Spring Security 使用核心

最新推荐文章于 2024-06-14 17:45:13 发布
最新推荐文章于 2024-06-14 17:45:13 发布
阅读量450 收藏 1
点赞数 1
文章标签: java 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42546038/article/details/121486577
版权

1.导入依赖

    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-oauth2</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-jwt</artifactId>
        <version>1.0.10.RELEASE</version>
    </dependency>

2.认证服务配置   

package com.itheima.auth.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

/**
 * 开启认证服务器配置类
 */
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private TokenStore tokenStore;


    @Autowired
    private AuthenticationManager authenticationManager;



    /**
     * 注册bcrypt加密对象
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * 定义用户详情服务:框架会调用该对象 UserDetailsService(封装用户名密码,权限)  查询用户信息用于判断用户认证信息合法。
     * TODO:将来将用户存入MySQL数据库中
     *
     * @return
     */
    @Bean
    public UserDetailsService userDetailsService(){
        //在内存中提供自定义的用户名 密码
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        //在内存中自定义用户名称:jack 密码:jack 权限:p1
        manager.createUser(User.withUsername("third").password(passwordEncoder().encode("third")).authorities("user:query").build());

        manager.createUser(User.withUsername("jack").password(passwordEncoder().encode("jack")).authorities("p1").build());
        manager.createUser(User.withUsername("rose").password(passwordEncoder().encode("rose")).authorities("p2").build());
        return manager;
    }

    /**
     * 配置客户端详情:移动端、web端,第三方应用 定义客户端ID,秘钥
     * third_client:提供授权码模式测试客户端  适用其他的第三方系统
     * app_client,pc_client 密码模式     适用受信任客户端
     * @param clients
     * - clientId:(必须的)用来标识客户的Id(理解为第三方应用账户)
     * - secret:(需要值得信任的客户端)客户端安全码,如果有的话。
     * - scope:用来限制客户端的访问范围,可选值(read,write,all)如果为空(默认)的话,那么客户端拥有全部的访问范围。
     * - authorizedGrantTypes:此客户端可以使用的授权类型,默认为空。 可选值( **`authorization_code`** , **`password`,`implicit,client_credentials,refresh_token`** )
     * - authorities:此客户端可以使用的权限(基于Spring Security authorities)。
     * - autoApproveScopes:  设置是否自动授权
     * - redirectUris 授权码模式中重定向地址
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        //客户端信息暂存储在内存中,也可改为security提供的表存储
        //授权码模式下需要的客户端信息如下
        clients.inMemory()
                .withClient("third_client")  //客户端标识
                    .secret(passwordEncoder().encode("third_secret"))  //客户端的秘钥
                    .authorizedGrantTypes("authorization_code")
                    .autoApprove(true)
                    .scopes("all")
                    //.autoApprove("all")
                    .redirectUris("http://www.baidu.com")  //设置回调地址
                //密码模式需要的客户端信息


                .and()
                    .withClient("app_client")  //客户端标识
                    .secret(passwordEncoder().encode("app_secret"))  //客户端的秘钥
                    .authorizedGrantTypes("password", "refresh_token")
                    .scopes("all") //设置回调地址

                .and()
                    .withClient("pc_client")
                    .secret(passwordEncoder().encode("pc_secret"))
                    .authorizedGrantTypes("password", "refresh_token")
                    .scopes("all");
    }





    /**
     * 令牌服务支持
     *
     * @return
     */
    @Bean
    public AuthorizationServerTokenServices tokenService() {
        DefaultTokenServices service = new DefaultTokenServices();
        //是否支持刷新令牌
        service.setSupportRefreshToken(true);
        //令牌存储
        service.setTokenStore(tokenStore);
        // 令牌有效期单位秒,默认默认12小时  设置为1周
        service.setAccessTokenValiditySeconds(604800);
        // 刷新令牌默认单位秒  默认30天 设置为3周
        service.setRefreshTokenValiditySeconds(1814400);
        return service;
    }




    /**
     * 注入令牌策略
     * @param endpoints
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) {
        endpoints.authenticationManager(authenticationManager)
                .tokenServices(tokenService());
    }


    /**
     * **令牌端点的安全约束,对密码模式表单提交允许**
     * @param security
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) {
        security.allowFormAuthenticationForClients();  //支持密码模式下表单登录
    }
}

3.token加密方式配置

package com.happyu.auth.config;

import jdk.nashorn.internal.parser.Token;
import org.junit.Before;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.ClassPathResource;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.InMemoryTokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;
import org.springframework.security.oauth2.provider.token.store.KeyStoreKeyFactory;

import java.security.KeyPair;

@Configuration
public class TokenConfig {

    //对称加密采用秘钥
    private static final String secret = "itcast_auth";

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        KeyPair keyPair = new KeyStoreKeyFactory(new ClassPathResource("oauth2.jks"), "itcast".toCharArray()).getKeyPair("oauth2");
        jwtAccessTokenConverter.setKeyPair(keyPair);
//        jwtAccessTokenConverter.setSigningKey(secret);
        return jwtAccessTokenConverter;
    }

    /**
     * 默认:InMemoryTokenStore,内存中生成一个普通的令牌uuid。
     * @return
     */
    @Bean
    public TokenStore tokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
}

4.密码模式下需要:用户认证时需要的认证管理和用户信息来源

package com.happyu.auth.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    
      /**
     * 密码模式下需要:用户认证时需要的认证管理和用户信息来源
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
   

}

5.配置认证器

package com.happyu.auth.integration.authenticator;

import com.happyu.sys.dto.CompanyUserDTO;

import javax.servlet.http.HttpServletRequest;

/**
 * @author heima
 * 登录认证器接口
 */
public interface LoginHandler {

    /**
     * 远程调用系统微服务得到用户信息
     *
     * @param request Http请求对象
     * @return 用户表实体
     */
    CompanyUserDTO queryUser(HttpServletRequest request);



    /**
     * 认证器各个实现类
     * 判断当前客户端提交认证类型是否支持当前认证器
     *
     * @param request 请求对象
     * @return true:采用当前认证器  false:不支持
     */
    boolean support(HttpServletRequest request);
}

6.自定义UserDetailService

package com.happyu.auth.integration.service;


import cn.hutool.core.collection.CollectionUtil;
import com.happyu.auth.integration.authenticator.LoginHandler;
import com.happyu.common.threadlocals.UserHolder;
import com.happyu.common.util.BeanHelper;
import com.happyu.common.util.JsonUtils;
import com.happyu.common.vo.UserInfo;
import com.happyu.sys.dto.CompanyUserDTO;
import com.happyu.sys.entity.Function;
import com.happyu.sys.entity.Role;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.oauth2.common.exceptions.OAuth2Exception;
import org.springframework.stereotype.Component;
import org.springframework.util.CollectionUtils;
import org.springframework.web.context.request.RequestAttributes;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;

import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;

/**
 * 自定义用户详情服务对象,框架查询该对象方法得到用户信息UserDetails
 * @author: itheima
 * @create: 2021-09-19 11:02
 */
@Slf4j
@Component
public class MyUserDetailsService implements UserDetailsService {

    /**
     * 当前认证器集合
     */
    @Autowired
    private List<LoginHandler> loginHandlers;


    /**
     * 框架认证过程调用该方法得到用户信息
     * @param username 用户名
     * @return 用户详情对象-包含用户名称,用户正确密码,用户权限
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("调用到自定义详情服务MyUserDetailsService--查询用户信息");
        //1.获取用户提交认证方式
        //1.1 如果在普通类中获取请求参数 采用RequestContextHolder请求上下文对象
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        //1.2 转为ServletRequestAttributes
        ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
        //1.3 获取请求对象 进一步 获取请求参数
        HttpServletRequest request = servletRequestAttributes.getRequest();
        log.info("认证参数:"+request.getParameter("username") +", "+request.getParameter("auth_type"));

        //2.根据客户端认证方式,选择一个认证器进行 获取数据库中 员工信息
        //选择认证器
        LoginHandler loginHandler = chooseLoginHandler(request);
        CompanyUserDTO companyUserDTO = loginHandler.queryUser(request);

        //3.封装框架要求的返回结果 UserDetails 用户详情服务
        //3.1 封装用户权限信息
        List<GrantedAuthority> authorities = this.getAuthorities(companyUserDTO);
        if (CollectionUtils.isEmpty(authorities)) {
            //如果用户没有权限 增加 游客 角色
            authorities.add(new SimpleGrantedAuthority("ROLE_USER_TOURIST"));
        }

        //3.2 User对象参数一:生成jwt令牌中 user_name 属性值 问题:将来资源服务器无法得到用户ID标识
        //3.3 解决 将CompanyUserDTO转为 自定义对象:UserInfo
        UserInfo userInfo = BeanHelper.copyProperties(companyUserDTO, UserInfo.class);
        //将用户信息存入userholder
        UserHolder.setUser(userInfo);
        return new User(JsonUtils.toJsonStr(userInfo), companyUserDTO.getPassword(), authorities);
        //x.后续框架还会继续进行校验用户信息,客户端信息是否合法 ,最终才会根据用户信息产生令牌
    }


    /**
     * 根据用户角色跟权限 封装框架要求权限对象
     * 将角色,权限字符串 封装权限对象
     * 封装
     * @param companyUserDTO
     * @return
     */
    private List<GrantedAuthority> getAuthorities(CompanyUserDTO companyUserDTO) {
        //1.封装角色权限
        List<GrantedAuthority> authorities = new ArrayList<>();
        List<Role> roleList = companyUserDTO.getSysRoles();
        if (CollectionUtil.isNotEmpty(roleList)) {
            for (Role role : roleList) {
                GrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(role.getRoleName());
                authorities.add(simpleGrantedAuthority);
            }
        }
        //2.封装权限
        List<Function> functionList = companyUserDTO.getSysFunctions();
        if (CollectionUtil.isNotEmpty(functionList)) {
            for (Function function : functionList) {
                GrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(function.getName());
                authorities.add(simpleGrantedAuthority);
            }
        }
        return authorities;
    }


    /**
     * 根据传入请求参数判断 选择一个认证器实例返回
     * @param request
     * @return
     */
    private LoginHandler chooseLoginHandler(HttpServletRequest request) {
        //1.遍历认证器集合
        for (LoginHandler loginHandler : loginHandlers) {
            //2.每个认证器都有support方法 只要support返回true 直接返回当前实例对象
            boolean support = loginHandler.support(request);
            //2.1 进入某个方法实现
            if (support) {
                return loginHandler;
            }
        }
        throw new OAuth2Exception("不支持当前认证方式");
    }
}

6.在需要使用认证的微服务上添加资源配置和token配置

happyu新晋码农
关注
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
20个SpringSecurity框架核心组件详解
威哥爱编程,CSDN 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
03-22 1121
其运行过程是在用户发送请求时被调用,根据请求的路径匹配相应的 SecurityFilterChain,并按照配置的安全过滤器链对请求进行处理。SecurityContextHolder 是 Spring Security 中非常重要的组件之一,它为安全框架的运行提供了关键的支持。通过配置不同的过滤器链,开发人员可以实现灵活的安全策略,包括身份验证、授权、会话管理等功能。通常情况下,开发人员需要实现自己的 UserDetails 类,从数据源中加载用户信息,并提供相应的方法来获取用户的身份信息和权限信息。
springsecurity核心要义
老螺丝的技术人生
12-31 389
springsecurity框架的核心组件 SecurityContextHolder:提供对SecurityContext的访问 SecurityContext:持有Authentication对象和其他可能需要的信息 AuthenticationManager: 其中可以包含多个AuthenticationProvider ProviderManager:AuthenticationMan...
SpringSecurity(一)核心功能
陈橙橙
03-10 4705
前言 最近在潜心研究一下安全框架,并在此进行一下记录,如有不对还请不吝赐教。 对于一个安全管理管理框架而言,无论是Shiro还是SpringSecurity,最核心的功能,无非就是两个 认证:你是谁? 授权:你可以做什么 认证 SpringSecurity支持多种不同的认证方式,这些认证方式有的是SpringSecurity自己提供的认证功能,有的是第三方标准组织制定的。SpringSecurity集成的主流认证机制主要有如下几种: 表单认证 OAuth2.0认证 SAML2.0认证 CAS认证
浅析 Spring Security 核心组件
天行健,君子以自强不息;地势坤,君子以厚德载物。
07-08 416
前言近几天在网上找了一个 Spring Security 和JWT 的例子来学习,项目地址是https://github.com/szerhusenBC/jwt-spring-security-demo作为学习Spring Security还是不错的,通过研究该 demo 发现自己对Spring Security一知半解,并没有弄清楚Spring Seurity的流程,...
spring security(三)核心
臣本布衣,躬耕于南阳
06-15 1349
目录 1.1     Authentication 1.2     SecurityContextHolder 1.3     AuthenticationManager和AuthenticationProvider 1.3.1    认证成功后清除凭证 1.4     UserDetailsService 1.4.1    JdbcDaoImpl 1.4.2    InMemory
SpringSecurity核心原理使用总结
JavaMyDream的博客
05-09 2053
http// 登录表单的参数// 校验失败之后访问的地址,默认的地址为/login并且携带error参数error")// 当登录认证成功之后自定义处理的逻辑,这是自定义的逻辑,有默认的认证成功逻辑// 当登录认证失败之后的自定义处理的逻辑有几个关键点需要注意(这些到可以进行配置)表单的请求路径为POST的/login表单需要包含一个CSRF令牌,Thymeleaf会自动包含表单应该为用户名指定参数为username,密码为password,记住我为remember-me。
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
【第七篇】SpringSecurity核心组件和核心过滤器
最新发布
筱白爱学习!的博客
06-14 1141
SpringSecurity中的核心组件、核心过滤器SecurityContextPersistenceFilter和CsrfFilter过滤器详解
Spring Security架构和核心类一览
bangiao的博客
02-03 370
剩下的还有一些涉及到登录成功后怎么做, 登录失败后怎么做, 出现认证异常怎么做, 出现拒绝访问异常怎么做这每一个背后都会有一个接口, 提供功能, 都会有默认实现, 这里讲的全是传统web, 以后前后端分离会讲我想想还有什么没想到的…OAuth?还是JWT相关?忘了是直接使用的这个[外链图片转存中…(img-itryaGJZ-1675433602434)]剩下的还有一些涉及到登录成功后怎么做, 登录失败后怎么做, 出现认证异常怎么做, 出现拒绝访问异常怎么做。
Spring Security系列】一文带你了解权限框架与Spring Security核心概念
热门推荐
小威的博客
04-15 1万+
权限框架是软件开发中用于管理用户权限和访问控制的工具。在企业或者我们毕设复杂的系统中,不同的用户或角色需要拥有不同的访问和操作权限,以确保系统的安全性和数据完整性。今天我们就讨论一下Java中的安全框架!
springsecurity核心原理以及主要的实现方实践
y41992910的博客
06-29 322
主要分为两个步骤 1.认证(鉴定你的账号密码是否正确) 2.授权(允许你访问哪些资源)
从源码角度拆解SpringSecurity核心流程
会飞的耗子
03-28 4025
之前实现认证和权限控制,都是自己纯手写或者基于shiro框架来实现的,后来了解到spring security框架,相对来讲更适合spring项目的接入。可是spring security的接入配置比较难以理解,如果没有搞懂框架的底层细节,就更是云里雾里了。所以我专门花了几天的时间大概浏览了spring security的源码,大致搞清楚了框架的架构设计和业务流程,现写个系列文章做一个记录,已备后续自己翻阅,如有不当之处烦请指正
springsecurity
magic_818的博客
12-08 1001
springsecurity权限管理
No constructor found in org.springframework.security.core.userdetails.User matching
肉man
10-15 1401
异常: No constructor found in org.springframework.security.core.userdetails.User 原因: 返回的userList的pojo类导入了User(spring-security类型的,而非自定义的) HTTP Status 500 – Internal Server Error Type Exception Report M...
SpringBoot使用SpringSecurity搭建基于非对称加密的JWT及前后端分离的搭建
lhc0512的博客
06-04 1万+
安全问题是一个比较复杂的问题,之前使用过Shiro这个安全框架,确实挺简单的,后来使用SpringSecuritySpringSecurity更细粒度可控,现在做项目基本都使用后端分离的,很少再使用Thymeleaf这类模板引擎,而基于前后端分离的权限问题,则需要使用JWT(json web token) 本次搭建基于JWT的SpringSecurity,并搭建前后端分离的安全权限的开发环境...
Spring Security框架(一)
m0_60413225的博客
11-08 892
快速了解Spring Security
SpringSecurity在maven项目中的应用
mycsdnhh的博客
05-31 1773
1.导入坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <version>5.0.5.RELEASE</version> <dependency> <groupId>
Spring Security 3.1.6 使用与配置指南
- 核心模块(spring-security-core.jar):包含核心安全服务,如访问决策管理器、权限表达式、安全上下文和认证管理。 - 远程模块(spring-security-remoting.jar):支持远程安全服务调用。 - Web 模块(spring-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值