SpringSecurity框架的认证和授权过程

最新推荐文章于 2024-05-14 21:16:22 发布
最新推荐文章于 2024-05-14 21:16:22 发布
阅读量4.1k 收藏 3
点赞数 2
文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45932382/article/details/122089258
版权

一、认证过程

1、编写自定义的过滤器TokenLoginFilter,继承UsernamePasswordAuthenticationFilter,重写

attemptAuthentication、successfulAuthentication、unsuccessfulAuthentication方法,attemptAuthentication方法获取前端提交的用户名和密码,封装成Authentication对象。

successfulAuthentication方法认证成功时调用,unsuccessfulAuthentication认证失败时调用。

package com.atguigu.filter;

import com.atguigu.entity.SecurityUser;
import com.atguigu.entity.User;
import com.atguigu.security.TokenManager;
import com.atguigu.utils.utils.R;
import com.atguigu.utils.utils.ResponseUtil;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;

public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;
    private AuthenticationManager authManager;

    public TokenLoginFilter(AuthenticationManager authManager, TokenManager tokenManager, RedisTemplate redisTemplate) {
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
        this.authManager = authManager;
        this.setPostOnly(false);
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/acl/login","POST"));
    }

    //获取表单提交的用户名和密码
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        try {
            User user = new ObjectMapper().readValue(request.getInputStream(), User.class);
            return authManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword(), new ArrayList<>()));
        } catch (IOException e) {
            e.printStackTrace();
            throw new RuntimeException();
        }
    }

    //认证成功调用的方法
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
        SecurityUser user = (SecurityUser)authResult.getPrincipal();
        String token =tokenManager.createToken(user.getCurrentUserInfo().getUsername());
        redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(),user.getPermissionValueList());
        ResponseUtil.out(response, R.ok().data("token",token));
    }

    //认证失败调用的方法
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        ResponseUtil.out(response, R.error());
    }


}

2、自定义UserDetailsServiceImpl类,实现UserDetailsService接口,重写loadUserByUsername

方法(从数据库中根据用户名查询用户密码、用户权限等),封装成User对象返回。

package com.atguigu.aclservice.service.impl;

import com.atguigu.aclservice.entity.User;
import com.atguigu.aclservice.service.PermissionService;
import com.atguigu.aclservice.service.UserService;
import com.atguigu.entity.SecurityUser;
import com.atguigu.security.DefaultPasswordEncoder;
import com.atguigu.utils.utils.MD5;
import org.springframework.beans.BeanUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

@Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Autowired
    private PermissionService permissionService;

    @Autowired
    private DefaultPasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.selectByUsername(username);
        if (user==null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        com.atguigu.entity.User curUser=new com.atguigu.entity.User();
        BeanUtils.copyProperties(user,curUser);
        List<String> permissionList=permissionService.selectPermissionValueByUserId(user.getId());
        SecurityUser securityUser=new SecurityUser();
        securityUser.setCurrentUserInfo(curUser);
        securityUser.setPermissionValueList(permissionList);
        return securityUser;
    }
}

3、查看源码中DaoAuthenticationProvider类,继承AbstractUserDetailsAuthenticationProvider,additionalAuthenticationChecks方法将前端用户提交的密码和数据库中查询的密码进行匹配,匹配相同即为认证成功。

 4、若认证成功,调用TokenLoginFilter中successfulAuthentication方法,若认证失败,调用TokenLoginFilter中unsuccessfulAuthentication方法,将结果返回给前端。

2、授权过程 

1、自定义TokenAuthFilter类,继承BasicAuthenticationFilter类,重写doFilterInternal方法,

根据token获取到用户信息,再从redis中查询用户权限,进行授权,放行。

package com.atguigu.filter;

import com.atguigu.security.TokenManager;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

public class TokenAuthFilter extends BasicAuthenticationFilter {
    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;

    public TokenAuthFilter(AuthenticationManager authenticationManager, TokenManager tokenManager,RedisTemplate redisTemplate) {
        super(authenticationManager);
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        UsernamePasswordAuthenticationToken authRequest=getAuthentication(request);
        if (authRequest!=null){
            SecurityContextHolder.getContext().setAuthentication(authRequest);
        }
        chain.doFilter(request,response);
    }

    private UsernamePasswordAuthenticationToken getAuthentication(HttpServletRequest request){
        String token=request.getHeader("token");
        if (token!=null){
            String username = tokenManager.getUserInfoFromToken(token);
            List<String> permissionList = (List<String>) redisTemplate.opsForValue().get(username);
            Collection<GrantedAuthority> authorities=new ArrayList<>();
            for (String permission:permissionList){
                SimpleGrantedAuthority auth= new SimpleGrantedAuthority(permission);
                authorities.add(auth);
            }
            return new UsernamePasswordAuthenticationToken(username,token,authorities);
        }
        return null;
    }

}

3、代码逻辑如下图所示

 

 

 

 


                

        

        

    




    

      

        

            

              
                
                  阿里雄哥
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
spring security认证授权流程

				
			

			

				

					weixin_47618391的博客
				

				

					05-27
					
					5336
					
				

			

		

		

			
				
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security认证授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。

			
		

	



                

              
                



	

		

			

				
					
Spring Security进行登录认证授权

				
			

			

				

					afjja的博客
				

				

					08-19
					
					5873
					
				

			

		

		

			
				
我们要定制化实现接口来达到从数据库查询用户信息,所以重新写一个实现类。然后认证通过使用用户id生成一个jwt(也就是token),然后用userId作为key,用户信息作为value存入redis中。用户第一次登陆认证流程如下图。导入依赖

			
		

	



                


  
              

                


	

		

			

				
					
SpringSecurity分布式认证即SSO单点认证

				
			

			

				

					dy051107的博客
				

				

					06-03
					
					1253
					
				

			

		

		

			
				
并发访问量不高的系统中,我们通常将应用部署到一台app服务器,为用户提供服务,当用户使用用户名和密码登录完成后,会把用户的信息会保存到session中,大家也都知道,session是保存在app服务器端的,这时,随着业务量的增长,一台服务器已经不能很好的为用户服务了,我们这时会横向扩展,比如增加服务器数量,使用负载均衡等,这时,将同一个应用部署到两台服务器时,A用户在A服务器中登陆了,session信息被保存在服务器A,当用户关闭页面,A用户再访问时,请求被负载均衡到B服务器时,由于用户A的登录状态...

			
		

	





	

		

			

				
					
爆破专栏丨Spring Security系列教程之Spring Security认证授权流程_if (!this

					
最新发布

				
			

			

				

					2401_84102759的博客
				

				

					05-14
					
					917
					
				

			

		

		

			
				
*而parent就是 ProviderManager对象,所以会再次回到这个authenticate()方法中。当再次回到authenticate() 方法时,provider会变成第二个Provider,即Dao Authentication Provider,**这个 provider 是支持 UsernamePasswordAuthenticationToken 的,所以会顺利进入到该类的authenticate()方法去执行。

			
		

	



		

			
		



	

		

			

				
					
SpringSecurity权限框架项目开发教程(附讲义和源码)

				
			

			

				

					09-05
				

			

		

		

			
				
Spring SecuritySpring家族中的重要成员,它基于Spring框架,提供了一套Web应用安全性的完整解决方案。本套视频教程适合具备一定软件开发经验的人员,学前需掌握JavaWeb和SSM框架。教程主要内容有:Spring Security框架概述、Spring Security入门和基本原理、Spring Security基于Web的权限方案、、Spring Security源码剖析,详细讲解了Spring Security框架,内容由浅入深,理论实践相结合,更深入源码级学习。 通过本套教程的学习,你将对于Spring Security框架在各种场景下的使用,以及内部的实现原理,有更加深入的认识。 课程讲义:注:讲义格式为markdown格式,可以下载相关markdown软件打开浏览。另:课程相关源码课在课程附件中学习。 

			
		

	





	

		

			

				
					
史诗级的SpringSecurity认证授权的相关概念及流程讲解!!!

				
			

			

				

					qq_44723773的博客
				

				

					11-11
					
					8486
					
				

			

		

		

			
				
Web应用的开发,安全是至关重要的,选择使用SpringSecurity是目前来说较为正确的选择。SpringSecurity框架起源于2003年年底acegi系统,起因是 Spring开发者邮件列表中的一个问题,有人提问是否考虑提供一个基于Spring安全实现。基于SpringBoot+MP+Redis+Vue实现的前后端分离的权限管理系统Spring 是非常流行和成功的 Java 应用开发框架,而Spring Security 正是其中的一员。

			
		

	





	

		

			

				
					
Spring Security认证授权流程

				
			

			

				

					2303_78503642的博客
				

				

					03-05
					
					2500
					
				

			

		

		

			
				
在以上代码的for循环中,第一次拿到的 provider 是一个 Anonymous Authentication Provider。Spring Security会监听这个事件,接收到这个Authentication对象,进而调用 SecurityContextHolder.getContext().setAuthentication(...)方法,将 Authentication Manager返回的 Authentication对象,存储在当前的 Security Context 对象中。

			
		

	





	

		

			

				
					
SpringSecurity实现登录认证及权限验证

					
热门推荐

				
			

			

				

					Alice
				

				

					09-22
					
					4万+
					
				

			

		

		

			
				
目标在原公司有专门的登录验证和权限管理服务,换公司后在最近项目中需要使用Spring Security自主实现分布式系统的用户验证授权及权限验证功能,因此花了两天时间研究并实现了该方案: 
功能点细分: 
 1. 基于REST请求的登录 
 2. 用户名密码验证及验证成功后给用户授权 
 3. http请求的权限配置和验证 
 4. 方法级别的权限配置和验证 
 5. 分布式环境中用户权限共享分析及

			
		

	





	

		

			

				
					
Spring security认证授权

				
			

			

				

					11-30
				

			

		

		

			
				
 - 可以自定义未授权和未认证的处理方式,比如重定向到特定页面或者返回JSON响应。  综上所述,这个Spring Security的例子展示了如何结合数据库动态配置用户信息,实现认证授权功能。通过理解并实践这些概念,...

			
		

	





	

		

			

				
					
Java课程实验 Spring Security 实现用户认证授权管理

				
			

			

				

					07-07
				

			

		

		

			
				
要在Spring Boot中实现用户认证授权管理,你可以使用Spring Security框架Spring Security提供了一套强大的功能来处理用户身份验证和授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...

			
		

	





	

		

			

				
					
Spring Security基于数据库实现认证过程解析

				
			

			

				

					08-18
				

			

		

		

			
				
 Spring Security是一个功能强大且灵活的安全框架,提供了基于数据库的认证机制。本文将通过示例代码详细介绍Spring Security基于数据库实现认证过程的详细解析。  一、数据库设计  在Spring Security中,数据库设计...

			
		

	





	

		

			

				
					
spring security 认证授权实现

				
			

			

				

					10-14
				

			

		

		

			
				
总的来说,这个项目提供了一个现成的Spring Security认证授权框架,结合了JWT、Redis集群和MyBatis-Plus技术,使得开发者能够快速构建安全的、有权限控制的Web应用,同时省去了复杂的配置和实现步骤。然而,对于...

			
		

	





	

		

			

				
					
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权

				
			

			

				

					02-24
				

			

		

		

			
				
Spring Security 则是 Java 开发中广泛使用的安全框架,用于实现认证授权。当我们将这两者结合时,我们可以创建一个强大的统一登录认证鉴权系统。  首先,让我们深入了解Spring Cloud Gateway。这是一个基于...

			
		

	





	

		

			

				
					
如何利用SpringSecurity进行认证授权

				
			

			

				

					qq_63218110的博客
				

				

					02-14
					
					3602
					
				

			

		

		

			
				
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证授权等方面的介绍,还涉及一些简单的自定义授权校验方法。

			
		

	





	

		

			

				
					
SpringSecurity认证流程详解和代码实现

				
			

			

				

					qq_44749491的博客
				

				

					06-29
					
					1万+
					
				

			

		

		

			
				
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection 

			
		

	





	

		

			

				
					
Spring Security系列教程12--Spring Security认证授权流程

				
			

			

				

					一一哥
				

				

					09-24
					
					5373
					
				

			

		

		

			
				
在上一章节中,一一哥 带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了 "知其所以然"!
本篇文章中,壹哥 带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧......
一. Spring Security认证授权流程图概述
在上一章节中,壹哥就给各位贴出过Spring Security认证授权流程图,该图展示了认证授权时经历的核心AP...

			
		

	





	

		

			

				
					
UsernamePasswordAuthenticationToken

				
			

			

				

					程序缘
				

				

					12-29
					
					3万+
					
				

			

		

		

			
				
UsernamePasswordAuthenticationToken(位于org.springframework.security.authentication包下) 通过类名可以的看出来,用户名密码方式进行认证。就是我们见的最多的认证方式通过用户名密码进行登录。咱们话不多说看看具体实现:
public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {
    // 序列化id
    priva

			
		

	





	

		

			

				
					
spring security认证授权流程

				
			

			

				

					健康平安的活着的专栏
				

				

					07-25
					
					1万+
					
				

			

		

		

			
				
一.springsecurity认证流程

1.1 常用过滤器

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明:


			WebAsyncManagerIntegrationFilter
			
			
			将 Security 上下文与 Spring Web 中用于 

			处理异步请求映射的 WebAsyncManager 进行集成。
			
		
			SecurityContextPersistenceFilte

			
		

	





	

		

			

				
					
SpringSecurity的基本认证授权流程,原理方法

				
			

			

				

					qq_14930709的博客
				

				

					06-18
					
					5529
					
				

			

		

		

			
				
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。
​	一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。
​	一般Web应用的需要进行认证授权。
​	**认证**:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户......

			
		

	





	

		

			

				
					
SpringSecurity实现认证授权

				
			

			

				

					11-02
				

			

		

		

			
				
Spring Security是一个开源的安全框架,提供了基于权限的访问控制、身份认证安全性事件发布等功能。在Spring Boot应用中使用Spring Security可以非常方便地实现用户身份认证授权Spring Security实现身份认证授权的步骤如下:

1.添加Spring Security依赖,可以在pom.xml文件中添加以下依赖:

```xml
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
```

2.创建一个继承自WebSecurityConfigurerAdapter的配置类,并重写configure方法,配置用户认证授权信息。例如:

```java
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
          .withUser("user").password("{noop}password").roles("USER")
          .and()
          .withUser("admin").password("{noop}password").roles("USER", "ADMIN");
    }
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
          .antMatchers("/admin/**").hasRole("ADMIN")
          .antMatchers("/**").hasAnyRole("USER", "ADMIN")
          .and().formLogin();
    }
}
```

上述代码中,configureGlobal方法配置了两个用户,一个是user,一个是admin,密码都是password,其中admin用户具有ADMIN角色,user用户具有USER角色。configure方法配置了访问/admin/**路径的请求需要ADMIN角色,访问其他路径的请求需要USER或ADMIN角色,并启用了表单登录。

3.在应用程序的配置文件中配置用户名和密码。例如:

```properties
spring.security.user.name=user
spring.security.user.password=password
```

以上就是Spring Security实现身份认证授权的基本步骤。



			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值