SpringBoot集成Security,前后端分离的SecurityConfig配置

前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用.

  • Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中
    getAuthorities方法获取用户的状态
  • 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行

springboot-security maven依赖

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
</dependency>

先贴上Model代码:

package com.jlau.schoollocationsystem.model;

import org.springframework.data.annotation.Id;
import org.springframework.data.mongodb.core.mapping.Document;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.io.Serializable;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

/**
 * Created by cxr1205628673 on 2020/3/16.
 */

@Document("user")
public class OrdinaryUser extends User implements UserDetails,Serializable{
    //User要继承 UserDetails接口,实现是否可用、上锁、getAuthorties等方法
    @Id
    private String id;
    private String username;
    private String password;
    private List<Role> roles;

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> auth = new ArrayList<>();

        for (Role role:roles) {
            auth.add(new SimpleGrantedAuthority(role.getName()));
        }
        return auth;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}
@Entity
@Table(name = "role")
public class Role implements GrantedAuthority{
    //Role类需要实现GrantedAuthority接口,让security判断是否有权限
    @Id
    @Column
    @GeneratedValue
    private Integer id;
    @Column
    private String name;

    @JsonIgnore
    @ManyToMany(mappedBy = "roles")
    List<User> users;

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    @Override
    public String getAuthority() {
        return name;
    }
}

下面是websecurityconfig代码继承adaptor... 

 

package com.jlau.schoollocationsystem.configuration;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.jlau.schoollocationsystem.service.UserService;
import com.jlau.schoollocationsystem.utils.ResponseMsg;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.co
  • 3
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
Spring Boot + Security 可以实现前后端分离的身份认证和授权功能。在前后端分离的架构中,前端负责展示页面和用户交互,后端负责处理数据和业务逻辑。通过使用 Spring Boot + Security,可以实现以下步骤来实现前后端分离的安全认证: 1. 在后端项目中引入 Spring Boot Security 的依赖,并配置相应的安全认证策略。可以使用`@EnableGlobalMethodSecurity(prePostEnabled=true)`注解来启用方法级别的权限控制。具体的配置可以参考引用中提供的示例代码。 2. 前端发送登录请求时,需要提供用户名和密码。后端接收到请求后,可以通过自定义的认证逻辑对用户进行身份验证。可以使用`AuthenticationManager`来完成身份认证。 3. 在认证成功后,后端可以生成一个包含用户信息和权限信息的 JSON Web Token (JWT),并将其返回给前端。前端可以将 JWT 存储在客户端,并在后续的请求中通过请求头或其他方式将 JWT 发送给后端。 4. 后端在接收到前端的请求时,可以通过过滤器或拦截器对请求进行验证,并根据 JWT 中的信息进行权限控制。可以使用`TokenAuthenticationFilter`来完成 JWT 的验证和解析。 5. 对于需要进行权限控制的接口或方法,可以使用`@PreAuthorize`注解来定义相应的权限要求。例如,可以在某个方法上加上`@PreAuthorize("hasRole('ROLE_ADMIN')")`注解,表示只有具有管理员角色的用户才能访问该方法。 总结起来,通过 Spring Boot + Security 可以实现前后端分离的安全认证和授权功能。前端通过发送登录请求获取 JWT,后续的请求通过验证 JWT 和权限控制来保护接口的安全性。具体的实现可以参考引用中提供的示例代码和引用中的文章。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [最新整合springboot - security前后端分离 , 自定义登录接口](https://blog.csdn.net/qq_39130032/article/details/111030237)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题](https://download.csdn.net/download/awp0011/10717299)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值