前后端分离模式下的登录认证授权

最新推荐文章于 2024-05-24 14:50:10 发布
最新推荐文章于 2024-05-24 14:50:10 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: springsecurity 文章标签: 认证授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43750656/article/details/109385970
版权

项目地址:https://gitee.com/kaidilake118/springsecurity-rbac/

认证授权流程

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里需要重写两个重要的过滤器

  • UsernamePasswordAuthenticationFilter
    重写该过滤器的认证、成功回调和失败回调的方法。

  • BasicAuthenticationFilter
    重写该过滤器的授权方法。

在该方法中我们执行了

UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, token, authorities);

而我么在登录方法中执行的是

UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword());

对于这两个方法的解释

在用户登录过滤器执行了这样的代码
UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword());
//调用我们写的userDetailService方法进行认证
return this.authenticationManager.authenticate(upToken);

         此时构建了UsernamePasswordAuthenticationToken,交由security来认证
         注意此时的构造方法是两个参数的,我们查看源码

             public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
                 super((Collection)null);
                 this.principal = principal;
                 this.credentials = credentials;
                 this.setAuthenticated(false);
             }

         看this.setAuthenticated(false);代码此时确定了这个认证对象是未认证的。

而到了我们这个权限过滤器中,我们使用了new UsernamePasswordAuthenticationToken(username, null, authorities);
这个构造方法,我们查看源码

public UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) {
                 super(authorities);
                 this.principal = principal;
                 this.credentials = credentials;
                 super.setAuthenticated(true);
             }

而此时的这个构造方法super.setAuthenticated(true); 此时的这个对象被赋予了权限,并经过了认证,
此时我们就可以将这个授权过的对象放入SpringSecurity的上下文中。

DanceDonkey
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
laravel5.8 前后端分离 api注册登录请求
01-02
在现代Web应用开发中,前后端分离是一种常见的架构模式,它可以提高代码的可维护性和团队协作效率。在本文中,我们将深入探讨如何在Laravel 5.8框架中实现前后端分离,并创建基于API的注册和登录功能,利用`api_...
使用UsernamePasswordAuthenticationToken
weixin_44919041的博客
01-16 1421
方法一和方法二唯一区别就是AuthenticationManagerBuilder和AuthenticationManager。
UsernamePasswordAuthenticationToken
热门推荐
程序缘
12-29 3万+
UsernamePasswordAuthenticationToken(位于org.springframework.security.authentication包下) 通过类名可以的看出来,用户名密码方式进行认证。就是我们见的最多的认证方式通过用户名密码进行登录。咱们话不多说看看具体实现: public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken { // 序列化id priva
【Spring Security】重写 UsernamePasswordAuthenticationFilter 支持登录校验 JSON 数据
最新发布
healer_ai的博客
05-24 1094
在 Spring Security 5.7 及更高版本中,`WebSecurityConfigurerAdapter` 已被弃用。取而代之的是配置类和 `SecurityFilterChain` Bean 的方式
用户名/密码认证
呜呼哈
04-05 8476
表单登录 让我们来看看基于表单的登录在 Spring Security 中是如何工作的。首先,我们看到如何将用户重定向到登录表单。 该图构建了我们的 SecurityFilterChain 图。 首先,用户向未授权的资源/私有发出未经身份验证的请求。 Spring Security 的 FilterSecurityInterceptor 通过抛出 AccessDeniedException 表示拒绝未经身份验证的请求。 由于用户没有经过身份验证,ExceptionTranslationFilter 启
UsernamePasswordAuthenticationToken使用
码字不易,大家的支持就是我坚持下去的动力
03-02 1万+
是 Spring Security 中用于封装用户名密码认证信息的一个类,它实现了接口,用于表示一个认证请求。
【Spring Security】安全框架学习(八)
Jerry‘s word
09-02 2308
在上面的代码中,我们可以看到一个泛型 SimpleGrantedAuthority ,它是由Spring提供的,但是我们在存储进redis中的时候,为了安全考虑,默认情况下是不会把SimpleGrantedAuthority进行序列化存入的,如果不做操作的话,java会报异常。所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须基于所需权限才能进行相应的操作。这我们项目中主要采用的方式是基于注解的。的,前后端分离项目很少使用,所以我们可以使用注解去指定访问对应的资源所需的权限。
thinkphp+jwt实现前后端分离
03-15
在现代Web开发中,前后端分离是一种常见的架构模式,它提高了开发效率,增强了系统的可维护性和可扩展性。本项目是基于Thinkphp6框架和JWT(Json Web Token)技术实现的前后端分离示例,旨在帮助开发者理解如何在...
前后端分离案例源码.zip
10-24
1. CSRF(跨站请求伪造)防护:前后端分离模式下,前端通常采用令牌机制来防止CSRF攻击。 2. XSS(跨站脚本)防御:前端需要对用户输入进行过滤和转义,后端也需对敏感数据进行加密处理。 3. 用户认证授权:...
springbootspringsecurity前后端分离(一个小demo)
08-21
在这个“springbootspringsecurity前后端分离(一个小demo)”中,我们将探讨如何在这样的架构下实现安全控制。 首先,Spring Boot是基于Spring框架的快速启动项目,它预配置了许多默认设置,包括自动配置、内嵌Web...
SpringBoot前后端分离实战项目源码.zip
11-04
在本项目中,"SpringBoot前后端分离实战项目源码.zip" 提供了一个全面的教程,旨在帮助初学者和对SpringBoot感兴趣的开发者更好地理解和实践前后端分离的开发模式。这个项目利用了SpringBoot的强大功能,结合现代Web...
后端架构token授权认证机制:spring security JSON Web Token(JWT)简例
Zhang Phil
02-10 6833
spring security JSON Web Token(JWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token认证-授权访问流程一般情况是这
深入理解SpringSecurity中的Authentication信息与登录流程和过滤器的配置:addFilterBefore
m0_71777195的博客
07-06 2504
每个请求到达服务端的时候,首先从session中找出SecurityContext ,为了本次请求之后都能够使用,设置到SecurityContextHolder 中。当请求离开的时候,SecurityContextHolder 会被清空,且SecurityContext 会被放回session中,方便下一个请求来获取。
springboot + spring security验证token进行用户认证
justlpf的专栏
05-19 7193
参考文章:springboot + spring security验证token进行用户认证
SpringSecurity实现前后端分离登录token认证详解
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
SpringSecurity登录认证流程
weixin_52353216的博客
11-07 2450
springsecurity的登录认证流程及对源码的一些解读
初学Oauth2.0(二)—四种验证方式
weixin_43275418的博客
08-07 1127
OAuth 2.0 的四种授权方式 RFC 6749 OAuth 引入了一个授权层,用来分离两种不同的角色:客户端和资源所有者。…资源所有者同意以后,资源服务器可以向客户端颁发令牌。客户端通过令牌,去请求数据。 这段话的意思就是,OAuth 的核心就是向第三方应用颁发令牌。然后,RFC 6749 接着写道: 由于互联网有多种场景,)本标准定义了获得令牌的四种授权方式(authorizatio...
Spring Security简单身份认证配置(thymleaf,密码加密,JDBC,LDAP)
justlpf的专栏
05-11 899
Spring Security系列-Spring Security简单身份认证配置(二)_websecurityconfig login post_马各马它的博客-CSDN博客 1.2 创建Controller 1.3 创建对应的三个页面 1.5 home页面 1.6 hello页面 1.7 添加相关配置 添加WebSecurityConfig的来配置自定义页面。 1.8 测试 访问http://127.0.0.1:8080/login,访问自定义的登录页面
springboot shiro 前后端分离
09-23
在SpringBoot中实现前后端分离的开发模式下使用Shiro,可以通过以下步骤进行操作: 1. 配置Shiro的Maven依赖,添加Shiro和SpringBoot的相关依赖。 2. 创建自定义的Realm,继承自`AuthorizingRealm`,并实现其中的认证授权方法。 3. 在Shiro的配置类中,配置自定义Realm、session管理器、缓存等相关配置。 4. 配置前后端分离模式下的认证授权过滤器,例如使用JWT进行身份验证。 5. 在Controller中添加需要进行权限控制的注解,如`@RequiresPermissions`等。 需要注意的是,在前后端分离的开发模式下,Shiro的session处理需要进行一些特殊的配置。可以通过使用无状态的JWT来替代传统的session机制,将用户的身份信息存储在token中,并通过token进行身份验证和权限控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值