springboot3探索日记(3)——Security6配置

已于 2023-12-21 11:16:55 修改
阅读量444 收藏
点赞数
文章标签: java spring boot
于 2023-12-19 17:27:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42533633/article/details/135087626
版权

springboot版本:3.2.0

jdk版本:21

security,跟随boot版本。

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

Security6相比Security5及之前的版本,在配置上做出了断层式的改变。和之前继承WebSecurityConfigurerAdapter相比,现在种种配置都是以bean的形式呈现的。

@Slf4j
@EnableWebSecurity
@Configuration
@EnableMethodSecurity(securedEnabled = true, jsr250Enabled = true)
public class SecurityConfig {

    // 白名单
    @Value("#{'${config.security.white-list}'.split(',')}")
    private String[] whiteList;

    @Resource
    private AuthenticationTokenFilter authenticationTokenFilter;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        return httpSecurity
                .authorizeHttpRequests(req -> req.requestMatchers(whiteList).permitAll()
                        .anyRequest().authenticated())
                .exceptionHandling(http -> http.authenticationEntryPoint(failureHandling()))
                // token过滤器
                .addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
                .csrf(AbstractHttpConfigurer::disable)
                .cors(AbstractHttpConfigurer::disable)
                // 无状态
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .build();
    }

    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public PasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 验证失败处理器
     *
     */
    public AuthenticationEntryPoint failureHandling() {
        return (request, response, exception) -> {
            log.error(exception.getMessage());
            RespEnum resultEnum = RespEnum.UNAUTHORIZED;
            exception.printStackTrace();
            Resp<Void> resp = Resp.error(resultEnum);
            response.setContentType("application/json");
            response.setCharacterEncoding("utf-8");
            response.getWriter().write(JSON.toJSONString(resp));
        };
    }
}

这里用过滤器的方式验证用户,用户信息放到请求上下文中

@Component
public class AuthenticationTokenFilter extends OncePerRequestFilter {

    @Resource
    private TokenService tokenService;


    @Override
    public void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String token = SecurityUtils.getToken(request);
        // 无token不加载用户信息
        if (Func.isEmpty(token) || token.startsWith("Basic")) {
            chain.doFilter(request, response);
            return;
        }
        // 解析token,并从redis中取出loginUser
        LoginUser loginUser = tokenService.verifyToken(token);
        // security的认证实际上最终操作的就是这个authenticationToken
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
        authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        chain.doFilter(request, response);
    }
}

tokenService不变(主要是对token、用户的处理)。

@Component
public class TokenService {

    @Resource
    private RedisTemplate<String, String> redisTemplate;

    // 令牌默认存储时长
    protected static final long EXPIRE_SECOND = 3600;
    // token在redis中的key
    private final static String ACCESS_TOKEN = "login_tokens:";

    /**
     * 创建令牌
     */
    public String createToken(LoginUser loginUser) {
        String token = IdUtil.nanoId();
        // 存储
        refreshToken(loginUser, token);
        return token;
    }


    /**
     * 获取用户身份信息
     *
     * @return 用户信息
     */
    public LoginUser getLoginUser(String token) {
        if (StringUtils.isNotEmpty(token)) {
            String tokenKey = getTokenKey(token);
            String userStr = redisTemplate.opsForValue().get(tokenKey);
            LoginUser loginUser = JSON.parseObject(userStr, LoginUser.class);
            return loginUser;
        }
        return null;
    }

    /**
     * 删除用户缓存信息
     */
    public void removeToken(String token) {
        if (token == null) {
            return;
        }
        String tokenKey = getTokenKey(token);
        redisTemplate.delete(tokenKey);
    }

    /**
     * 验证令牌有效期,相差不足120分钟,自动刷新缓存
     *
     * @param token
     */
    public LoginUser verifyToken(String token) {
        LoginUser loginUser = getLoginUser(token);
        // 刷新token
        refreshToken(loginUser, token);
        return loginUser;
    }

    /**
     * 刷新令牌有效期
     *
     * @param loginUser 登录信息
     */
    public void refreshToken(LoginUser loginUser, String token) {
        // 将loginUser缓存
        String userKey = getTokenKey(token);
        ValueOperations<String, String> forValue = redisTemplate.opsForValue();
        forValue.set(userKey, JSON.toJSONString(loginUser) , Duration.ofSeconds(EXPIRE_SECOND));
    }

    private String getTokenKey(String token) {
        return ACCESS_TOKEN + token;
    }
}

登录不变,还是原先的,核心代码:

    @Resource
    private AuthenticationManager authenticationManager;

    public Resp<String> login(@Valid @RequestBody LoginReqDTO loginBody) {
        String username = loginBody.getUsername();
        String password = loginBody.getPassword();
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password);
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);
        LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
        String token = tokenService.createToken(loginUser);
        return Resp.success(token);
    }

左手藏剑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot 3.2 集成最新 Spring Security6 实战
yangzhenyu2的博客
04-08 1630
虽然网上已经有很多对于Spring Security6用法的最近用法的介绍,但并没有一个比较完整的示例讲解我们应该如何把以前过时的方法更新到最新的用法。因此,我以自己项目中的security配置为例,提供一个已经验证过的springSecurityFilterChain配置示例,供大伙参考。
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
竹林幽深
08-11 1102
您可以采用 JPA/Hibernate等一切你所熟悉的数据库框架,但这并不是本文档的重点。这里仅以MySQL 8.x与MybatisPlus为例:我们这里没有实现注册模块,但又想体验密码加密功能,因此推荐从此处由纯文本密码转换成加密密码存储至数据库中。编写授权服务// }创建两个实体类其一:User// 导入 Lombok 库中的注解import lombok.Builder;
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现接口资源鉴权
程序员雅痞的博客
03-29 1064
紧接上一篇文章,基于Spring Boot 3 + Spring Security6 + JWT + Redis实现接口资源鉴权
SpringSecurity6配置requestMatchers().permitAll() 无效问题
最新发布
hardworking_boy的博客
04-29 546
SpringSecurity6 自定义认证过滤器无效
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
热门推荐
markvivv随笔
03-26 1万+
在Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 9655
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
SpringBoot3整合Spring Security6
qq_40907295的博客
08-16 1059
1.配置类不再实现WebSecurityConfigurerAdapter接口。记录学习的SpringBoot3使用SpringSecurity6的新方式。4.认证失败处理、token过滤器、认证失败处理还是使用原来的方式。
【Spring Boot 3】的安全防线:整合 【Spring Security 6】
q1372302825的博客
03-02 3857
探索如何将Spring Boot 3与Spring Security 6完美融合,为您的应用程序打造坚实的安全防线。本文深入剖析整合过程,从基础概念到高级特性,为您呈现全面的安全解决方案。无论您是初学者还是经验丰富的开发者,都能在本文中获得宝贵的见解。学习如何配置用户认证、授权和密码加密,掌握基于注解的安全性高级功能。通过清晰的示例和实用的指导,本文将帮助您提升应用程序的安全性,保护您的数据免受威胁。立即开始,构建一个安全可靠的Spring Boot应用!
基于SpringBoot和Vue3的renren-security权限系统设计源码
04-18
本项目是基于SpringBoot和Vue3的renren-security权限系统设计源码,包含511个文件,其中主要包含253个java源代码文件,49个vue前端文件,33个svg图片文件等。系统采用了SpringBoot、MyBatis-Plus、Shiro、Vue3、...
SpringBoot3+Vue3+Security
03-25
SpringBoot3+Vue3+Security SpringBoot3+Vue3+Security SpringBoot3+Vue3+Security SpringBoot3+Vue3+Security SpringBoot3+Vue3+Security SpringBoot3+Vue3+Security SpringBoot3+Vue3+Security SpringBoot3+Vue3+...
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringBoot+Mybaits+vue3+elementplus通用管理系统实例(前端+后端)
12-30
SpringBoot+Mybaits+vue3+elementplus通用管理系统实例(前端+后端),搭建通用管理系统后台,实现管理系统常用的功能,比如日志管理、登录、找回密码、权限管理、用户管理、角色管理、系统配置、数据字典、系统消息...
renren-security_springbootmybatis_renrenca_renren-security_renre
10-04
基于springboot+mybatis的管理系统;安全验证;
springboot3.0+spring security6+oauth2+vue3整合单点登陆(sso)
qq_21277357的博客
12-31 1356
springboot3.0使用jdk17redis提前安装好。
【工作记录】基于springboot3+springsecurity6实现多种登录方式(一)
泽济天下的专栏
01-17 2314
本文针对基于springboot3和springsecurity实现用户登录认证访问以及异常处理做个记录总结,也希望能帮助到需要的朋友。
SpringBoot3+SpringSecurity整合
qq_40107343的博客
02-09 865
【代码】SpringBoot3+SpringSecurity整合。
SpringSecurity6从入门到上天系列第五篇:详解SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
treewithwater的博客
11-20 1070
本文是SpringSecurity6从入门到上天系列第五篇,详细介绍了SpringSecurity6中的Security Filters的作用和原理以及默认的15个核心Security Filters
一文带你读懂Spring Security 6.0的实现原理
知识分享官
09-22 418
本文重点分析了Spring Security的源码和架构,帮助读者理解其实现原理。由于篇幅有限,本文只覆盖了身份认证和鉴权模块的核心逻辑,很多特性没有涉及,包括Session管理,Remember Me服务,异常分支和错误处理等等,不过有了上述的基础知识,读者完全可以自己分析源码并深入理解这些特性。
Springboot 3 + Spring Security 6 +jwt 项目配置
05-26
好的,下面是Spring Boot 3 + Spring Security 6 + JWT的项目配置步骤: 1. 添加Spring Security和JWT的依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2. 配置JWT 在application.yml或者application.properties文件中添加JWT的配置信息: ``` jwt: secret: yourSecretKey expiration: 604800000 # 7 days ``` 3. 配置Spring Security 创建一个继承自WebSecurityConfigurerAdapter的配置类,并添加以下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailsService customUserDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated(); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } } ``` 其中,CustomUserDetailsService是自定义的用户认证服务,JwtAuthenticationFilter是自定义的JWT认证过滤器。 4. 编写JWT认证过滤器 创建一个继承自OncePerRequestFilter的JwtAuthenticationFilter,并添加以下代码: ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider jwtTokenProvider; @Autowired private CustomUserDetailsService customUserDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String token = jwtTokenProvider.resolveToken(request); if (token != null && jwtTokenProvider.validateToken(token)) { Authentication authentication = jwtTokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (JwtAuthenticationException ex) { SecurityContextHolder.clearContext(); response.sendError(ex.getHttpStatus().value(), ex.getMessage()); return; } filterChain.doFilter(request, response); } } ``` 其中,JwtTokenProvider是自定义的JWT Token提供器。在这个过滤器中,我们通过JWT Token提供器解析请求中的Token,并将用户认证信息存储在SecurityContextHolder中。 5. 编写JWT Token提供器 创建一个JwtTokenProvider类,并添加以下代码: ```java @Service public class JwtTokenProvider { @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; public String createToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return Jwts.builder() .setClaims(claims) .setSubject(userDetails.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + expiration)) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(secret).parseClaimsJws(token); return true; } catch (JwtException | IllegalArgumentException ex) { throw new JwtAuthenticationException("Expired or invalid JWT token", HttpStatus.INTERNAL_SERVER_ERROR); } } public Authentication getAuthentication(String token) { UserDetails userDetails = customUserDetailsService.loadUserByUsername(getUsername(token)); return new UsernamePasswordAuthenticationToken(userDetails, "", userDetails.getAuthorities()); } public String getUsername(String token) { return Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody() .getSubject(); } public String resolveToken(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 其中,UserDetails是Spring Security提供的用户认证信息对象,CustomUserDetailsService是自定义的用户认证服务。 在这个类中,我们使用JJWT库来创建和解析JWT Token,并在getAuthentication方法中从Token中获取用户认证信息,并将其封装成Spring Security的Authentication对象。 以上就是Spring Boot 3 + Spring Security 6 + JWT的项目配置步骤。希望能够帮到您!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值