【笔记】springboot+spring security登录流程实现

最新推荐文章于 2024-07-28 16:12:53 发布
最新推荐文章于 2024-07-28 16:12:53 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: spring/springboot/springcloud 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41358574/article/details/117094020
版权

在登录控制器中添加一个登录接口login,在其中验证验证码、用户名、密码信息。匹配成功之后,执行Spring Security的登录认证机制。登录成功之后,返回Token令牌凭证。
SysLoginController

@RestController
public class SysLoginController {

	@Autowired
	private Producer producer;
	@Autowired
	private SysUserService sysUserService;
	@Autowired
	private SysLoginLogService sysLoginLogService;
	@Autowired
	private AuthenticationManager authenticationManager;

	@GetMapping("captcha.jpg")
	public void captcha(HttpServletResponse response, HttpServletRequest request) throws ServletException, IOException {
		response.setHeader("Cache-Control", "no-store, no-cache");
		response.setContentType("image/jpeg");

		// 生成文字验证码
		String text = producer.createText();
		// 生成图片验证码
		BufferedImage image = producer.createImage(text);
		// 保存到验证码到 session
		request.getSession().setAttribute(Constants.KAPTCHA_SESSION_KEY, text);

		ServletOutputStream out = response.getOutputStream();
		ImageIO.write(image, "jpg", out);	
		IOUtils.closeQuietly(out);
	}

	/**
	 * 登录接口
	 */
	@PostMapping(value = "/login")
	public HttpResult login(@RequestBody LoginBean loginBean, HttpServletRequest request) throws IOException {
		String username = loginBean.getAccount();
		String password = loginBean.getPassword();
		String captcha = loginBean.getCaptcha();
		// 从session中获取之前保存的验证码跟前台传来的验证码进行匹配
		Object kaptcha = request.getSession().getAttribute(Constants.KAPTCHA_SESSION_KEY);
		if(kaptcha == null){
			return HttpResult.error("验证码已失效");
		}
		if(!captcha.equals(kaptcha)){
			return HttpResult.error("验证码不正确");
		}
		// 用户信息
		SysUser user = sysUserService.findByName(username);
		// 账号不存在、密码错误
		if (user == null) {
			return HttpResult.error("账号不存在");
		}
		if (!PasswordUtils.matches(user.getSalt(), password, user.getPassword())) {
			return HttpResult.error("密码不正确");
		}
		// 账号锁定
		if (user.getStatus() == 0) {
			return HttpResult.error("账号已被锁定,请联系管理员");
		}
		// 系统登录认证
		JwtAuthenticatioToken token = SecurityUtils.login(request, username, password, authenticationManager);
		// 记录登录日志
	//	sysLoginLogService.writeLoginLog(username, IPUtils.getIpAddr(request));
		return HttpResult.ok(token);
	}

}

(1)将用户名密码的认证信息封装到JwtAuthenticatioToken对象。
(2)通过调用authenticationManager.authenticate(token)执行认证流程。
(3)通过SecurityContextHolder将认证信息保存到Security上下文。
(4)通过JwtTokenUtils.generateToken(authentication)生成token并返回。
serializable接口的作用:1、存储对象在存储介质中,以便在下次使用的时候,可以很快捷的重建一个副本;2、便于数据传输,尤其是在远程调用的时候
Serializable接口是启用其序列化功能的接口。实现java.io.Serializable 接口的类是可序列化的。没有实现此接口的类将不能使它们的任意状态被序列化或逆序列化

Spring Security 应用级别的安全主要包含两个主要部分,即登录认证(Authentication)和访问授权(Authorization),首先用户登录的时候传入登录信息,登录验证器完成登录认证并将登录认证好的信息存储到请求上下文,然后在进行其他操作,如接口访问、方法调用时,权限认证器从上下文中获取登录认证信息,然后根据认证信息获取权限信息,通过权限信息和特定的授权策略决定是否授权。

spring secuirty:
https://www.cnblogs.com/xifengxiaoma/p/10020960.html

Spring Security的登录认证过程是委托给 AuthenticationManager 完成的,它先是解析出用户名和密码,然后把用户名和密码封装到一个UsernamePasswordAuthenticationToken 中,传递给 AuthenticationManager,交由 AuthenticationManager 完成实际的登录认证过程

spring security的关键配置:

安全配置类
下面这个配置类是Spring Security的关键配置。

在这个配置类中,我们主要做了以下几个配置:

  1. 访问路径URL的授权策略,如登录、Swagger访问免登录认证等

  2. 指定了登录认证流程过滤器 JwtLoginFilter,由它来触发登录认证

  3. 指定了自定义身份认证组件 JwtAuthenticationProvider,并注入 UserDetailsService

  4. 指定了访问控制过滤器 JwtAuthenticationFilter,在授权时解析令牌和设置登录状态

  5. 指定了退出登录处理器,因为是前后端分离,防止内置的登录处理器在后台进行跳转

WebSecurityConfig.java

package com.louis.springboot.spring.security.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.logout.HttpStatusReturningLogoutSuccessHandler;

import com.louis.springboot.spring.security.security.JwtAuthenticationFilter;
import com.louis.springboot.spring.security.security.JwtAuthenticationProvider;
import com.louis.springboot.spring.security.security.JwtLoginFilter;

/**
 * Security Config
 * @author Louis
 * @date Nov 28, 2018
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用自定义登录身份认证组件
        auth.authenticationProvider(new JwtAuthenticationProvider(userDetailsService));
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 禁用 csrf, 由于使用的是JWT,我们这里不需要csrf
        http.cors().and().csrf().disable()
            .authorizeRequests()
            // 跨域预检请求
            .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
            // 登录URL
            .antMatchers("/login").permitAll()
            // swagger
            .antMatchers("/swagger-ui.html").permitAll()
            .antMatchers("/swagger-resources").permitAll()
            .antMatchers("/v2/api-docs").permitAll()
            .antMatchers("/webjars/springfox-swagger-ui/**").permitAll()
            // 其他所有请求需要身份认证
            .anyRequest().authenticated();
        // 退出登录处理器
        http.logout().logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler());
        // 开启登录认证流程过滤器
        http.addFilterBefore(new JwtLoginFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
        // 访问控制时登录状态检查过滤器
        http.addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
    
}

实例(自己配置固定的用户名和密码)


//Spring Security为Web应用提供了一个适配器类WebSecurityConfigurerAdapter,
// 该类实现了WebSecurityConfigurer <WebSecurity>接口,并提供了两个configure方法用于认证和授权操作。 开发者创建自己的Spring Security适配器类是非常简单的,
// 只需定义一个继承WebSecurityConfigurerAdapter的类,并在该类中使用@Configuration注解,
// 就可以通过重写两个configure方法来配置所需要的安全配置。自

@Configuration
public class SecutiryConfig extends WebSecurityConfigurerAdapter {
    //Spring Security为Web应用提供了一个适配器类WebSecurityConfigurerAdapter,
    // 该类实现了WebSecurityConfigurer <WebSecurity>接口,并提供了两个configure方法用于认证和授权操作。
    // 开发者创建自己的Spring Security适配器类是非常简单的,
    // 只需定义一个继承WebSecurityConfigurerAdapter的类,
    // 并在该类中使用@Configuration注解,
    // 就可以通过重写两个configure方法来配置所需要的安全配置。
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception{
    BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
    String password = passwordEncoder.encode("123");
    auth.inMemoryAuthentication().withUser("root").password(password).roles("admin");
//如果没有写.roles,会报错Cannot pass a null GrantedAuthority collection
}
    @Bean
  PasswordEncoder getPasswordEncoder() {
        return new BCryptPasswordEncoder();

    }
    @Override
    protected void configure(HttpSecurity http) throws Exception{
        http.formLogin()//这句表示自定义自己的登陆界面
                .loginPage("/login.html")//登录页面设置
                .loginProcessingUrl("/user") //登录访问路径
                .defaultSuccessUrl("/test").permitAll() //表示登陆成功后要跳转到的路径
                .and().authorizeRequests()
                .antMatchers("/","/test/hello").permitAll()//这个用来设置哪些路径可以直接访问,不需要认证
                .anyRequest().authenticated()
                .and().csrf().disable();
    }


}

创建html:
在这里插入图片描述

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/user" method="post">
    用户名:<input type="text" name="username">
    <br>input的name必须要为username和password,否则Security得不到其中的值</br>
    访问localhost:8080/login.html 显示此表单,然后输入自己配置类中设置的用户名和密码则可以进入登陆成功后的跳转路径
    即/test
    <br>
    @GetMapping("test")
    public String index(){
    return "hello index";
    }
    <br>
    密码:<input type="text" name="password">
    <br>
    <input type="submit" value="login">

</form>
</body>
</html>

controller:

@RestController
public class jpaUserController {
 @GetMapping("test")
    public String index(){
        return "hello index";
    }
    }
    //在实际应用中,可以查询数据库获取用户和权限,
// 这时需要自定义实现userdetails.UserDetailsService接口的类,
// 并重写public UserDetails loadUserByUsername(String username)方法
// 查询对应的用户和权限。:

在这里插入图片描述
输入root 123
在这里插入图片描述

march of Time
关注
专栏目录
spring boot+spring security实现后台登录端口
weixin_44653261的博客
07-06 919
1、使用mybatis逆向工具生成model、mapper包。 打开xml文件设置好需要连接的数据库,生成的包。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE generatorConfiguration PUBLIC "-//mybatis.org//DTD MyBatis Generator Configuration 1.0//EN" "http://mybatis.org/dtd/mybatis-generator-c
SpringBoot集成Spring Security实现登录流程
wwyywwsaber的博客
05-05 888
前篇:https://blog.csdn.net/wwyywwsaber/article/details/123979279 登录验证码 使用kaptcha实现验证码 <dependency> <groupId>com.github.axet</groupId> <artifactId>kaptcha</artifactId> <version&g
Spring boot + Spring Security 实现用户登录管理
wtopps的专栏
10-20 2万+
前言 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。其自身拥有一套管理用户登录信息的方法,本文就将介绍简单的使用Spring Security实现用户登录。 框架介绍 本文将使用Spring boot + Spring Security实现,S...
SpringbootSpringSecurity使用(1):介绍、登录验证
最新发布
游王子的博客
07-28 1531
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功能。Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。
Spring Boot + Spring Security 实现自动登录功能
江南一点雨的专栏
04-29 6021
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
SpringBoot集成SpringSecurity(二) 登录认证流程解析
罗伯特是疯子丶
03-23 2950
需求 公司打算重构权限系统,主要因为现有的系统存在这些问题: 查询用户步骤繁琐:选系统(主要是这一点)——用户名——查询按钮; 简化权限只分配到角色:现在权限全部汇总到一起,不知道权限从何而来; 角色承担职责过多,杂而乱; 登录名不唯一,无账号找回功能 … 总之就是一个很乱的权限系统,考虑到security的强大功能,灵活易拓展(各种自定义),耦合性低,所以打算用security去是实现。 上...
TiHom-Security:基于SpringBoot + SpringSecurity + SpringSocial + JWT等的第三方登录(微信QQ)和安全认证框架
01-29
这个项目是基于SpringBoot + SpringSecurity + SpringSocial + JWT方式的第三方登录和安全认证框架 包括APP +浏览器端的实现 学习的笔记和引导都在我的csdn博客更新中,有任何问题都可以问博主。 CSDN地址: :
Springboot + Spring Security 实现前后端分离登录认证及权限控制
m0_68850571的博客
04-10 1万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制 前言     关于Spring Security的概念部分本文不进行赘述,本文主要针对于对Spring Security以及Springboot有一定了解的小伙伴,帮助大家使用Springboot + Spring Security 实现一个前后端分离登录认证的过程。     文章会一步一步循序渐进的带大家敲一遍代码。最终的代码请看最后。     代码中我用到了插件lombok来生成实体的getter/set
SpringCloud+SpringBoot+OAuth2+Spring Security+Redis实现的微服务统一认证授权
2401_84008985的博客
04-18 398
金三银四到了,送上一个小福利!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!配置文件server:port: 1202自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能
Candour_0的博客
01-13 576
SpringBoot + Spring Security 学习笔记(五)实现短信验证码+登录功能
spring boot 实现用户登录认证
11-07
1.架构: spring boot + jpa + thyemleaf, mysql数据库 2.功能实现: 1)使用Logback进行日志记录; 2)使用HandlerInterceptor接口实现登陆认证 3)登陆验证码的生成
springboot实现登录
10-24
springboot 结合mybatis、Mysql 以及thymeleaf模板实现登录功能。
SpringBoot整合Springsecurity实现数据库登录以及权限控制
热门推荐
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
Spring Boot集成Spring Security 搭建登录模块
qq_58353992的博客
02-29 1473
Spring Cloud搭建Spring Security笔记
java实现用户登录_SpringBoot 实现用户登录,分布式Session功能
weixin_39661881的博客
11-22 1378
之前介绍过不少关于登录功能的代码,本文介绍一下关于分布式Session 的功能实现,完整代码(以后写博客,尽量给 git 地址)在https://github.com/saysky/sensboot通常,我们的项目都是多实例部署的,生产环境通常一个模块可能都会部署四五台服务器。我们知道用户登录后,需要存储session信息,session 信息通常是存储在服务器的内存中的,不能持久...
springboot实现用户登录功能
weixin_41588751的博客
01-16 2万+
springboot实现用户登录功能 这里也适用于SpringMVC,使用原理是一样的 一,前台页面,使用validate做了一些判断 <script type="text/javascript"> $(function(){ $("#loginForm").validate({ rules: { "username": {...
Springboot简单实现用户登录操作
qq_44469428的博客
03-30 1047
安装完成后,可以让mapper中的对象和Mapper.xml之间来回跳转,其次可以核对mapper中的方法和xml中id是否一致,不一致肯定不能跳转啊。在Navicat中创建一个名字为mybatis的数据库,新建查询,复制下面代码并执行。安装完成后需要点击Tools->Mybatis Log Free才可正常使用。点击File->Settings->Plugins搜索以下插件安装。如果这两个写对了的情况下, 会出现2个小箭头。使用效果如下,后面使用过程中再进行详细介绍。可以直接复制以下代码,放置在。
spring boot框架,实现用户登录
luog007的博客
06-16 1万+
目录1.创建Spring Boot项目1.1创建项目​1.2认识项目入口类 - SpringBootDemoApplicatio​1.3设置exclude属性值,关闭特定的自动配置1.4添加控制器与路由函数​1.5启动项目,查看结果2实现获取数据2.1添加路由函数welcome(),通过model参数向前端模板页面传递数据2.2在templates里创建welcome.html​2.3定制标语2.4 修改端口2.5采用yaml格式的应用属性文件3、创建用户实体类3.1在net.huawei.boot.bea
Springboot3.0 +SpringSecurity6权限管理系统
08-26
Spring SecuritySpring框架中用于实现安全认证和授权的模块。 关于Spring Boot 3.0和Spring Security 6的权限管理系统,目前最新版本的Spring Boot是2.x系列,而Spring Security的最新版本是5.x系列。所以,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值