SpringSecurity登录认证

已于 2023-09-15 16:53:48 修改
阅读量102 收藏
点赞数
分类专栏: SpringSecurity 文章标签: java spring boot
于 2022-08-13 16:34:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44989062/article/details/126317070
版权

1、准备工作

        <!--redis依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <!--fastjson依赖-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.33</version>
        </dependency>
        <!--jwt依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <!--junit依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>

2、数据库校验用户

从之前的分析我们可以知道,我们可以自定义一个UserDetailsService,让SpringSecurity使用我们的UserDetailsService。我们自己的UserDetailsService可以从数据库中查询用户名和密码。

2.1、引入MybatisPuls和mysql驱动的依赖

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.3</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

2.2、配置数据库信息

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/why_security?characterEncoding=utf-8&serverTimezone=UTC
    username: root
    password: 820820
    driver-class-name: com.mysql.cj.jdbc.Driver
mybatis-plus:
  mapper-locations: classpath*:/mapper/**/*.xml
server:
  port: 8888

定义Mapper接口,修改Uesr实体类,配置Mapper扫描

 3、核心代码实现

创建一个类实现UserDetailsService接口,重写其中的方法。更新用户名从数据库中查询用户信息

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 认证流程图5.1:查询用户信息
        LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(User::getUserName, username);
        User user = userMapper.selectOne(queryWrapper);
        // 如果没有查询到用户就抛出异常
        if (Objects.isNull(user)){
            throw new RuntimeException("用户名或密码错误");
        }
         // 认证流程图5.1:查询对应权限信息
        
        //封装成UserDetails对象返回 
        return new LoginUser(user);    // // 因为UserDetails是接口,所以返回的应为 它的实现类
    }
}

 因为UserDetailsService方法的返回值是UserDetails类型,所以需要定义一个类,实现该接口,把用户信息封装在其中。

@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {

    private User user;


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

 

SecurityConfig.java中配置密码加密存储

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

4、自定义登录接口

4.1、接下来需要自定义登陆接口,然后让SpringSecurity对这个接口放行,让用户访问这个接口的时候不用登录也能访问

@RestController
public class LoginController {

    @Autowired
    private LoginServcie loginServcie;

    @PostMapping("/user/login")
    public ResponseResult login(@RequestBody User user){
        return loginServcie.login(user);
    }
}

对登录接口进行放行,在SecurityConfig.java中配置

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问。即对接口进行放行
                .antMatchers("/user/login").anonymous()
                .antMatchers("/testCors").hasAuthority("system:test:list")  // 基于配置的权限控制
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

4.2、在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证(认证流程第2步),所以需要在SecurityConfig.java中配置把AuthenticationManager注入容器

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

4.3、认证成功的话要生成一个jwt,放入响应中返回。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,我们需要把用户信息存入redis,可以把用户id作为key。

@Service
public class LoginServiceImpl implements LoginService {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private RedisCache redisCache;

    @Override
    public ResponseResult login(User user) {

        // 认证流程图第2步:AuthenticationManager authenticate进行用户认证。用户名和密码封装成authenticationToken对象
        // 使用Authentication的实现类
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
        // 认证流程图第3步:调用AuthenticationManager的authenticate方法进行认证
        Authentication authenticate = authenticationManager.authenticate(authenticationToken);

        // 如果认证没通过,给出对应的提示
        if (Objects.isNull(authenticate)){
            throw new RuntimeException("登录失败");
        }
        // 如果认证通过了,使用userid生成一个jwt  jwt存入ResponseResult返回
        LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
        String userid = loginUser.getUser().getId().toString();
        String jwt = JwtUtil.createJWT(userid);
        HashMap<String, String> map = new HashMap<>();
        map.put("token", jwt);

        // 把完整的用户信息存入redis userid作为key
        redisCache.setCacheObject("login:"+userid, loginUser);

        return new ResponseResult(200, "登录成功", map);
    }
}

5、定义jwt过滤器

我们需要自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的userid。使用userid去redis中获取对应的LoginUser对象。然后封装Authentication对象存入SecurityContextHolder。

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 获取token
        String token = httpServletRequest.getHeader("token");
        if (!StringUtils.hasText(token)) {
            // token不存在 放行。因为后面还有其它过滤器
            // 如FilterSecurityInterceptor会判断是否是 认证状态,若不是则会抛出异常并给出相应的提示
            filterChain.doFilter(httpServletRequest, httpServletResponse);
            return;
        }
        // 解析token
        String userid;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userid = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            //token超时 或 token 非法
            throw new RuntimeException("token非法");
        }
        // 从redis中获取用户信息
        String RedisKey = "login:" + userid;
        LoginUser loginUser = redisCache.getCacheObject(RedisKey);
        if(Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录");
        }
        //存入SecurityContextHolder
        //TODO 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser,null,null);
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        //放行
        filterChain.doFilter(request, response);
    }
}

配置过滤器。因为要指定这个过滤器的位置

SecurityConfig.java中配置。

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //把token校验过滤器添加到过滤器链中
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    }

 6、退出登录

只需要定义一个登陆接口,然后获取SecurityContextHolder中的认证信息,删除redis中对应的数据即可

    @RequestMapping("/user/logout")
    public ResponseResult logout(){
        return loginService.logout();
    }
    @Override
    public ResponseResult logout() {
        // 获取SecurityContextHolder中的用户id
        UsernamePasswordAuthenticationToken authentication = (UsernamePasswordAuthenticationToken) SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        Long userid = loginUser.getUser().getId();
        // 删除redis中的值
        redisCache.deleteObject("login:"+userid);
        return new ResponseResult(200, "注销成功");
    }

SecurityConfig.java中要关闭默认的退出登录功能。并且要配置我们的退出登录接口需要认证才能访问

 

Why。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Spring Security实现登陆以及权限认证
L_GRAND_ORDER的博客
07-24 1202
使用Spring Security实现登陆以及权限认证 使用之前的准备 先写一些静态页面 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ME7TCAxY-1595599555791)(C:\Users\lenovo\AppData\Roaming\Typora\typora-user-images\image-20200724205656939.png)] 1、使用SpringSecurity之前先导入相关依赖 <dependency> <groupI
Spring Security实现登录
不愧是暮言的博客
05-24 3623
Spring SecuritySpring框架下的一个用于身份验证和授权的框架,它可以帮忙管理web应用中的用户认证、授权以及安全性问题。环境准备Spring Security核心概念实现基本登录功能添加Spring Security的数据库认证Spring Security是一个非常好用的身份认证和授权框架,可以有效保证应用的安全性。本文介绍了如何使用Spring Security实现基本的登录功能和数据库认证,希望这篇文章能够帮助到你。。
(新)Spring Security如何实现登录认证(实战篇)
最新发布
weixin_55772633的博客
06-15 2185
①编写实现类去实现UserDetailsService接口,然后重写里面的loadUserByUsername()方法,用来用来在数据库中查询用户信息并且封装到UserDetail对象中。其中UserDetail是个接口,我们需要编写相应的实体类去实现这个接口。详细内容如4.2.1、4.2.2②更改密码加密存储模式,这时我们就可以使用Spring Security默认提供的登录接口localhost:8080/login来尝试登陆。详细内容如:4.2.3③如何登陆接口?
spring Security 登录过程(整合jwt)
myStyle的博客
04-23 217
3、在调用这个 authenticate 方法的时候,内部会调用 UserDetailsService 这个接口的 loadUserByUsername 这个方法,我们需要创建一个实现类去 是现在这个 UserDetailsService 接口,在实现类里面的loadUserByUsername这个方法 自定义查询数据库的用户名和密码等逻辑;然后返回 一个 LoginUser 对象;然后创建令牌,这里采用jwt(json web token)生成token。LoginUser对象 去接受 返回数据。
springSecurity登录的全过程
XuDream的博客
08-12 3118
整个流程就是:进入接口—>进行验证—>获取用户信息—>创建token—>存入redis—>返回/*** 自定义权限实现,ss取自SpringSecurity首字母*/*** 所有权限标识/*** 管理员角色权限标识/*** 验证用户是否具备某权限** @param permission 权限字符串* @return 用户是否具备某权限System . out . println("拥用这个权限才能通过" + permission);...
Spring Security (二):自定义登陆
weixin_55136824的博客
08-01 822
Spring Security作为当下最流行的认证授权框架,提供了非常全面且完善的认证授权流程,并且通过与Springboot的结合,极大的简化了开发与使用。spring官方也提供了详细的文档和丰富的应用实例。但在我们的实际开发工作中,我们绝大部分都是前后端分离的项目,作为后端开发人员,我们并不关心前段页面的跳转,此外,大多数前后端业务数据都是通过JSON方式传递的,并不是Spring security 默认的form 格式。以下便是一个简单的通过JSON方式自定义登陆认证的项目简介。
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring SecurityJava应用程序安全性框架,广泛应用于Web应用程序的身份验证、授权和访问控制。验证码登录功能是Spring Security中的一个重要组件,主要用于防止自动化程序...
详解Spring Security的formLogin登录认证模式
08-25
Spring Security的formLogin登录认证模式详解】 在构建复杂且高度定制化的企业级应用时,登录验证页面往往需要满足各种个性化需求,例如美观的界面和多样化的登录方式。Spring Security 提供了formLogin模式,...
spring-security实现自定义登录认证.rar
05-21
本资源“spring-security实现自定义登录认证.rar”包含了一个使用Spring Security进行登录认证的示例,以及JWT(JSON Web Tokens)与Spring Security集成的代码。 首先,让我们了解Spring Security的基本工作原理。...
SpringSecurity实现登录功能(认证授权,统一异常处理)
m0_51701732的博客
06-02 861
实际我们在开发过程中可能需要做很多的判断校验,如果出现了非法情况我们是期望响应对应的提示的。但是如果我们每次都自己手动去处理就会非常麻烦。我们可以选择直接抛出异常的方式,然后对异常进行统一处理。把异常中的信息封装成ResponseResult响应给前端。​ 目前我们的项目在认证出错或者权限不足的时候响应回来的Json是Security的异常处理结果。但是这个响应的格式肯定是不符合我们项目的接口规范的。所以需要自定义异常处理。​ AuthenticationEntryPoint 认证失败处理器。
spring security登陆认证demo
莹未来
05-03 1020
package com.nroad.model;import javax.persistence.*;/** * Created by jiyy on 2017/1/8. */ @Entity @Table(name = "user", schema = "test") public class User { @Id @GeneratedValue(strategy = Gener
SpringSecurity登录流程
weixin_45802793的博客
09-27 4140
SpringSecurity登录流程 1.无处不在的Authentication 实现类中,我们最常用的是UsernamePasswordAuthenticationToken 2.登录流程 Spring Security中,认证和授权的校验都是在一系列过滤器链完成的,和认证相关的过滤器就是UsernamePasswordAuthenticationFilter public Authentication attemptAuthentication(HttpServletRequest reque
SpringSecurity (十) 登录流程剖析(上)
陈橙橙
03-16 1210
前言 Spring Seucirty 中默认的一套登录流程是十分完善并且严谨的。但是项目需求非常多样化,很多时候,我们可能还需要对 Spring Security登录流程进行定制,定制的前提是我们需要深刻理解Spring Security登录流程,然后在此基础之上,完成对登录流程的定制。 登录流程分析 要搞清楚Spring Security认证流程,我们得先认识与之相关的三个基本组件:AuthenticationManager、ProviderManager以及AuthenticationProvider
Spring Security实现后台管理员登录(一)
热门推荐
小树学信奥
04-12 1万+
一、实现功能   二、数据表设计 为了测试方便,这里创建一个简单的数据表,只含有name和password两个字段。 插入一条数据,name为admin,password为e10adc3949ba59abbe56e057f20f883e(这是123456经md5加密后得到的值)。   三、配置文件 1 在pom.xml中添加三个相关的包     dependency>
springsecurity基于数据库中的用户信息实现登陆
qq_60614034的博客
01-31 1128
SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。SpringBootSpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecurity的基本使用。登陆大致流程:1.输入任意路径,configure(HttpSecurity http)方法判断是否放行2.不放行则打回到登陆页面3.当我们在登陆页面输入用户名和密码。
SpringSecurity的基本登录流程
weixin_41359273的博客
03-24 1002
SpringSecurity的基本登录流程1.几个重要的成员1.1 Authentication1.2 AuthenticationProvider1.3 AuthenticationManager1.4 ProviderManager2.基本流程(基于用户名密码登录) 1.几个重要的成员 1.1 Authentication 1)Authentication对象主要保存用户的一些基本信息,用户名,密码,权限等 2)其下还有多个实现类,UsernamePasswordAuthenticationToken
SpringSecurity实现登陆的正确姿势
chenbo6398的专栏
03-21 155
基于SpringSecurity框架实现JSON登陆认证
Spring Security 登录认证傻瓜教程
08-27
- *1* [傻瓜式使用SpringSecurity完成前后端分离+JWT+登录认证+权限控制](https://blog.csdn.net/weixin_46684099/article/details/117434577)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值