SpringBoot响应式编程(4)Spring Security Reactive

于 2024-08-19 10:51:09 发布
阅读量534 收藏 5
点赞数 3
分类专栏: Spring全家桶 文章标签: spring spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62377885/article/details/141311436
版权

一、概述

1.1应用安全

 防止攻击:
  ○ DDos、CSRF、XSS、SQL注入...
 控制权限
  ○ 登录的用户能干什么。
  ○ 用户登录系统以后要控制住用户的所有行为,防止越权;
传输加密
  ○ https
  ○ X509
认证:
  ○ OAuth2.0
  ○ JWT

1.2RBAC权限模型

Role Based Access Controll: 基于角色的访问控制

一个网站有很多用户: zhangsan

每个用户可以有很多角色

一个角色可以关联很多权限

一个人到底能干什么?

权限控制:

  • 找到这个人,看他有哪些角色,每个角色能拥有哪些权限。 这个人就拥有一堆的 角色 或者 权限
  • 这个人执行方法的时候,我们给方法规定好权限,由权限框架负责判断,这个人是否有指定的权限

所有权限框架:

  • 让用户登录进来: 认证(authenticate):用账号密码、各种其他方式,先让用户进来
  • 查询用户拥有的所有角色和权限: 授权(authorize): 每个方法执行的时候,匹配角色或者权限来判定用户是否可以执行这个方法

二、快速入门

2.1认证

1、静态资源放行

2、其他请求需要登录

 @Bean
    SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) {
        //1、定义哪些请求需要认证,哪些不需要
        http.authorizeExchange(authorize -> {
            //1.1、允许所有人都访问静态资源;
            authorize.matchers(PathRequest.toStaticResources()
                    .atCommonLocations()).permitAll();


            //1.2、剩下的所有请求都需要认证(登录)
            authorize.anyExchange().authenticated();
        });

        //2、开启默认的表单登录
        http.formLogin(formLoginSpec -> {
//            formLoginSpec.loginPage("/haha");
        });

        //3、安全控制:
        http.csrf(csrfSpec -> {
            csrfSpec.disable();
        });

        // 目前认证: 用户名 是 user  密码是默认生成。
        // 期望认证: 去数据库查用户名和密码

        //4、配置 认证规则: 如何去数据库中查询到用户;
        // Sprinbg Security 底层使用 ReactiveAuthenticationManager 去查询用户信息
        // ReactiveAuthenticationManager 有一个实现是
        //   UserDetailsRepositoryReactiveAuthenticationManager: 用户信息去数据库中查
        //   UDRespAM 需要  ReactiveUserDetailsService:
        // 我们只需要自己写一个 ReactiveUserDetailsService: 响应式的用户详情查询服务
        http.authenticationManager(
                new UserDetailsRepositoryReactiveAuthenticationManager(
                        appReactiveUserDetailsService)
        );
        
//        http.addFilterAt()
        //构建出安全配置
        return http.build();
    }

基于内存的使用

如果我们想配置基于内存的用户信息,该怎么配置呢?添加如下配置类即可:

@Configuration
public class SecurityConfig {
    @Bean
    MapReactiveUserDetailsService mapReactiveUserDetailsService() {
        UserDetails ud1 = User.withUsername("admin")
                .password("{noop}123")
                .roles("admin")
                .build();
        UserDetails ud2 = User.withUsername("zhangsan")
                .password("{noop}123")
                .roles("user")
                .build();
        return new MapReactiveUserDetailsService(ud1, ud2);
    }
}

 基于数据库的使用

@Component  // 定义组件,用于从数据库中按照用户名查找用户信息
public class AppReactiveUserDetailsService implements ReactiveUserDetailsService {

    // 自动注入数据库客户端
    @Autowired
    DatabaseClient databaseClient;

    // 自动注入密码编码器
    @Autowired
    PasswordEncoder passwordEncoder;

    // 实现根据用户名查找用户详细信息的方法
    @Override
    public Mono<UserDetails> findByUsername(String username) {
        // 从数据库查询用户、角色、权限所有数据的逻辑
        Mono<UserDetails> userDetailsMono = databaseClient.sql("select u.*,r.id rid,r.name,r.value,pm.id pid,pm.value pvalue,pm.description " +
                        "from t_user u " +
                        "left join t_user_role ur on ur.user_id=u.id " +
                        "left join t_roles r on r.id = ur.role_id " +
                        "left join t_role_perm rp on rp.role_id=r.id " +
                        "left join t_perm pm on rp.perm_id=pm.id " +
                        "where u.username = ? limit 1")
                .bind(0, username)
                .fetch()
                .one()// all()
                .map(map -> {
                    UserDetails details = User.builder()
                            .username(username)
                            .password(map.get("password").toString())
                            // 使用密码编码器对密码进行加密处理
                            // 权限
                            // 设置用户的角色和权限,这里使用了硬编码的方式,实际应用中应该从数据库或其他配置中获取
                            .roles("admin", "sale","haha","delete") //ROLE成功
                            .build();

                    // 返回构建好的用户详细信息对象
                    return details;
                });

        // 返回包含用户详细信息的Mono对象
        return userDetailsMono;
    }
}

这个界面点击登录,最终Spring Security 框架会使用 ReactiveUserDetailsService 组件,按照 表单提交的用户名 去数据库查询这个用户详情基本信息[账号、密码],角色权限);

把数据库中返回的 用户详情 中的密码 和 表单提交的密码进行比对。比对成功则登录成功;

2.2授权

@EnableReactiveMethodSecurity

@RestController
public class HelloController {


    @PreAuthorize("hasRole('admin')")
    @GetMapping("/hello")
    public Mono<String> hello(){

        return Mono.just("hello world!");
    }


    // 角色 haha: ROLE_haha:角色
    // 没有ROLE 前缀是权限

    //复杂的SpEL表达式
    @PreAuthorize("hasRole('delete')")
    @GetMapping("/world")
    public Mono<String> world(){
        return Mono.just("world!!!");
    }
}

烟雨平生9527
关注
专栏目录
在 webflux 环境中使用 Spring Security
2301_76607156的博客
04-11 2199
复制日志中出现的名称:,在 idea 中按两下 shift在类中可以看到如下代码:可以看到密码的来源于 User 对象,而 User 对象,由方法传入,但值最终都是取自对象。而就是一个读取配置文件的类,定义如下:spring:security:user:复制代码再次启动项目,就可以使用cxyxj在 mvc 中还自定义过登录成功响应、登录失败响应、登录无权限访问响应、未登录访问认证资源响应、登出成功响应。那在 webflux 中如何自定义呢?
Spring Boot 2.x实战91 - 响应式编程6 - 响应式安全控制(Reactive Spring Security
汪云飞记录本
07-08 3318
5. Reactive Spring Security 5.1 Reactive Spring Security原理 Spring MVC的Security是通过Servlet的Filter实现的,而WebFlux的响应式Security是基于WebFilter实现的,由一些列的WebFilter形成的过滤器链。 认证 Spring WebFlux下的响应式安全和Spring MVC下的安全认证机制也是有概念对应的: Spring WebFlux Security Spring Web MVC
SpringSecurity - WebFlux环境下实现用户动态认证
小毕超博客
01-15 6386
一、SpringSecurity - WebFlux 上篇文章我们讲解了SpringSecurity 整合JWT使用 Token 的方式认证授权,但是从前面的学习中应该可以发现,我们是在SpringMVC环境下实现的,所写的过滤器都是基于Servlet的。我们也知道Spring很早就退出了WebFlux异步非阻塞的web框架,是基于Netty实现的一款高性能的web框架,性能要比SpringMVC高的多,还有现在我们常用的SpringGateWay网关也是基于WebFlux框架实现的,而在WebFlux环境
Springboot WebFlux集成Spring Security实现JWT认证
南瓜慢说
06-22 2178
我最新最全的文章都在 南瓜慢说 www.pkslow.com ,欢迎大家来喝茶! 1 简介 在之前的文章《Springboot集成Spring Security实现JWT认证》讲解了如何在传统的Web项目中整合Spring Security和JWT,今天我们讲解如何在响应式WebFlux项目中整合。二者大体是相同的,主要区别在于Reactive WebFlux与传统Web的区别。 2 项目整合 引入必要的依赖: <dependency> <groupId>org.spring.
从零开始搭建高负载java架构(05)——gateway网关节点(权限验证篇)
最新发布
lyz2015lyz的博客
05-11 2151
【注意】另外,如果要通过数据库或redis查找用户信息,可以重载实现ReactiveUserDetailsService的接口findByUsername,从其他数据源里查出user数据转成UserDetails对象,如果除了用户名和密码,还有其他额外的用户信息需要保存,可以重置UserDetails类,添加额外的信息。
SpringBoot WebFlux集成WebFluxSecurity做登录权限验证
不会飞的小龙人的博客
08-31 1万+
前言 本文,演示Spring Boot Weflux集成SpringSecurity安全验证框架做项目的身份验证与权限管理;通过@EnableWebFluxSecurity注解加载与配置Security权限与用户登录信息,通过@EnableReactiveMethodSecurity注解在标准方法上用表达式模型做安全控制设置,如:使用@PreAuthorize注解在方法上控制用户访问RestAPI做权限验证;采用jwt做登录会话数字签名,通过jwt验证后,从jwt中获取用户唯一标识,在做相应业务验权和调用
Spring Boot 2.x实战89 - 响应式编程4 - Reactive NoSQL之Reactive MongoDB
汪云飞记录本
07-06 1626
3.2 响应式MongoDB 在这一节我们在演示一下响应式MongoDB的应用,首先我们先安装MongoDB。 3.2.1 MongoDB安装 使用docker compose安装MongoDb。 stack.yml version: '3.1' services: mongo: image: mongo restart: always ports: - 27017:27017 environment: MONGO_INITDB_ROOT_US
Spring Boot 2.x实战88 - 响应式编程3 - Reactive NoSQL之Reactive ElasticSearch
汪云飞记录本
07-03 1973
3. Reactive NoSQL 上面我们的Repository是非响应式的,而响应式编程要求全栈技术都是响应式,所以这节我们讨论响应式的Spring Data。目前Spring Data支持的响应式的NoSQL有: MongoDB:使用spring-boot-starter-data-mongodb-reactive依赖; Redis:使用spring-boot-starter-data-redis-reactive依赖; Cassandra:使用spring-boot-starter-data-ca
SpringBoot学习笔记11-Web-Reactive Web应用
hahalan的博客
12-30 2275
spring官方文档为基础,官方地址:Spring Boot_Web Spring Boot非常适合web应用程序的开发。可以使用嵌入的Tomcat、Jetty、Undertow或Netty创建一个自包含的HTTP服务器。大多数web应用程序使用spring-boot-starter-web模块来快速启动和运行。也可以选择使用spring-boot-starter-webflux模块来构建响应式web应用程序。 Spring Boot通过为Spring Webflux提供自动配置,简化了响应式web应.
Spring Boot 2.x实战90 - 响应式编程5 - Reactive 关系型数据库(R2DBC)
汪云飞记录本
07-07 1702
4. Reactive关系型数据库-R2DBC 与关系型数据库进行交互的JDBC不具备与数据库异步交互的能力,R2DBC(Reactive Relational Database Connectivity)将响应式编程API带给关系型SQL数据库。 Spring Data R2DBC为此提供支持,同样Spring Boot也提供了starter:spring-boot-starter-data-r2dbc和自动配置:spring-boot-actuator-autoconfigure-r2dbc。 在本书编
Gateway 整合 Spring Security鉴权
qq_42394862的博客
09-03 1万+
Gateway 整合 Spring Security鉴权
spring-cloud-starter-gateway 集成 spring-boot-starter-security 集成 spring-session-data-redis 重点内容说明
LHQChocolate的专栏
11-05 2055
个人改造过程记录粗略文档。 网关实现:认证、鉴权、登录/退出日志记录 登录方式:用户名密码模式、企业微信模式 1、POM文件部分: <spring-cloud.version>Greenwich.RELEASE</spring-cloud.version> <spring-boot.version>2.1.4.RELEASE</spring-boot.version> <!-- SpringCloud Gateway -->
SpringSecurity - WebFlux环境下动态角色权限
小毕超博客
01-15 6147
一、SpringSecurity - WebFlux 在上篇文章中我们讲解了SpringSecurity 在WebFlux环境下的用户动态授权,本篇文章继续上篇文章讲解 WebFlux环境下动态角色权限。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122508425 二、权限控制 还记得前面我们在讲SpringSecuritySpringMVC环境下在做权限控制时,是采用HttpSecurity 对象,并通过antMatcher
Spring Security : 概念模型接口 UserDetailsManager 用户详情管理器
Details Inside Spring
05-29 2643
概述 介绍 UserDetailsManagerSpring Security的一个概念模型接口,用于抽象建模对用户详情的管理这一概念。它继承自接口UserDetailsService,是对UserDetailsService接口的能力扩展。 UserDetailsService定义了根据用户名获取用户详情的能力,UserDetailsManager在此基础上增加定义了如下能力 : 创建用户账...
Reactive Programming with Spring 5
weixin_33911824的博客
08-31 353
为什么80%的码农都做不了架构师?>>> ...
Spring WebFlux (3): mysql+Springboot Security实现登录鉴权
泛泛之素
08-12 3464
Security主要有两个功能: 登录 鉴权 Security通过一个user相关类存储用户信息,实现UserDetails接口功能: 看一下Security自带的User类, 主要变量: password:密码 username: 账户名 authorities: 访问权限 accountNonExpired:账户没有过期 isAccountNonLocked:账户没被锁定 (是否冻结) isCredentialsNonExpired:密码没有过期 isEnabled:账户是否可用(是否被删除)
sping cloud gateway集成spring security实现前后端分离模式下的后端微服务认证授权
热门推荐
MongolianWolf的专栏
06-30 4万+
# 引言   由于目前网上大部分spring security的集成都是基于传统的spring servlet机制,而spring cloud gateway 采用webflux作为底层web技术支持,不支持servlet,笔者在集成的过程中走了很多弯路,所以特地写一篇spring cloud gateway和security的集成实践博客,如有错误,欢迎指正。 Spring Security  ...
mysql鉴权方式_Spring WebFlux (3): mysql+Springboot Security实现登录鉴权 Security主要有两个功能:...
weixin_28793831的博客
01-28 500
Security主要有两个功能:登录鉴权Security通过一个user相关类存储用户信息,实现UserDetails接口功能:看一下Security自带的User类, 主要变量: password:密码username: 账户名authorities: 访问权限accountNonExpired:账户没有过期isAccountNonLocked:账户没被锁定 (是否冻结)isCredential...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烟雨平生9527

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值