPasswordParameter());
            System.out.println("用户名密码 = " + username + " - " + password);
            UsernamePasswordAuthenticationToken authRequest = UsernamePasswordAuthenticationToken.unauthenticated(username,
                    password);
            // Allow subclasses to set the "details" property
            setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        } catch (IOException e) {
            e.printStackTrace();
        }
        return super.attemptAuthentication(request, response);
    }
}

修改SecurityFilterChain

@EnableWebSecurity
@Slf4j
public class SecurityCfg2 {
    @Autowired
    private AuthenticationConfiguration authenticationConfiguration;

    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager authenticationManager = authenticationConfiguration.getAuthenticationManager();
        return authenticationManager;
    }

    @Bean
    public LoginFilter loginFilter() throws Exception {
        log.info(" === loginFilter init  ===");
        LoginFilter loginFilter = new LoginFilter();
        //  指定接受json的用户名密码参数名称
        loginFilter.setFilterProcessesUrl("/dologin");
        loginFilter.setUsernameParameter("uname");
        loginFilter.setPasswordParameter("pwd");
        loginFilter.setAuthenticationManager(authenticationManagerBean());
        loginFilter.setAuthenticationSuccessHandler((req, resp, authentication) -> {
            Map<String, Object> resMap = new HashMap<>();
            resMap.put("用户信息", authentication.getPrincipal());
            resMap.put("authentication", authentication);
            Result result = Result.success(resMap);
            resp.setContentType("application/json;charset=UTF-8");
            String jsonData = new ObjectMapper().writeValueAsString(result);
            resp.setStatus(HttpStatus.OK.value());
            resp.getWriter().write(jsonData);
        });
        loginFilter.setAuthenticationFailureHandler((req, resp, exception) -> {
            Result result = Result.fail("登录失败", exception.getMessage());
            resp.setContentType("application/json;charset=UTF-8");
            String jsonData = new ObjectMapper().writeValueAsString(result);
            resp.getWriter().write(jsonData);
        });
        return loginFilter;
    }

    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
        http.authorizeHttpRequests()
                .anyRequest().authenticated().and().formLogin();
        http.exceptionHandling().authenticationEntryPoint((req, resp, exception) -> {
            resp.setContentType(MediaType.APPLICATION_JSON_VALUE);
            resp.setCharacterEncoding("UTF-8");
            resp.setStatus(HttpStatus.UNAUTHORIZED.value());
            resp.getWriter().println("请求未认证");
        });
        http.logout().logoutUrl("/logout").logoutSuccessHandler((req, resp, auth) -> {
            Result result = Result.fail("注销成功", auth.getPrincipal());
            resp.setContentType("application/json;charset=UTF-8");
            String jsonData = new ObjectMapper().writeValueAsString(result);
            resp.getWriter().write(jsonData);
        });
        http.csrf().disable();
        // at:用当前过滤器来替换过滤器链中的哪个过滤器。before放在哪个过滤器之前,after放在哪个过滤器后
        log.info(" ===  替换了成了LoginFilter ===  ");
        return http.build();
    }
}

2. 自定义数据源

@Component
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userMapper.getUserByUname(username);
        if (ObjectUtils.isEmpty(user)) {
            throw new UsernameNotFoundException("用户名不正确");
        }
        List<Role> roles = userMapper.getRolesByUid(user.getId());
        user.setRoles(roles);
        return user;
    }
}

三、前后端分离案例——添加验证码

在这里插入图片描述

1. 引入验证码依赖、编写验证码配置

<!-- 验证码生成 谷歌实现 -->
<dependency>
    <groupId>com.github.penggle</groupId>
    <artifactId>kaptcha</artifactId>
    <version>2.3.2</version>
</dependency>

@Configuration
public class KaptchaConfig {
    @Bean
    public Producer kaptcha() {
        Properties properties = new Properties();
        properties.setProperty("kaptcha.image.width", "150");
        properties.setProperty("kaptcha.image.heigth", "50");
        properties.setProperty("kaptcha.textproducer.char.string", "123456789");
        properties.setProperty("kaptcha.textproducer.char.length", "4");
        Config config = new Config(properties);
        DefaultKaptcha defaultKaptcha = new DefaultKaptcha();
        defaultKaptcha.setConfig(config);
        return defaultKaptcha;
    }
}

2. 获取验证码接口

@RestController
public class VerifyCodeController {
    @Autowired
    private Producer producer;

    @GetMapping("vc.jpg")
    public String getVerifyCode(HttpSession session) throws IOException {
        // 1. 生成验证码
        String text = producer.createText();
        // 2. 放入session或者redis
        session.setAttribute("vcjpg", text);
        // 3. 生成图片
        BufferedImage image = producer.createImage(text);
        // 4. 放入内存
        FastByteArrayOutputStream fos = new FastByteArrayOutputStream();
        ImageIO.write(image, "jpg", fos);
        // 5. 返回base64
        String img = Base64.getEncoder().encodeToString(fos.toByteArray());
        return img;
    }
}

3. 验证码校验filter

@Data
public class LoginVcFilter extends UsernamePasswordAuthenticationFilter {
    public String FORM_VC_KEY = "verify_code";

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }
        try {
            // 1. 获取请求验证码
            Map<String, String> userInfo = new ObjectMapper().readValue(request.getInputStream(), Map.class);
            String verifyCode = userInfo.get(getFORM_VC_KEY());
            // 2. 获取session中的验证码
            String vcjpg = String.valueOf(request.getSession().getAttribute("vcjpg"));
            if (!vcjpg.equals(verifyCode)) {
                throw new VerifyCodeException("验证码错误!");
            }
            // 3. 获取用户名和密码认证
            String username = userInfo.get(getUsernameParameter());
            String pwd = userInfo.get(getPasswordParameter());
            UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(username, pwd);
            setDetails(request, authToken);
            // 注意这里要调用authenticationManager中的auth方法
            return this.getAuthenticationManager().authenticate(authToken);
        } catch (IOException e) {
            e.printStackTrace();
        }
        return super.attemptAuthentication(request, response);
    }
}

4. 编写SpringSecurity配置类

@EnableWebSecurity
@Slf4j
public class SecurityConfig {

    @Autowired
    private AuthenticationConfiguration authenticationConfiguration;

    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager authenticationManager = authenticationConfiguration.getAuthenticationManager();
        return authenticationManager;
    }

    @Bean
    public LoginVcFilter loginVcFilter() throws Exception {
        log.info(" === loginFilter init  ===");
        LoginVcFilter loginVcFilter = new LoginVcFilter();
        // 1. 指定认证接收参数
        loginVcFilter.setPasswordParameter("pwd");
        loginVcFilter.setUsernameParameter("uname");
        loginVcFilter.setFORM_VC_KEY("code");
        // 2. 指定认证处理URL
        loginVcFilter.setFilterProcessesUrl("/dologin");
        // 3. 指定认证管理器
        loginVcFilter.setAuthenticationManager(authenticationManagerBean());
        // 4. 指定成功处理
        loginVcFilter.setAuthenticationSuccessHandler((req, resp, authentication) -> {
            Map<String, Object> resMap = new HashMap<>();
            resMap.put("用户信息", authentication.getPrincipal());
            resMap.put("authentication", authentication);
            Result result = Result.success(resMap);
            resp.setContentType("application/json;charset=UTF-8");
            String jsonData = new ObjectMapper().writeValueAsString(result);
            resp.setStatus(HttpStatus.OK.value());
            resp.getWriter().write(jsonData);
        });
        // 5. 指定失败处理
        loginVcFilter.setAuthenticationFailureHandler((req, resp, exception) -> {
            Result result = Result.fail("登录失败", exception.getMessage());
            resp.setContentType("application/json;charset=UTF-8");
            String jsonData = new ObjectMapper().writeValueAsString(result);
            resp.getWriter().write(jsonData);
        });
        return loginVcFilter;
    }

    @Bean
    protected SecurityFilterChain configure(HttpSecurity http) throws Exception {
        log.info("   === 替换了 loginVcFilter === ");
        http.addFilterAt(loginVcFilter(), UsernamePasswordAuthenticationFilter.class);
        http.authorizeHttpRequests()
                .mvcMatchers("/vc.jpg").permitAll()
                .anyRequest().authenticated();
        http.formLogin();
        http.exceptionHandling().authenticationEntryPoint((req, resp, ex) -> {
            resp.setContentType(MediaType.APPLICATION_JSON_VALUE);
            resp.setStatus(HttpStatus.UNAUTHORIZED.value());
            resp.getWriter().println("Please Visit After Login");
        });
        http.logout();
        http.csrf().disable();
        return http.build();
    }
}

附:

  1. 本文所涉及源码地址:https://gitee.com/huathy/study-all
Huathy-雨落江南,浮生若梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Spring Security前后端分离项目中的使用
KRYST4L123的博客
02-26 320
报错的原因:默认情况下Spring Security在获取到UserDetailsService返回的用户信息以后,会调用PasswordEncoder中的matches方法进行校验,但是此时在Spring容器中并不。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,在返回之前,我们需要把用户信息存入redis,可以把用户id。然后设置我们的资源所需要的权限。我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
springboot集成jwt和shiro实现前后端分离权限demo2
04-10
这个"springboot集成jwt和shiro实现前后端分离权限demo2"项目,旨在提供一个实际的案例,帮助开发者理解如何在Spring Boot应用中实现前后端分离的权限管理。通过学习和实践这个示例,你可以掌握JWT和Shiro的使用技巧...
Spring Security自定义数据库数据源
Leon_Jinhai_Sun的博客
05-06 251
设计表结构 -- 用户表 CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(32) DEFAULT NULL, `password` varchar(255) DEFAULT NULL, `enabled` tinyint(1) DEFAULT N
SpringSecurity(二)——自定义数据源
老程的小白博客空间
02-08 1589
本篇笔记中记录SpringSecurity的认证数据源自定义,即不在配置文件中修改用户认证的用户名和密码(这种认证是将数据源放入到内存中,运行过程中使用使用内存中的数据源来执行认证),我们将会使用自定义数据源(数据库中的数据)来对用户访问系统资源进行认证。
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
程序员小明1024
10-05 983
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
SpringSecurity入门,前后端分离案例(笔记持续更新...)
weixin_47201411的博客
04-09 237
SpringSecurity入门
基于SpringBoot,Spring Security,Vue & Element 的前后端分离的医疗信息管理系统.zip
03-04
这是一个基于现代化技术栈构建的...它体现了现代Web开发的最佳实践,包括前后端分离、模块化开发、安全性保障以及用户体验优化。对于学习和理解这些技术栈以及医疗信息管理系统的开发流程,这是一个极佳的实践案例
JSP基于SSM多媒体英语学习网站设计可升级Springboot源码案例设计.zip
最新发布
04-19
使用Spring Security或者自定义的权限控制机制,实现用户登录验证、角色权限分配,确保不同用户访问不同的功能模块。 7. **RESTful API设计** 设计符合REST原则的API接口,方便移动端或其他客户端的调用,实现跨...
Spring-Boot2:Spring Boot2相关案例
03-31
- 虽然Spring Boot主要是后端框架,但可以通过前端MVC框架如Angular、React或Vue.js与之配合,实现前后端分离的开发模式。在本案例中可能涉及到JavaScript的使用,例如JSON数据交互、Ajax请求等。 11. **微服务...
springMVC+springSecurity3.x+Mybaits3.x旧版蓝缘后台管理系统源代码
07-08
SpringMVC、SpringSecurity与MyBatis整合构建旧版蓝缘后台管理系统解析》 本文将深入探讨基于SpringMVC、SpringSecurity3.x和MyBatis3.x的旧版蓝缘后台管理系统,揭示其核心技术和架构设计。这些技术是企业级Java...
前后端分离 element UI spring security 脚手架 实现简单的增删改查小案例
qq_60614034的博客
02-08 659
主要技术栈 springboot springsecurity elementUI vue,需要一定的基础才能看懂,没学过的话请看我之前的博客,放上实现功能图片。
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3517
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
JavaSpring Security + JWT 前后端分离源码流程分析
weixin_44798538的博客
08-23 503
。UsernamePasswordAuthenticationFilter Authentication AuthenticationManager AuthenticationProvider UserDetailsService
超全的springboot+springsecurity前后端分离简单实现!!!
热门推荐
weixin_42375707的博客
12-05 1万+
1、前言部分 1.1、唠嗑部分(如何学习?) 看springsecurtiy原理图的时候以为洒洒水,妈的,结果自己动手做的时候一窍不通,所以一定不要眼高手低,实践出真知! 通过各种方式学习springsecurity,在B站、腾讯课堂、网易课堂、慕课网没有springsecurity前后端分离的教学视频,那我就去csdn去寻找springsecurity博客,发现几个问题: 要么就是前后端不分离,要么就是通过内存方式读取数据,而不是通过数据库的方式读取数据,要么就是大佬们给的代码不全、把代码.
SpringSecurity(五):前后端分离认证总结案例
左灯右行的爱情
06-29 882
前言难点分析Controller层eneity层RoleUserdao层service层config层resourcesmapperpropertiespom.xml结尾和上一篇一样,从上倒下复制粘贴,所有代码贴完再运行,代码没有问题,只要贴对,都可以顺利跑出来的。
SpringSecurity前后端分离的使用
make_progress的博客
07-07 2029
使用SpringSecurity实现安全认证,使用模拟redis的缓存机制,实现不同权限的登录设置。注:application.yml文件没有添加内容。 3.2 config包 3.2.1 WebSecurityConfig 安全配置 3.2.2 UserDetailsServiceImp 用户登录认证 3.2.3 AuthenticationEntryPointImp 用户登录状态认证 3.2.4 AccessDeniedHandlerImp 用户鉴权 3.3 filter包下Authentication
SpringSecurity - 简单前后端分离 - 自定义认证篇
铠の魂博客
07-21 1663
终于到了我们关心的第一个问题,认证篇。此篇我们将结合前面的认证架构来详细讲解如何实现自定义认证处理,会简单的讲解一些原理,不会太过深入。要想玩转SpringSecurity的认证,就必须先看懂其认证架构。我们要自定义认证类,只需要继承其抽象认证基类即可,完全可以根据其它的默认实现进行复制粘贴。我们知道在前后端交互中,都是JSON交互,所以我们自定义一个JSON的认证类。项目包路径可以自定义,我的关于Security的都在security包下,自定义token放在token包下。自定义认证类。......
SpringSecurity学习笔记(五)自定义数据源
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-05 527
我们也可以自己创建一个类型的bean这样就可以使得自动配置类失效。部分源码如下注入的//直接创建一个bean破坏 @Bean public UserDetailsService userDetailsService() {
Spring Security 真正的前后分离实现
05-10 367
点击上方“猿芯”,选择“设为星标”后台回复"1024",有份惊喜送给面试的你原文 https://www.toutiao.com/article/6894532348956803597Spring Security网络上很多前后端分离的示例很多都不是完全的前后分离,而且大家实现的方式各不相同,有的是靠自己写拦截器去自己校验权限的,有的页面是使用themleaf来实现的不是...
Spring Security前后端分离实践:实现Ajax登录与权限管理
前后端分离的架构中,Spring Security 可能需要进行特定的配置来适应现代Web应用的需求,特别是与使用Ajax请求的前端配合时。通常,Spring Security 自带的登录页面和控制器可能不适合这种情况,因为它会返回302...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Huathy-雨落江南,浮生若梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值