Project1_07_过渡2_SpringBoot整合Security实现用户登录验证&用户身份认证&用户权限获取

最新推荐文章于 2023-07-03 14:50:38 发布
最新推荐文章于 2023-07-03 14:50:38 发布
阅读量530 收藏 1
点赞数
分类专栏: SpringBoot学习 SpringSecurity学习 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41368113/article/details/119239836
版权

一、项目环境

  1. 后端技术栈:SpringBoot, SpringSecurity, jwt
  2. 后端软体:IntelliJ IDEA2020, jdk1.8
  3. 数据库:mySql

二、文章主题

  1. 内容概述:为将Project07与SpringSecurity/Shiro+jwt整合,主要参考了MarkerHub_前后端分离后台管理系统进行改写,本文是关于该视频P30~46内容的学习整理,前端内容在传送门
  2. 项目源码:shoppingProject01_pub : version7.1

三、用户登录验证&用户身份认证 实现过程

待实现的SpringSecurity后台逻辑如图1所示。

在这里插入图片描述

图1 本项目中的Security流程图

Step1:SpringBoot整合Security,jwt

  1. porm.xml中引入相关jar包,引入后访问任意实现了的后端接口,会跳转到如图2所示的界面。用户名默认是"user";密码在SpringBoot终端有显示。
		<!-- springboot security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!-- jwt -->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

在这里插入图片描述

图2 Security的默认路径拦截页面

Step2:整合验证码过滤器的 用户首次登录认证功能实现

1)首次登录认证:用户名、密码、验证码,完成登录。
2)图片验证码校验逻辑如图3所示。前后端不分离项目中图片验证码保存在session中;本项目为前后端分离,故将图片验证码保存在redis中。
在这里插入图片描述

图3 图片验证码校验逻辑

前后端不分离项目验证码图片可直接返回给前端url,前后端分离项目生成图片验证码的controller代码如下: 
    // 生成图片验证码
    @GetMapping("/getCaptcha")
    public Result getCaptcha() throws IOException {
        String imageKey = UUID.randomUUID().toString();  // 图片验证码在redis中的key
        String imageCode = VerifyCodeUtils.generateVerifyCode(4);
        // 为了测试
        imageKey = "aaaaa";
        imageCode = "11111";
        // 将图片转为base64
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        VerifyCodeUtils.outputImage(120, 30, byteArrayOutputStream, imageCode);
        String str = "data:image/png;base64,";
        String base64Img = str + Base64Utils.encodeToString(byteArrayOutputStream.toByteArray());
        redisUtil.hset(Const.CAPTCHA_KEY,imageKey,imageCode,300);  // redis存储了图片验证码信息
        return Result.succ(
                MapUtil.builder()
                        .put("imageKey",imageKey)
                        .put("captchaImg",base64Img)
                        .build()
        );
    }

3)解决前后端分离的跨域问题:
1)):写跨域配置类
2)): 写Security配置类

package com.salieri.config;

import com.salieri.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    LoginFailureHandler loginFailureHandler;
    @Autowired
    LoginSuccessHandler loginSuccessHandler;
    @Autowired
    CaptchaFilter captchaFilter;
    @Bean
    JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
        JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
        return jwtAuthenticationFilter;
    }
    @Autowired
    JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
    @Autowired
    JwtAccessDeniedHandler jwtAccessDeniedHandler;
    @Bean   // 构造用户密码的加密形式,这里用于Security判断登录时解析密码成明文
    BCryptPasswordEncoder bCryptPasswordEncoder() { 
        return new BCryptPasswordEncoder();
    }
    @Autowired
    UserDetailServiceImpl userDetailService; // 用于依据用户名在数据库中查询用户密码(Security)

	// Security放行的白名单
    private static final String[] URL_WHITELIST = {
            "/eb/login",
            "/eb/logout",
            "/user/getCaptcha",
            "/user/mailReg",
            "/user/activationMail",
            "/user/nickReg",
            "/favicon.ico"
    };

    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable()    // 解决了跨域问题
        // 登录配置
        .formLogin()
                .successHandler(loginSuccessHandler)   // 见图1,这是认证成功处理器
                .failureHandler(loginFailureHandler)   // 认证失败处理器
                // 退出
//                .and()
//                .logout()
//                .logoutSuccessHandler(jwtLogoutSuccessHandler)
        // 禁用session
        .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        // 配置拦截规则
        .and()
                .authorizeRequests()
                .antMatchers(URL_WHITELIST).permitAll()   // 白名单链接要放行
                .anyRequest().authenticated()
      // 异常处理器
        .and()
                .exceptionHandling()
                .authenticationEntryPoint(jwtAuthenticationEntryPoint) // 见图1,这是认证异常处理器
                .accessDeniedHandler(jwtAccessDeniedHandler)           // 权限异常处理器
        // 配置自定义的过滤器
        .and()
                .addFilter(jwtAuthenticationFilter())   // 见图1,这是BasicAuthentication
                // 在用户名、密码校验过滤器前要加入图片验证码过滤器
                .addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)
        ;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailService);
    }

}

4)写LoginFailureHandler(认证失败处理器)、LoginSuccessHandler(认证成功处理器)、CatpchaFilter(图片验证码处理器)、JwtLogoutSuccessHandler(退出处理器)。

Step3:基于jwt的用户二次token认证功能实现

1)二次token认证:请求头携带jwt进行身份认证。
2)写JwtUtils并在application.properties中写相应的参数。
3) 在LoginSuccessHandler中将jwt放置到返回给前端响应的请求头

// 注入到spring中
@Component
public class LoginSuccessHandler implements AuthenticationSuccessHandler {

    @Autowired
    JwtUtils jwtUtils;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");
        ServletOutputStream outputStream = response.getOutputStream();

        // 生成jwt,并放置到请求头中
        String jwt = jwtUtils.generateToken(authentication.getName());
        response.setHeader(jwtUtils.getHeader(),jwt);

        Result result = Result.succ("");
        outputStream.write(JSONUtil.toJsonStr(result).getBytes("UTF-8"));

        outputStream.flush();
        outputStream.close();
    }
}

4)写BasicAuthicationFilter(身份认证过滤器,当用户发起的不是登录请求时,对请求头中的jwt进行解析,完成自动登录功能)

// 用户访问登录以外页面时的jwt认证
public class JwtAuthenticationFilter extends BasicAuthenticationFilter {

    @Autowired
    JwtUtils jwtUtils;

    public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {
        super(authenticationManager);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String jwt = request.getHeader(jwtUtils.getHeader());
        if (StrUtil.isBlankOrUndefined(jwt)) {
            // 过滤器链直接往后面走,这是为了放行白名单
            chain.doFilter(request,response);
            return;
        }
        // 解析jwt
        Claims claim = jwtUtils.getClaimByToken(jwt);
        if ( claim == null ) { // jwtUtils解析不合法就会返回空
            throw new JwtException("token异常");
        }
        // 判断jwt是否过期
        if (jwtUtils.isTokenExpired(claim)) {
            throw new JwtException("token已过期");
        }
        // 通过主体拿到用户名称
        String username = claim.getSubject();
        // 获取用户的权限信息
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username,null,null);
        // 设置认证主体以完成自动登录
        SecurityContextHolder.getContext().setAuthentication(token);
        // 让过滤器链继续往后走
        chain.doFilter(request,response);
    }
}

5)写异常处理Filter(JwtAuthenticationEntryPotin认证失败异常;JwtAccessDeniedHandler权限不足异常)
6)实现用户登录时查库、匹配库中用户数据
1)) 自定义AccountUser(作为匹配成功的用户信息返回),写UserDetailServiceImpl
注:在Security配置类要让Security知道数据库中用户密码的加密形式

package com.salieri.security;

import com.salieri.pojo.User;
import com.salieri.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.List;

// 看,这个service是security中的
@Service
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.getByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户名或密码不正确");
        }
        // AccountUser是自定义的
        return new AccountUser(user.getId(),user.getUsername(),user.getPassword(),getUserAuthority(user.getId()));
    }

    // 获取用户权限信息(角色权限、网站操作权限)
    public List<GrantedAuthority> getUserAuthority(int userId) {
        return null;
    }
}

2)) 在Security配置类中配置重写后的UserDetailService。

四、用户权限获取 实现过程

1) 初步设计的项数据库信息userinfo,roleinfo如图4、5所示:
在这里插入图片描述

图4 userinfo

在这里插入图片描述

图5 roleinfo

Question: 我们在哪里赋予用户权限?

Place1:用户登录,调用UserDetailService.loadUserByUsername()方法时,可以返回用户的权限信息。
Place2:接口调用进行身份认证过滤器时JWTAuthenticationFilter,需要返回用户权限信息。
2)实现过程
1)) 在userDetailserviceImpl文件中相关代码如下:

    @Autowired
    UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.getUserByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("用户名或密码不正确");
        }
        return new AccountUser(user.getId(),user.getUsername(),user.getPassword(),getUserAuthority(user.getUsername()));  // 授权时传递用户角色
    }

    // 获取用户权限信息(角色权限、网站操作权限)
    public List<GrantedAuthority> getUserAuthority(String username) {

        // 角色(ROLE_normal)、网站操作权限( sys:item:list )
        String authority = userService.getUserAuthorityInfo(username);  // ROLE_normal, sys:item:list, ...

        return AuthorityUtils.commaSeparatedStringToAuthorityList(authority);
    }

2)) 在UserServiceImpl中相关代码如下:

    @Override
    public String getUserAuthorityInfo(String username) {
        // ROLE_normal, sys:item:list, ...
        String authority = "";

        // 获取到角色,加前缀
        User user = userDAO.getUserByUsername(username);
        authority = "ROLE_" + user.getRole();
        // 获取网站操作权限相关的编码
        String permsList = roleDAO.getPermsByRolename(user.getRole());
        authority = authority.concat(",").concat(permsList);
        return authority;
    }

3)) 在JWTAuthenticationFilter中相关代码如下:

// 获取用户的权限信息
UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username,null,userDetailService.getUserAuthority(user.getUsername()));
  1. 给用户的权限信息加缓存:
    1)) 在UserServiceImpl中相关代码如下:
    @Override
    public String getUserAuthorityInfo(String username) {
        // ROLE_normal, sys:item:list, ...
        String authority = "";

        if ( redisUtil.hasKey("GrantedAuthority:"+username) ) {
            authority = (String)redisUtil.get("GrantedAuthority:"+username);
        } else {
            // 获取到角色,加前缀
            User user = userDAO.getUserByUsername(username);
            authority = "ROLE_" + user.getRole();
            // 获取网站操作权限相关的编码
            String permsList = roleDAO.getPermsByRolename(user.getRole());
            authority = authority.concat(",").concat(permsList);
            // 对当前用户相关权限字符串进行缓存
            redisUtil.set("GrantedAuthority:"+username,authority,60*60);
        }

        return authority;
    }

这引发了一个问题,什么时候清除缓存?
设计一个清除缓存的接口:

   @Override
    public void clearUserAuthorityInfo(String username) {
        redisUtil.del("GrantedAuthority:"+username);
    }
salieri97
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot usernamePasswordAuthenticationToken
qq_307183846的博客
02-20 2万+
UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication 所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication), 然后生成的Authentication会被交由AuthenticationManager来进行管理 而AuthenticationManager管理一系列的AuthenticationProvi
springboot + spring security验证token进行用户认证
justlpf的专栏
05-19 7090
参考文章:springboot + spring security验证token进行用户认证
spring boot 实例之 用户登录
wpg_boke的博客
05-12 699
转载请注明出处spring boot 实例之 用户登录--碧波之心简书 上两篇完成了用户信息表的增删查,接下来增加用户登录功能。采用spring security来进行权限控制。我们希望用户可以通过用户名+密码、邮箱+密码、手机号+验证码、微信登录三种登录途径。 先用来完成用户名+密码或手机号+验证登录。 前面做的用户信息表不是用来登录的,那些信息只是用户的基本信息。为了在用户列表请求得到...
使用Token方式实现用户身份鉴权认证
最新发布
软件自动化测试技术交流、资源分享
07-03 895
Token,也称为“令牌”,是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。比如如下形式: 39faf62271944fe48c4f1d69be71bc9a
project_code.rar_EM_SPEAKER RECOGNITION_freq2mel_project_securit
07-14
The main objective behind this project is using speaker recognition for security purposes. By security we mean identification of the speaker and thus granting permission to access details of very ...
java验证用户是否已经登录 java实现自动登录
09-02
如果不存在(即`getAttribute(&quot;user&quot;)==null`),则说明用户登录,系统会提示用户登录,并通过`HttpServletResponse`的`sendRedirect()`方法重定向到登录页面。反之,如果Session中存在&quot;user&quot;属性,表示用户登录...
WPF_Project.zip_WPF_WPF mvvm_mvvm_wpf mvvm 登录%2_wpf 增删改查
07-15
此外,登录界面通常还包括错误提示,当验证失败时向用户显示错误信息。 **图书管理系统的增删改查操作** 图书管理系统的核心功能包括添加新图书、删除已有图书、修改图书信息以及查询图书。在WPF中,这些操作可以...
NS2.zip_ns2 project_project
09-24
从标签&quot;ns2_project project&quot;我们可以推断,这可能是一个关于NS-2的学术或实践项目,可能涉及到网络协议的设计、优化或性能分析。 压缩包内的文件名列表提供了进一步的信息: 1. &quot;out.all&quot;:这通常是在NS-2模拟完成...
springboot+mybatis+shiro用户权限管理项目
11-27
总的来说,这个项目为学习和实践SpringBoot、MyBatis与Shiro的整合提供了很好的案例,开发者可以通过它深入理解这三个框架在实际项目中的应用,掌握用户权限管理的实现方法。同时,该项目也可以作为一个基础,进一步...
SpringBoot Security 入门 以及登录流程
qq_29078779的博客
05-07 446
首先参照官方文档,我们构建一个SpringBoot Security . 本文以Maven构建.粘贴即可 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XM...
SpringBoot 集成 Spring Security(8)——短信验证登录
热门推荐
Jitwxs
01-09 3万+
经过前面七章的学习,我们已经算入门 Spring Security 了,下面我们学习如何对 Spring Security 进行扩展,来实现短信验证码方式登录。 注意: 为了方便讲解,本篇文章代码直接在 《SpringBoot集成Spring Security(1)——入门程序》 上进行开发。 并且为了省去与本篇主题无关的代码,短信验证码只是一个模拟。如果你需要具体的实际例子,在下面的源码中除了包...
玩转SpringBoot安全管理:SpringSecurity之UserDetailService身份认证
Xmumu_的博客
08-03 3641
SpringSecurity身份认证之UserDetailsService
spring security框架实现自定义认证与授权 (重点 :该框架自动完成密码校验)
taiguolaotu的博客
04-01 552
最近还是一直在研究spring security框架,正如标题所说,在spring security框架中如何实现自定义与授权,其实还是比较简单的。但是最重要的是该框架自动完成密码校验的功能,不需要人为的手动判断密码是否正确。当然每个人有每个人的写法,怎么方便怎么来! 下面将代码贴出来,方便大家观看! 自定义UserDetailServiceImpl类去实现UserDetailsService接...
spring security使用总结
Koikoi12的博客
08-11 3049
三种配置方法 configure(WebSecurity) 通过重载,配置Spring Security的Filter链 configure(HttpSecurity) 通过重载,配置如何通过拦截器保护请求,用来拦截请求,配置白名单和过滤 configure(AuthenticationManagerBuilder) 通过重载,配置user-detail服务,身份认证接口调用 用户存储方式 基于内存 auth.inMemoryAuthentication() .withUser(“admin”).passw
解决用户权限问题
Leon_Jinhai_Sun的博客
01-23 729
解决授权 然后关于权限部分,也是security的重要功能,当用户认证成功之后,我们就知道谁在访问系统接口,这是又有一个问题,就是这个用户有没有权限来访问我们这个接口呢,要解决这个问题,我们需要知道用户有哪些权限,哪些角色,这样security才能我们做权限判断。 之前我们已经定义及几张表,用户、角色、菜单、以及一些关联表,一般当权限粒度比较细的时候,我们都通过判断用户有没有此菜单或操作的权限,而不是通过角色判断,而用户和菜单是不直接做关联的,是通过用户拥有哪些角色,然后角色拥有哪些菜单权限这样来获得的
SpringBoot集成Spring Security实现登录流程
wwyywwsaber的博客
05-05 867
前篇:https://blog.csdn.net/wwyywwsaber/article/details/123979279 登录验证码 使用kaptcha实现验证&lt;dependency&gt; &lt;groupId&gt;com.github.axet&lt;/groupId&gt; &lt;artifactId&gt;kaptcha&lt;/artifactId&gt; &lt;version&g
Spring Security---详解登录步骤
m0_53157173的博客
11-18 7078
Spring Security---详解登录步骤步骤分析1.新建项目默认生成密码的源码探究2.用户配置2.1 配置文件2.2 配置类加密方案2.2.1 PasswordEncoder2.2.2 配置3.自定义表单登录页3.1服务端定义3.登录接口4.登录参数4.登录回调4.1 登录成功回调4.2登录失败回调5.注销登录6.前后端分离中,使用 JSON 格式登录1.服务端接口调整2.自定义过滤器 步骤分析 1.新建项目 首先新建一个 Spring Boot 项目,创建时引入 Spring Security
UsernamePasswordAuthenticationToken
gangsijay888的博客
08-09 2万+
UsernamePasswordAuthenticationToken继承AbstractAuthenticationToken实现Authentication 所以当在页面中输入用户名和密码之后首先会进入到UsernamePasswordAuthenticationToken验证(Authentication), 然后生成的Authentication会被交由AuthenticationMana...
win32project1_ffmpeg_dxva2
06-06
win32project1_ffmpeg_dxva2指的是一个使用ffmpeg和dxva2(DirectX Video Acceleration 2)技术来实现视频解码的Win32项目。ffmpeg是一个跨平台的开源多媒体处理库,可以实现音视频采集、解码、编码、转码等功能。而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值