SpringSecurity+SpringBoot前后端分离实现权限控制

最新推荐文章于 2024-08-01 10:59:34 发布
最新推荐文章于 2024-08-01 10:59:34 发布
阅读量1.6k 收藏 3
点赞数 3
分类专栏: spring web开发 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45372719/article/details/105887858
版权

Springboot + Spring Security 实现前后端分离登录认证及权限控制

文章目录

一、环境准备

  • idea 2020.1

  • jdk 1.8

  • springBoot 2.26

        <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>2.2.6.RELEASE</version>
        </dependency>
        
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.6.RELEASE</version>
                    <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.60</version>
        </dependency>

二、创建Spring Security核心配置类:WebSecurityConfig。在这里配置权限控制,异常处理。

/**
 * @author tyeerth
 * @date 2020/5/1 - 15:39
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //配置认证方式等
        super.configure(auth);
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //http相关的配置,包括登入登出、异常处理、会话管理等
        super.configure(http);
    }
}

三、创建用户登入认证类UserDetailsServiceImpl。

1、创建自定义异常类。

/**
 * 登录失败后抛出的异常
 * @author Lenovo
 *
 */
//public class LoginFailedException extends RuntimeException {
public class LoginFailedException extends RuntimeException {
	public LoginFailedException() {
	}

	public LoginFailedException(String message) {
		super(message);
	}

	public LoginFailedException(String message, Throwable cause) {
		super(message, cause);
	}

	public LoginFailedException(Throwable cause) {
		super(cause);
	}

	public LoginFailedException(String message, Throwable cause, boolean enableSuppression, boolean writableStackTrace) {
		super(message, cause, enableSuppression, writableStackTrace);
	}
}

2、创建UserDetailsServiceImpl类,并实现UserDetailsService接口。

(1)重载父类的loadUserByUsername方法。

public class UserDetailsServiceImpl  implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return null;
    }
}

(2)用户登入逻辑

/**
 * @author tyeerth
 * @date 2020/5/1 - 15:50
 */
@Component
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private StudentService studentService;
    private static  final Logger logger = LoggerFactory.getLogger(UserDetailsServiceImpl.class);
    /**
     总目标:根据表单提交的用户名查询User对象,并装配角色、权限等信息
     */
    @Override
    public UserDetails loadUserByUsername(
            // 表单提交的用户名
            String username
            ) throws UsernameNotFoundException {
        HttpSession session = ContextHolderUtils.getRequest().getSession();
        String password = ContextHolderUtils.getRequest().getParameter("password");
        Student studentByCardNumber = studentService.getStudentByCardNumber(username);
        session.setAttribute(LoginConsts.STUDENT,studentByCardNumber);

        if (username == null || "".equals(username)) {
            throw new LoginFailedException("用户名不能为空");
        }
        if (studentByCardNumber ==null){
            throw new LoginFailedException("当前用户不存在");
        }
        if (!MD5Utils.md5(password).equals(studentByCardNumber.getPassword())){
            throw new LoginFailedException("用户名和密码不匹配");
        }
        // 2.给Admin设置角色权限信息
        List<GrantedAuthority> authorities = new ArrayList<>();
        //添加用户权限
        authorities.add(new SimpleGrantedAuthority(studentByCardNumber.getRole()));
//        authorities.add(new SimpleGrantedAuthority("UPDATE"));
        logger.info("从session域中获取到的密码"+password);
        return new SecurityStudent(studentByCardNumber, authorities);
    }
}

四、密码的盐值加密方式。

1、定义md5的加密方式

@Component
public class PasswordEncoderService implements PasswordEncoder {
    /**
     * encode()方法对明文进行加密。
     * @param rawPassword
     * @return
     */
    @Override
    public String encode(CharSequence rawPassword) {
        return MD5Utils.md5(rawPassword.toString());
    }

    /**
     * matches()方法对明文加密后和密文进行比较
     * @param rawPassword
     * @param encodedPassword
     * @return
     */
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        String result = MD5Utils.md5(rawPassword.toString());
        return Objects.equals(result, encodedPassword);
    }
}

2、使用自定义的盐值加密方式

@Override
    protected void configure(AuthenticationManagerBuilder builder) throws Exception {
        builder.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }

五、权限过滤配置

1、设置指定访问首页

@Override
protected void configure(HttpSecurity security) throws Exception {
//super.configure(security); 注释掉将取消父类方法中的默认规则
security.authorizeRequests() //对请求进行授权
.antMatchers("/index.jsp") //使用 ANT 风格设置要授权的 URL 地址
.permitAll() //允许上面使用 ANT 风格设置的全部请求
.anyRequest() //其他未设置的全部请求
.authenticated() //需要认证
}

2、在前后端分离中,未登入的情况返回对应的json数据。

结果示例:在这里插入图片描述

更新配置类

  .and()
                    .formLogin()
                    .successHandler(authenticationSuccessHandler)//登录成功处理逻辑
                    . failureHandler(authenticationFailureHandler)//登录失败处理逻辑
            .and()
                .exceptionHandling()					// 指定异常处理器
                .authenticationEntryPoint(authenticationEntryPoint)//匿名用户访问无权限资源时的异常处理
            .and()
                .logout()
                .permitAll()//允许所有用户
                .logoutSuccessHandler(logoutSuccessHandler)//登出成功处理逻辑
                .deleteCookies("JSESSIONID")//登出之后删除cookie// 开启退出功能

(1)匿名访问时返回的json数据

/**
 * 匿名访问时返回的json数据
 * @author tyeerth
 * @date 2020/5/2 - 13:26
 */
@Component
public class CustomizeAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {

        JSONObject jsonObject = new JSONObject();
        jsonObject.put("msg","用户未登入");
        jsonObject.put("status","401");
        httpServletResponse.setContentType("text/json;charset=utf-8");
        httpServletResponse.getWriter().write(jsonObject.toJSONString());
    }
}

3、登入成功逻辑处理

(1)登入成功逻辑处理

/**
 * 登入成功逻辑处理
 * @author tyeerth
 * @date 2020/5/2 - 13:42
 */
@Component
public class CustomizeAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {


        //返回json数据
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("status",200);
        jsonObject.put("msg","登入成功");
        //处理编码方式,防止中文乱码的情况
        httpServletResponse.setContentType("text/json;charset=utf-8");
        //塞到HttpServletResponse中返回给前台
        httpServletResponse.getWriter().write(jsonObject.toJSONString());
    }
}

4、失败处理逻辑

/**
 * 登入失败的处理
 *
 * @author tyeerth
 * @date 2020/5/2 - 13:47
 */
@Component
public class CustomizeAuthenticationFailureHandler implements AuthenticationFailureHandler {


    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        //返回json数据
        JSONObject jsonObject = new JSONObject() ;
        if (e instanceof AccountExpiredException) {
            //账号过期
            jsonObject.put("msg","账号过期");
        } else if (e instanceof BadCredentialsException) {
            //密码错误
            jsonObject.put("msg","密码错误");
        } else if (e instanceof CredentialsExpiredException) {
            //密码过期
            jsonObject.put("msg","密码过期");
        } else if (e instanceof DisabledException) {
            //账号不可用
            jsonObject.put("msg","账号不可用");
        } else if (e instanceof LockedException) {
            //账号锁定
            jsonObject.put("msg","账号锁定");
        } else if (e instanceof InternalAuthenticationServiceException) {
            //用户不存在
            jsonObject.put("msg",e.getMessage());
            jsonObject.put("status","402");

        } else {
            //其他错误
            jsonObject.put("msg","其他错误");
        }
        //处理编码方式,防止中文乱码的情况
        httpServletResponse.setContentType("text/json;charset=utf-8");
        //塞到HttpServletResponse中返回给前台
        httpServletResponse.getWriter().write(jsonObject.toJSONString());
    }
}

5、退出登入逻辑

/**
 * 成功退出登入的逻辑
 * @author tyeerth
 * @date 2020/5/2 - 13:50
 */
@Component
public class CustomizeLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        JSONObject jsonObject =new JSONObject();
        jsonObject.put("msg","成功退出登入");
        httpServletResponse.setContentType("text/json;charset=utf-8");
        httpServletResponse.getWriter().write(jsonObject.toJSONString());
    }
}

六、会话管理(登录过时、限制单用户或多用户登录等)

1、限制用户登入

and().sessionManagement().
                    maximumSessions(1)//只能一个人登入

2、处理账号被挤下线处理逻辑

(1)会话管理逻辑

/**
 * 会话过期策略
 * @author tyeerth
 * @date 2020/5/2 - 14:29
 */
@Component
public class CustomizeSessionInformationExpiredStrategy implements SessionInformationExpiredStrategy {
    @Override
    public void onExpiredSessionDetected(SessionInformationExpiredEvent sessionInformationExpiredEvent) throws IOException, ServletException {
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("msg","当前会话已过期,请重新登入");
        HttpServletResponse httpServletResponse = sessionInformationExpiredEvent.getResponse();
        httpServletResponse.setContentType("text/json;charset=utf-8");
        httpServletResponse.getWriter().write(jsonObject.toJSONString());
    }
}

(2)配置

.and().sessionManagement().//限制同一账号只能一个用户使用
                maximumSessions(1)
             .expiredSessionStrategy(sessionInformationExpiredStrategy)//会话信息过期策略会话信息过期策略(账号被挤下线)
tyeerth
关注
专栏目录
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
Spring Security权限框架】SpringBoot整合Spring Security实现权限控制
weixin_45618869的博客
07-21 4856
SpringSecurity框架【详解】
使用layuimini模块快速开发java后台系统模板(前后端分离
syh_IT
03-22 7131
含义源码,可自己下载下来进行学习,前后端分离的后台模板
springboot系列教程(二十九):springboot整合Security框架,实现用户权限管理
最新发布
weixin_43860634的博客
08-01 763
springboot系列教程(二十九):springboot整合Security框架,实现用户权限管理
day59_layuimini_crud
沐沐
06-23 704
这个文档是学习如何使用layui的二次开发框架layuimini的,文档没有写,是让大家学着自己写项目,自己补充笔记,详细开发步骤在b站视频https://space.bilibili.com/402601570/channel/collectiondetail?sid=1232591&ctype=0
基于Spring Security实现前后端分离权限控制系统
Javaesandyou的博客
12-09 1473
话不多说,进入正题。一个简单的权限控制系统需要考虑的问题如下: 权限如何加载 权限匹配规则 登录 1. 引入maven依赖 1 <?xml version="1.0" encoding="UTF-8"?> 2 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 3 xsi:schemaLoca
Spring Security前后端分离项目权限方案,从0到0.8
qq_45043381的博客
09-01 2743
思路分析 ①通过前面的分析,我们发现Spring Boot集成了默认的Spring Security之后虽然已经具备了认证授权的功能,但存在两个在实际项目中不适用的问题: 默认的登录页面 默认的用户名密码 ②同时,前面我们也说一般web应用的安全管理都是通过两条线完成的,Spring Security也是: 认证 授权 ③此外,我们结合前后端分离项目中常用的认证授权流程......
SpringBoot+Security+Vue前后端分离开发权限管理系统
06-19
等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring?Boot2MVC框架?开发的一站式解决方案Spring?Security5?认证和授权框架MyBatisPlus...
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip
07-02
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
08-28
主要介绍了SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题,需要的朋友可以参考下
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 1093
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
SpringCloud Alibaba+layui前后端分离权限管理系统
m0_60721514的博客
03-30 636
cloud_layui 权限管理系统 项目介绍 cloud_layui是基于springcloud alibaba+layui整合开发前后端分离权限管理系统,架构思想来源于( RuoYi-Cloud)。 以Spring Framework为核心容器; Spring MVC为模型视图控制器; Mybatis Plus为数据访问层; spring security权限授权层; Redis为分布式缓存; 注册中心、配置中心选型Nacos; 流量控制框架选型Sentinel; layui+layuimini作为
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3728
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity(前后端分离)
m0_70819033的博客
01-29 1177
​是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户​授权:经过认证后判断当前用户是否有权限进行某个操作​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。
SpringBoot+LayUI+MybatisPlus 前后端分离 实现系统公告通知
weixin_45301250的博客
06-15 4148
SpringBoot+LayUI前后端分离项目实战系列,如何使用SpringBoot框架和LayUI的模板引擎来实现系统公告通知功能
Spring security 实现前后端分离登录拦截器及用户权限控制
热门推荐
zzq的博客
11-22 1万+
目录 前言 一、准备工作 1.1、设计数据库(我的工程目录中的sql文件夹下有sql文件直接导入即可) 二、代码实现 2.1、数据操作 2.2、自定义登录逻辑 2.2.1、创建自定义UserDetailsService 2.2.2、自定义的密码加密类 2.3、自定义登录验证结果、登出结果、无权访问处理器 2.3.1、自定义登录成功处理器 2.3.2、自定义登录失败处理器 2...
Spring Security前后端分离
MostSnails的博客
08-12 3663
Spring Security前后端分离
vue+springboot前后端分离开发实战pdf
07-22
### 回答1: vue springboot前后端分离开发实战pdf是一本介绍如何使用Vue和Spring Boot进行前后端分离开发的实战指南。本书详细讲解了如何使用Vue框架搭建前端应用,以及如何利用Spring Boot框架构建后端应用,旨在帮助读者掌握前后端分离开发的技术和方法。 在这本书中,作者首先介绍了前后端分离开发的概念和背景,解释了为什么前后端分离可以带来更好的开发体验和效率。接着,作者详细介绍了Vue框架的基本概念和使用方法,包括组件化开发、路由管理、状态管理等方面的内容。读者可以通过跟随书中的示例代码,逐步学习并实践Vue框架的应用。 在后半部分,作者重点介绍了Spring Boot框架的使用。读者将学习如何使用Spring Boot快速搭建后端应用,并了解如何通过RESTful API与前端应用进行数据交互。此外,作者还介绍了Spring SecuritySpring Data JPA等常用的配套技术,帮助读者构建安全可靠的后端应用。 本书不仅提供了理论知识,还提供了大量的实战案例和实例代码。读者可以跟随书中的示例项目逐步实践,从而更好地掌握Vue和Spring Boot的开发技巧。此外,本书还涉及了一些项目管理和部署的内容,帮助读者了解如何将前后端分离的应用部署到生产环境中。 总而言之,vue springboot前后端分离开发实战pdf是一本适合想要学习并实践前后端分离开发的开发人员的实用指南,通过学习本书,读者将获得丰富的知识和经验,能够独立设计和开发前后端分离的应用程序。 ### 回答2: 《Vue SpringBoot前后端分离开发实战PDF》这本书是一本关于前后端分离开发实践的指南。它结合了Vue和SpringBoot两个流行的开发框架,帮助开发者更好地理解和应用这两个技术。 在书中,作者首先介绍了前后端分离的概念和优势。前后端分离开发可以提高开发效率和协作性,同时也能提供更好的性能和扩展性。然后,作者详细介绍了Vue框架的基本知识和使用方法,包括Vue的搭建、组件的创建和组织等。读者可以通过实际的案例来学习和练习。 接着,作者转向SpringBoot框架的介绍和使用。SpringBoot是一个轻量级的Java开发框架,可以快速构建和部署应用程序。作者讲解了如何使用SpringBoot创建RESTful API,以及如何与Vue前端进行交互。 在书的后半部分,作者提供了一些实战案例和示例代码。这些案例涵盖了常见的前后端分离开发场景,如用户管理、权限控制、数据交互等。通过这些案例,读者可以了解到如何将Vue和SpringBoot无缝地结合起来,构建强大的应用程序。 总的来说,《Vue SpringBoot前后端分离开发实战PDF》是一本非常实用的书籍。它不仅系统地介绍了Vue和SpringBoot的基础知识和使用方法,还提供了丰富的实战经验和案例。对于想要掌握前后端分离开发技术的开发者来说,这本书是一个很好的学习资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值