Springboot引入springSecurity

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量2.5k 收藏 13
点赞数 2
分类专栏: 后端 文章标签: spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41158525/article/details/125803651
版权

1:添加Spring Security依赖

        <!-- Spring Security -->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>

2:添加完以后启动项目

2.1:此时控制台出现变化,出现一行密码

2.2:再次访问项目地址http://localhost:8081/

此时会出现权限框架的登录页

默认的用户名是:user,密码:控制台上出现的密码

输入以后才能访问接口信息

3:编写SpringSecurity核心配置类,实现自定义登录

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig  extends WebSecurityConfigurerAdapter {

    @Resource
    private UserDetailsServiceImpl UserDetailsService;

    @Resource
    private JwtAuthenticationEntryPoint authenticationEntryPoint;

    @Resource
    private JwtAccessDeniedHandler accessDeniedHandler;

    @Resource
    private PasswordEncoder passwordEncoder;

    @Resource
    private JwtAuthenticationFilter authenticationFilter;


    /**
     * 配置白名单
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().mvcMatchers(SpringSecurityConstant.NONE_SECURITY_URL_PATTERNS);
    }

    /**
     * Security的核心配置
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 1.使用jwt,关闭csrf
        http.csrf().disable();
        // 2.基于token认证,关闭session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        // 3.配置白名单 除白名单以外的都进行认证
        http.authorizeRequests().anyRequest().authenticated();
        // 4.禁用缓存
        http.headers().cacheControl();
        // 5.添加jwt登录授权的过滤器
        http.addFilterBefore(authenticationFilter, UsernamePasswordAuthenticationFilter.class);
        // 6.添加未授权和未登录的返回结果
        http.exceptionHandling().accessDeniedHandler(accessDeniedHandler)
                .authenticationEntryPoint(authenticationEntryPoint);
    }

    /**
     * 登录认证
     * 自定义登录逻辑的配置
     * 也就是配置的security进行认证
     * */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(UserDetailsService).passwordEncoder(passwordEncoder);
    }


}

3.1:token认证过滤器,在接口访问前进行过滤

public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Resource
    private TokenUtil tokenUtil;

    @Resource
    private UserDetailsService userDetailsService;

    @Value("${jwt.tokenHeader}")
    private String tokenHeader;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        //1:获取请求头中的token
        String token = request.getHeader(tokenHeader);
        //2:判断token是否存在
        if(!StrUtil.isBlank(token)){
            //根据token获取用户名
            String userName = tokenUtil.getUserNameFromToken(token);
            //3:token存在但是security里面没有登录信息,代表有token但是没登录
            if(null == SecurityContextHolder.getContext().getAuthentication()){
                //没有登录信息,直接登录
                UserDetails userDetails = userDetailsService.loadUserByUsername(userName);
                //判断token是否有效,token没有过期,并且和userdetail中的username一样,那么就将security中的登录信息进行刷新
                if(tokenUtil.isExpiration(token) && userName.equals(userDetails.getUsername())){
                    //刷新security中的用户信息
                    UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                }
            }
        }
        chain.doFilter(request, response);
    }
}

3.2:重写WebSecurityConfigurerAdapter下的userDetailsService 实现自定义的登录

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Resource
    private SysUserService sysUserService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser sysUser = sysUserService.findByUserName(username);
        if(null != sysUser){
            return sysUser;
        }
        throw new RuntimeException("用户名或密码错误");
    }
}

3.3:用户访问无权限资源时候的异常

@Configuration
public class JwtAuthenticationEntryPoint  implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.setStatus(401);
        PrintWriter printWriter = response.getWriter();
        printWriter.write(new ObjectMapper().writeValueAsString(Result.fail("您尚未登录或登录信息已过期,请重新登录!")));
        printWriter.flush();
        printWriter.close();
    }
}

3.4:当用户权限不足情况下访问资源的返回异常

@Configuration
public class JwtAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.setStatus(403);
        PrintWriter printWriter = response.getWriter();
        printWriter.write(new ObjectMapper().writeValueAsString(Result.fail("权限不足,请联系管理员!")));
        printWriter.flush();
        printWriter.close();
    }
}

3.5:白名单配置类

public class SpringSecurityConstant {
	
	/**
     * 放开权限校验的接口
     */
    public static final String[] NONE_SECURITY_URL_PATTERNS = {
    		//前端的
            "/favicon.ico",
            //swagger相关的
            "/doc.html",
            "/webjars/**",
            "/swagger-resources/**",
            "/v2/api-docs",
            "/v2/api-docs-ext",
            "/configuration/ui",
            "/configuration/security",
    		//后端的
            "/login",
            "/sysLogin"
            
    };

}

3.6:编写Bean配置

@Configuration
public class BeanConfig {

    @Bean
    public JwtAuthenticationFilter authenticationFilter() {
        return new JwtAuthenticationFilter();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

4:编写跨域配置类,前后端分离项目

public class WebConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry
                //允许访问路径
                .addMapping("/**")
                //配置请求来源
                .allowedOrigins("http://localhost:8081")
                //配置允许访问的方法
                .allowedMethods("GET","POST","PUT","DELETE","OPTION")
                //配置最大响应时间 6秒
                .maxAge(3600)
                //是否允许携带参数
                .allowCredentials(true)
                //允许请求头
                .allowedHeaders();
    }
}

5:进行登录编写,具体实现逻辑

5.1:编写用户登录的实体类,实现UserDetails

@Data
public class SysUser implements UserDetails {

    private Long id;
    private String userName;
    private String passWord;
    private Integer age;
    private Character sex;
    private String avatar;
    private String address;
    private String openId;
    private Boolean status;
    private Boolean admin;
    private String phoneNumber;

    /**
     * 权限数据
     * */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return null;
    }

    /**
     * 获取用户名
     * */
    @Override
    public String getUsername() {
        return null;
    }

    /**
     * 账号是否过期
     * */
    @Override
    public boolean isAccountNonExpired() {
        return false;
    }

    /**
     * 账号是否被锁定
     * */
    @Override
    public boolean isAccountNonLocked() {
        return false;
    }

    /**
     * 凭证是否过期
     * */
    @Override
    public boolean isCredentialsNonExpired() {
        return false;
    }

    /**
     * 是否被禁用
     * */
    @Override
    public boolean isEnabled() {
        //直接返回数据库中查出的用户状态
        return status;
    }
}

 5.2:定义Controller类,添加登录方法

@RestController
@Api("用户信息登录控制器")
public class LoginConyroller {

	@Autowired
	private UserService userService;
	
	@Autowired
	private RedisUtil redisUtil;

    @PostMapping("/sysLogin")
	@ApiOperation(value = "系统用户登录", httpMethod = "POST")
	public Result sysLogin(@RequestBody @Valid SysLoginVo sysLoginVo) {
		return userService.sysLogin(sysLoginVo);
	}

	
	@GetMapping("/logOut")
	@ApiOperation(value = "退出登录", httpMethod = "GET")
	public Result logOut(HttpServletRequest request, HttpServletResponse 
        response,Principal principal ) {
		//清除spring security用户认证信息
		Authentication auth = SecurityContextHolder.getContext().getAuthentication();
		//清除redis中的token信息
		redisUtil.delKey(principal.getName());
		if(null != auth) {
			new SecurityContextLogoutHandler().logout(request, response, auth);
		}
		return new Result(MessageConstant.SUCCESS_CODE, MessageConstant.LOGOUT_SUCCESS);
	}			

}

 5.3:定义userService接口

public interface UserService {	     
   /**
     * 登录
     * @param loginVo
     * @return
     */
	
	Result sysLogin(SysLoginVo sysLoginVo);
}

 5.5:实现userService接口

@Service
public class SysUserServiceImpl implements SysUserService {

    @Resource
    private UserMapper userMapper;

    @Resource
    private UserDetailsService userDetailsService;

    @Resource
    private PasswordEncoder passwordEncoder;

    @Resource
    private TokenUtil tokenUtil;

    @Value("${jwt.tokenHeader}")
    private String tokenHeader;

    @Override
    public Result login(LoginVo loginVo) {
        UserDetails userDetails = userDetailsService.loadUserByUsername(loginVo.getUserName());
        //如果为空,则账号不存在,判断传过来的密码和userDetails里面的密码是否匹配
        if(null == userDetails || !passwordEncoder.matches(loginVo.getPassWord(), userDetails.getPassword())){
            return Result.fail("账号或密码错误,请重新输入");
        }
        //判断账号是否禁用
        if(!userDetails.isEnabled()){
            return Result.fail("该账号已禁用,请联系管理员");
        }
        //如果这些都验证通过,则需要在spring security中存入当前用户登录信息
        //第一个参数是登录信息,密码,权限信息
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken =
                new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities());
        //将权限信息设置进去
        SecurityContextHolder.getContext()
                .setAuthentication(usernamePasswordAuthenticationToken);
        //根据登录信息,借助JWT获取token
        String token = tokenUtil.generateToken(userDetails);
        Map<String,String> map = new HashMap<>(2);
        map.put("tokenHeader",tokenHeader);
        map.put("token",token);
        return Result.success("登录成功",map);
    }

    /**
     * 根据用户名获取用户对象
     * */
    @Override
    public SysUser findByUserName(String userName) {
        return userMapper.findByUserName(userName);
    }
}

至此,springboot集成springsecurity的配置demo完成,具体里面的权限配置还需要自己implements UserDetails类中再进行细化

我是一只狼Y
关注
专栏目录
SpringBoot下使用Security
Vince的专栏
04-27 2450
该文基于SpringBoot版本2.1.8.RELEASE,案例仓库以后有空时整理后补上。 (一)配置文件简单示例 继承WebSecurityConfigureAdapter类,加上@EnableWebSecurity注解,并实现configure方法(注意这个方法有三种入参形式,下面只是其中一种,后面的篇幅中会看到另外一种),下面只是一个简单的配置文件,仅配置了一些简单的URL路径相关的权限。 ......
SpringBoot整合SpringSecurity超详细入门教程
2401_83977357的博客
04-30 671
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
Spring Boot 引入 Spring Security
qq_43011496的博客
04-20 1970
关于 spring security 官网链接, 本次示例使用的版本为5.6.3:https://docs.spring.io/spring-security/reference/index.html spring boot 项目中引入 spring security, maven坐标如下: <dependency> <groupId>org.springframework.boot</groupId> <a.
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 1689
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
spring boot项目引入Spring Security
qq_61920623的博客
05-19 392
EnableWebSecurity //开启SpringSecurity@EnableGlobalMethodSecurity(prePostEnabled = true) //权限应用于方法级别@Override.antMatchers(urls).permitAll() // 放行的接口.anyRequest() .authenticated()//所有请求都需要认证.and().formLogin() //启用表单认证.and()
Spring Boot-搭建SpringSecurity(保姆级别)
2301_82242204的博客
04-09 3009
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了Java互联网工程师面试1000题,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱Java互联网工程师面试1000题。
spring boot+security(一)security引入
sinat_15872851的博客
08-23 496
spring security 初学 入门一
SpringBoot+SpringSecurity+WebSocket
04-11
1. 配置SpringBoot:创建SpringBoot项目,引入WebSocket和SpringSecurity的相关依赖。 2. 配置WebSocket:实现WebSocket服务器端点,处理连接建立、消息发送和接收。使用`@ServerEndpoint`注解定义WebSocket的端点...
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
SpringBoot+SpringSecurity处理Ajax登录请求问题 SpringBoot+SpringSecurity处理Ajax登录请求问题是SpringBoot开发中的一個常见问题,本文将详细介绍如何使用SpringBoot+SpringSecurity处理Ajax登录请求问题。 ...
SpringBoot 集成SpringSecurity JWT
weixin_55765992的博客
07-01 1058
1. 简介 今天ITDragon分享一篇在Spring Security 框架中使用JWT,以及对失效Token的处理方法。 1.1 SpringSecurity Spring SecuritySpring提供的安全框架。提供认证、授权和常见的攻击防护的功能。功能丰富和强大。 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-fa
SpringBoot整合Spring Security【超详细教程】
m0_67402914的博客
08-02 527
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将SpringSecurity整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。SpringBoot整合SpringSecurity到这里就结束了。https如果我的文章对你有些帮助,不要忘了,,转发,。...
springboot集成springsecurity
Rockandrollman的博客
11-27 226
通过上面的示例,我们看到Spring Security自动给所有访问请求做了登录保护,实现了页面权限控制。
SpringBoot学习笔记(2):引入Spring Security
weixin_30767835的博客
09-20 164
SpringBoot学习笔记(2):用Spring Security来保护你的应用 快速开始 本指南将引导您完成使用受Spring Security保护的资源创建简单Web应用程序的过程。 参考资料:   SpringSecurity中文参考文档:点击进入   IBM参考文档:点击进入 使用Maven进行构建   首先,设置一个基本的构建脚本。在使用Spring构建应用程序...
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
15.Spring Boot 使用Spring security
m0_54852350的博客
03-20 3629
Spring Boot 使用Spring security Spring BootSpring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。 1.Spring Boot 内置属性参数 Spring Boot 提供的内置配置参数以security为前缀,具体属性如下: # SECURITY (SecurityPr
简单的使用SpringBoot整合SpringSecurity
qq_59570311的博客
02-26 7344
spring-security简介 Spring-Security是针对Spring项目的安全框架,也是Spring-Boot底层安全模块默认的技术类型,他可以实现强大的Web安全控制,对于安全控制,提供身份验证,授权和针对常见攻击的保护。它具有对保护命令式和反应式应用程序保护的一流支持,是保护基于Spring的应用程序的事实标准。我们仅需要引入spring-boot-start-security模块,进行少量的配置,即可实现强大的安全管理! Spring-Security的两个主要目标是“认证”和“授权”
spring boot 整合security技术详细使用教程
qq_55670428的博客
10-21 267
Spring Security致力于为Java应用提供认证和授权管理。它是一个强大的,高度自定义的认证和访问控制框架。
SpringBootSpringSecurity(安全)
热门推荐
爱学习的大雄的博客
03-16 1万+
SpringSecurity(安全) Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @Enabl
Springboot 整合 Spring Security
小熊
06-13 869
Springboot 整合 Spring Security 项目最终目录结构 一.Spring Security 引入 1.pom 文件引入 spring security 依赖 <!-- spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值