如何快速实现SpringSecutity登录认证以及权限验证?!

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量690 收藏 1
点赞数
文章标签: Java spring security 登录认证 权限管理

   在开始之前,让我们先看下security运行的基本原理,理清一下思路,理清思路不管在我们开发什么项目、在任何项目阶段,都是至关重要的 。

 

目标
在原公司有专门的登录验证和权限管理服务,换公司后在最近项目中需要使用Spring Security自主实现分布式系统的用户验证授权及权限验证功能,因此花了两天时间研究并实现了该方案: 
功能点细分: 
1. 基于REST请求的登录 
2. 用户名密码验证及验证成功后给用户授权 
3. http请求的权限配置和验证 
4. 方法级别的权限配置和验证 
5. 分布式环境中用户权限共享

分析及实现
一、基于REST请求的登录
1.1 分析
Spring Security默认是通过表单提交用户登录请求,可通过修改配置实现自定义登录请求

1.2 实现
在spring-security.xml中配置如下为自定义的登录入口,并在entry-point-ref中配置登录url(只需关注红框标注部分) 

注:中别的配置将在下文中分别介绍

二、用户名密码验证及验证成功后给用户授权
2.1 分析
Spring Security的底层是通过一系列Filter管理的,当我们使用NameSpace时,Spring Security会自动创建FilterChain及默认包含的Filter。其中几个关键Filter的位置和作用如下,完整信息可参考(http://wiki.jikexueyuan.com/project/spring-security/filter.html)

 

过滤器位置作用
SecurityContextPersistenceFilterSECURITY_CONTEXT_FILTER进行 request 时在 SecurityContextHolder 中建立一个 SecurityContext
UsernamePasswordAuthenticationFilterFORM_LOGIN_FILTER
认证及授权处理, 为SecurityContextHolder添加一个有效的 Authentication
FilterSecurityInterceptorSECURITY_CONTEXT_FILTER

 保护 Http 资源,判断用户是否有权限访问相应的资源


 

由此可见该功能点是通过UsernamePasswordAuthenticationFilter实现的。UsernamePasswordAuthenticationFilter会调用AuthenticationManager处理认证请求的接口。AuthenticationManager又会进一步把该请求委托给AuthenticationProvider处理。AuthenticationProvider会根据请求的用户名调用UserDetailsService获取用户详情UserDetails。Spring Security有内置UserDetailsService实现,如:

CachingUserDetailsService从缓存中加载用户详情
JdbcDaoImpl从数据库中加载用户详情
InMemoryUserDetailsManager从内存中加载用户详情
这些均不能满足当前系统的需求,我们需要调用系统中用户服务的接口来加载用户详情,所以这里需要定义自己的UserDetailsService实现。

2.2 实现
(1) 自定义UserInfoService实现UserDetailsService接口,重写其loadUserByUsername()方法实现从用户服务的接口来加载用户详情 


(2) 在spring-security.xml中配置UsernamePasswordAuthenticationFilter实例authenticationFilter,并为其逐级注入自定义的UserDetailsService实例userInfoService。 


(3) 用authenticationFilter替换FilterChain中默认的认证过滤器UsernamePasswordAuthenticationFilter 

之前介绍过FilterChain中的默认的Filter都有自己的位置,UsernamePasswordAuthenticationFilter 对应的位置为FORM_LOGIN_FILTER。Spring Security支持通过 position、before 或者 after 指定自定义 Filter放置的位置。红框中语句的含义就是将authenticationFilter放置到FORM_LOGIN_FILTER位置,也就实现了替换默认UsernamePasswordAuthenticationFilter的功能

(4) 整个用户认证及授权的流程如下: 


 
  注:红框部分“分布式环境中用户权限共享”功能的部分实现,后面介绍

三、HTTP请求的权限配置和验证
3.1 分析
HTTP请求的权限配置就是自定义url和所需权限的对应关系。在配置文件中实现 
HTTP请求的权限验证就是检查用户登录授权阶段获取到的用户权限是否可以访问该url。Spring Security中FilterSecurityInterceptor通过调用AccessDecisonManager的相应接口完成权限认证,其中AccessDecisonManager或配置一个或多个AccessDecisionVoter的vote()方法来进行投票(成功返回1,失败返回-1),并根据每个AccessDecisionVoter的投票结果及一定的策略决定该用户是否有权限访问该url。Spring Security默认使用的AccessDecisonManager实现类AffirmativeBased的策略是只要有一个AccessDecisionVoter投了反对票(即vote方法返回-1),则拒绝访问url。Spring Security中也有多个AccessDecisionVoter实现类,这里介绍两个常用的AccessDecisionVoter:

WebExpressionVoter 基于表达式匹配的投票方法,即只要用户权限中包含url所需的权限即投赞成票
RoleVoter 类似于WebExpressionVoter但是需要配置权限前缀,默认前缀为ROLE_
3.2 实现
(1) 在spring-security.xml中配置url及其权限的对应关系 

红框语句的含义就是为能匹配“/dicts**”表达式的url请求配置ROLE_DICT权限

(2) 权限检查的过滤器FilterSecurityInterceptor及其配置均使用Spring Security默认配置。

(3) 一次非登录的Http请求的完整流程如下: 

注:红框部分“分布式环境中用户权限共享”功能的部分实现,后面介绍

四、方法级别的权限配置和验证
4.1 分析
可基于注解实现,参考http://blog.csdn.net/w605283073/article/details/51327182

4.2 实现
(1) 在spring-security.xml中开启@PreAuthorize的注解支持 
 
(2) 为需要权限验证的方法添加@PreAuthorize注解

五、分布式环境中用户权限共享
5.1 分析
当前分布式系统已经实现了基于Redis的分布式Session,也即同一次访问过程中经过不同主机上不同服务之间是共享Session的。因此当我们需要实现用户权限共享时,只需要在登录验证阶段获取到的用户详情信息(包含用户权限)写入到Session中即可。通过上一节的“用户认证及授权的流程”中可知用户完成验证后的用户详情信息会封装为Authentication实例并写入SecurityContext中,因此我们只需将SecurityContext写入共享Session即可。在需要使用用户权限的地方(如访问特定权限的url或方法的验证阶段)只需要取出Session中的SecurityContext

5.2 实现
(1) 自定义AuthenticationSuccessHandler实现类SessionAuthenticationSuccessHandler,重写onAuthenticationSuccess()方法,将SecurityContext保存到session中 


(2) 在spring-security.xml中为登录验证授权过滤器authenticationFilter配置授权成功后的处理Handler为SessionAuthenticationSuccessHandler 

(3) 自定义过滤器ValidationFilter,在doFilter()方法中实现取出session中的SecurityContext保存到SecurityContextHolder中 


(4) 在spring-security.xml为默认FilterChian添加ValidationFilter,位于FilterSecurityInterceptor (位置为FILTER_SECURITY_INTERCEPTOR)前面,这样就可以实现在权限验证之前先经过ValidationFilter将session中的SecurityContext保存到SecurityContextHolder中 

此处使用了before关键字定义了validationFilter的插入位置
--------------------- 
 

每天都在分享文章,也每天都有人想要我出来给大家分享下怎么去学习Java。大家都知道,我们是学Java全栈的,大家就肯定以为我有全套的Java系统教程。没错,我是有Java全套系统教程,进扣裙【47】974【9726】所示,今天小编就免费送!~

 

后记:对于大部分转行的人来说,找机会把自己的基础知识补齐,边工作边补基础知识,真心很重要。“我们相信人人都可以成为一个程序员,现在开始,找个师兄,带你入门,学习的路上不再迷茫。这里是ja+va修真院,初学者转行到互联网行业的聚集地。"

 

 

Java搬砖师
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
spring-security4.2实现登录退出以及权限配置
还想听你的故事
07-25 4528
最近用到了spring-security框架来实现登录验证。 以前做登录的步骤是: 1、用户输入用户名、密码登录 2、连接数据库对用户名、密码进行验证 3、获取用户信息(角色列表等等) 4、获取相关操作权限 security安全框架有点不同: 1、用户名、密码组合生成一个AuthenticationToken对象。 2、生成的这个token对象会传递给一个Authenticati
spring boot 实现用户登录认证
11-07
1.架构: spring boot + jpa + thyemleaf, mysql数据库 2.功能实现: 1)使用Logback进行日志记录; 2)使用HandlerInterceptor接口实现登陆认证 3)登陆验证码的生成
Spring学习笔记10
amethystic
03-18 1017
用户身份验证应用程序的安全机制需要在授权用户访问资源之前确定用户的身份,即用户是谁。大多数应用都会弹出一个登陆界面供用户输入用户名密码。在Spring安全机制中,authentication manager由org.acegisecurity.AuthenticationManager接口定义。public insterface AuthenticationManager {     
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 3525
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
Spring 没有ApplicationContext类 报红
qq_38862981的博客
03-23 1274
到pom文件导入相关依赖 <!--Spring的基础包Spring-core--> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> <version>5.2.8.RELEASE</version&gt
基于spring的用户登录验证
在怀疑和自我怀疑中迷失
04-03 1982
这个案例也是《精通Spring 4.x 企业应用开发实战》的快速入门案例。 包结构 域对象层 package com.ruansongyun.domain; import java.io.Serializable; import java.util.Date; public class User implements Serializable { private int userId; private String userName; private String passwo
java spring 登录验证_详解使用Spring3 实现用户登录以及权限认证
weixin_30111277的博客
02-16 749
使用Spring3 实现用户登录以及权限认证这里我就简单介绍一下,我在实现的时候处理的一些主要的实现。1.用户登录用户名密 码© 2013 - 2014 |以上是前台页面,后台的就是一个简单的逻辑实现:@RequestMapping(value="loginAction.do", method=RequestMethod.POST)public ModelAndView loginAction(@...
SpringSecurity连接数据库实现登录认证
Thinking_Liang的博客
03-22 1473
SpringSecurity连接数据库实现登录认证 首先,使用SpringSecurity前需要知道的一点是:要想使用SpringSecurity必须继承WebSecurityConfigurerAdapter父类(重写两个configure方法),SpringSecurity中进行认证需要实现UserdetailService接口,把用户名和密码写死的内存中认证为以下写法: @EnableWebSecurity public class SecurityConfig extends WebSecurity
【第八篇】SpringSecurity基于JWT实现Token
筱白爱学习!的博客
06-14 673
SpringBoot项目中基于SpringSecurity作为认证授权框架的情况下如何整合JWT来实现Token的处理
SpringSecurity的HTTP权限控制
风雨的博客
10-24 6001
Spring Security的HTTP权限控制 简介 一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统...
SpringBoot+SpringSecurity整合(实现登录认证权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
SpringBoot + shiro Demo 简单登录验证权限验证
02-08
SpringBoot ,Shiro 密码加密,登录验证权限控制demo
springmvc框架的用户登录注册的简单实现
06-06
spring初学这可以参考的用户登录注册简单的例子,mvc设计模式的spring框架,适合初学者,比较简单,容易理解和入门
Spring:验证用户登录
weixin_30653097的博客
10-17 195
利用 Spring IOC 技术实现用户登录验证机制,对用户进行登录验证。 首先利用 Spring 的自动装配模式将 User 对象注入到控制器中,然后将用户输入的用户名和密码与系统中限定的合法用户的用户名和密码进行匹配。 当用户名与密码匹配成功时,跳转到登录成功页面;当用户名与密码不匹配时,跳转到登录失败的页面。 1.创建 User 对象,定义用户名和密码属性,代码如下: pack...
Spring Web MVC 框架实现用户验证登录。程序从一个页面 login.jsp 进入,要求提供的服务是判断登录的用户和密码是否都是“admin“,若是跳转到页面 loginSucces
weixin_73603602的博客
05-30 1245
Spring Web MVC 框架实现用户验证登录。程序从一个页面 login.jsp 进入,要求提 供的服务是判断登录的用户和密码是否都是"admin",若是跳转到页面 loginSuccess.jsp, 反 之跳转到 loginError.jsp。
04 SpringMVC中,使用拦截器验证用户是否登录功能(认证用户)【SpringMVC】
qq_53950878的博客
11-10 1290
使用拦截器验证用户是否登录功能(认证用户),防盗链、拦截器执行流程、拦截器概述、过滤器与拦截器的区别、
使用Spring做一个 登录验证的功能
Crecendow
06-13 611
登录功能应该包含哪些功能 1、判断输入的用户在数据库是否存在 2、判断 登录密码是否正确 3、一些前端的基本判断,包括 input的输入值不能为空、密码不能为空 前端部分的代码 <div class="loginbox"> <div class="loginbox-header"> <p>账...
Spring Security系列】Spring Security+JWT+Redis实现用户认证登录及登出
c18213590220的博客
11-28 1669
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一 套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
spring集成springsecutity https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-beta/css/bootstrap.min.css
05-11
你想了解如何在Spring中集成Spring Security,并且使用Bootstrap 4.0.0-beta CSS库来美化前端页面,是吗? 首先,你需要确保你的Spring项目中已经添加了Spring Security依赖。你可以在pom.xml文件中添加以下依赖: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值