spring boot整合spring security

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量123 收藏
点赞数
分类专栏: java基础入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_27639721/article/details/101030681
版权

-笔者在实际生产中,遇到需求:

  • 给公司的5个系统统一加上token效验的需求,做成公共的jar包,
  • 而且要求使用spring security,暂时不做url权限的控制
  • 所有的请求进入到不同的系统,系统可以自由配置那些请求需要拦截,那些不需要拦截,
  • 并且请求中的token在失效前都必须在统一登录系统(LDAP)刷新token,登录系统的token时长是2小时,其他系统统一设置成1小时,
    **-
  • 首先是对spring security进行一个大致的了解
    spring security包含大量的过滤器,抽象到晦涩难懂,核心配置类是WebSecurityConfigurerAdapter ,必须继承这个类,然后重写他的方法
    **
@Configuration
@EnableWebSecurity
public class TokenAuthConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().requestMatchers(“**”);// 这个是你自己自定义 那些不需要拦截,不需要token
    }

    @Override
    protected void configure(final HttpSecurity http) throws Exception {
        http
                .exceptionHandling()
                .defaultAuthenticationEntryPointFor(forbiddenEntryPoint(), “url”) // ** 这个是 你自己配置那些需要进行验证token
                .and()
                .authenticationProvider(provider) // 这个provider就是你自定义提供的对token内对应的userinfo进行校验
                .addFilterBefore(“filter”, AnonymousAuthenticationFilter.class)// 自定义的需要的拦截器
                .authorizeRequests()
                .requestMatchers(“url”)// ** 这个是自定义的需要拦截的url 
                .authenticated()
                .and()
                .csrf().disable() // 禁用跨站拦截
                .formLogin().disable()// 不使用 自带的登录界面
                .httpBasic().disable()
                .logout().disable();
    }
    }
  • 自定义的provider:

这里使用了自定义的 本地缓存策略,就是在一个类里面写一个全局的map,然后设置一下过期时间,过期就进行清除淘汰,然后还使用了 一个自定义的restTemplate


@Slf4j
final class TokenAuthProvider extends AbstractUserDetailsAuthenticationProvider {

    @Value("${csf.request.appId}")
    private String appId;

    @Value("${csf.request.clientId}")
    private String clientId;

    @Value("${csf.request.clientSecret}")
    private String clientSecret;

    @Value("${csf.request.url}")
    private String url;

    @Resource
    private LocalCache localCache;

    @Resource
    private TokenRestTemplate tokenRestTemplate;

    @Override
    protected void additionalAuthenticationChecks(final UserDetails d, final UsernamePasswordAuthenticationToken auth) {
    }

    @Override
    protected UserDetails retrieveUser(final String username, final UsernamePasswordAuthenticationToken authentication) {
        logger.info("AbstractUserDetailsAuthenticationProvider retrieveUser ");
        final Object token = authentication.getCredentials();
        String userName=null;
        // 如果还处于本地有效期内,则不进行刷新
        if(localCache.hasKey(String.valueOf(token))){
            logger.info(" localCache  ");
            userName=(String)localCache.get(String.valueOf(token));
        }else{
            ResponseEntity<TokenInfoDto>  resultRespo=null;
            try {
                resultRespo= tokenRestTemplate.refresh(String.valueOf(token),url,appId,clientId,clientSecret);
            }catch (Exception ex){
                logger.error("验证token出错",ex);
                throw  new UsernameNotFoundException("Cannot find user with authentication token=" + token);
            }
            if(resultRespo==null||(resultRespo.getStatusCodeValue()!= HttpServletResponse.SC_OK)){
                throw  new UsernameNotFoundException("Cannot find user with authentication token=" + token);
            }
            userName=resultRespo.getBody().getUser().getUsername();
            localCache.set(String.valueOf(token),userName,1*60);// 本地缓存60分钟
        }
        UserDetails userDetails=new User(userName);
        logger.info("AbstractUserDetailsAuthenticationProvider  success");
        return userDetails;
    }

}

  • 自定义的内存—缓存策略
    首先使用map作为缓存容器,你就要考虑会不会内存溢出,所以给每一个值都设置一个过期时间,并且对数量进行控制是很有必要的,

  • 针对oom: 利用 软引用(接近oom 时,进行强制淘汰)+延时队列delayqueue去主动删除

  • 针对数量主动删除值:LinkedList 去主动淘汰存储最久的值
    自定义一个缓存对象 必须带有过期时间

public class DelayedCacheObject implements Delayed {

    private final String key; // 缓存的key
    private final SoftReference<Object> reference;// 软引用包装存储对象
    private final long expiryTime; // 缓存时间

    public DelayedCacheObject(String key, SoftReference<Object> reference, long expiryTime) {
        this.key = key;
        this.reference = reference;
        this.expiryTime = expiryTime;
    }

    public String getKey() {
        return key;
    }

    public SoftReference<Object> getReference() {
        return reference;
    }

    @Override
    public long getDelay(TimeUnit unit) {
        return unit.convert(expiryTime - System.currentTimeMillis(), TimeUnit.MILLISECONDS);
    }

    @Override
    public int compareTo(Delayed o) {
        return Long.compare(expiryTime, ((DelayedCacheObject) o).expiryTime);
    }

}

自定义缓存容器操作类
1.虽然使用了 软引用和 延时队列来保证不会oom ,但是如果同时登陆的人超过几千,对机器的考验还是会很大,所以这里还加上一个 长度限制,
2.构造方法中 主动构造一个守护线程进行垃圾的回收-------一直对延时队列进行判断,是否有失效的

public class LocalCache  implements ICache {

    private final ConcurrentHashMap<String, SoftReference<Object>> CACHE_MAP = new ConcurrentHashMap<>();// 存储对象的缓存容器

    private final DelayQueue<DelayedCacheObject>    CLEANING_QUEUE  = new DelayQueue<>();// 强制GC的延时队列

    /**
     * 这个记录了缓存使用的最后一次的记录,最近使用的在最前面
     */
    private static final List<String> CACHE_USE_LOG_LIST = new LinkedList<>();
    /**
     * 缓存最大个数
     */
    private static final Integer CACHE_MAX_NUMBER = 1000;

    public LocalCache() {
        //将回收过期的key的线程设置为守护线程
        Thread cleanerThread = new Thread(() -> {
            while (!Thread.currentThread().isInterrupted()) {
                try {
                    DelayedCacheObject delayedCacheObject = CLEANING_QUEUE.take();
                    if(CACHE_MAP.containsKey(delayedCacheObject.getKey())){
                        CACHE_MAP.remove(delayedCacheObject.getKey(), delayedCacheObject.getReference());
                    }
                    if(CACHE_USE_LOG_LIST.contains(delayedCacheObject.getKey())){
                        CACHE_USE_LOG_LIST.remove(delayedCacheObject.getKey());
                    }
                } catch (InterruptedException e) {
                    Thread.currentThread().interrupt();
                }
            }
        });
        cleanerThread.setDaemon(true);
        cleanerThread.start();
    }

    @Override
    public void set(String key, Object value, int periodInMinute) {
        if (key == null) {
            return;
        }
        if (value == null) {
            CACHE_MAP.remove(key);
            CACHE_USE_LOG_LIST.remove(key);
        } else {
            checkSize();// 先检查已经缓存的数量
            saveCacheUseLog(key);
            long expiryTime = System.currentTimeMillis() + periodInMinute*60*1000L;
            SoftReference<Object> reference = new SoftReference<>(value);
            CACHE_MAP.put(key, reference);
            CLEANING_QUEUE.put(new DelayedCacheObject(key, reference, expiryTime));
        }
    }

    @Override
    public boolean hasKey(String key) {
        return CACHE_MAP.containsKey(key);
    }

    @Override
    public void remove(String key) {
        CACHE_MAP.remove(key);
        CACHE_USE_LOG_LIST.remove(key);
    }

    @Override
    public Object get(String key) {
        return Optional.ofNullable(CACHE_MAP.get(key)).map(SoftReference::get).orElse(null);
    }

    /**
     * 检查大小
     * 当当前大小如果已经达到最大大小
     * 首先删除过期缓存,如果过期缓存删除过后还是达到最大缓存数目
     * 删除最久未使用缓存
     */
    private  void checkSize() {
        if (CACHE_USE_LOG_LIST.size()>= CACHE_MAX_NUMBER) {
            String cacheKey = null;
            synchronized (CACHE_USE_LOG_LIST) {
                cacheKey = CACHE_USE_LOG_LIST.remove(CACHE_USE_LOG_LIST.size() - 1);
            }
            if (cacheKey != null) {
                remove(cacheKey);
            }
        }
    }

    /**
     * 保存缓存的使用记录
     */
    private  void saveCacheUseLog(String cacheKey) {
        synchronized (CACHE_USE_LOG_LIST) {
            CACHE_USE_LOG_LIST.remove(cacheKey);
            CACHE_USE_LOG_LIST.add(0,cacheKey);
        }
    }

}
TNT_xy
关注
专栏目录
SpringBoot2.1.7整合SpringSecurity系列(一)
Terry‘s Blog
08-31 1462
一 前言 安全管理框架中,Shiro和SpringSecurity都是响当当的存在。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。 ...
Spring Boot整合Spring Security
微赚淘客开发者博客
01-23 425
在我们深入研究整合过程之前,让我们先来了解一下Spring Security。是基于Spring框架的安全性解决方案,它提供了全面的安全性服务,包括身份验证(Authentication)、授权(Authorization)、攻击防护等。通过使用Spring Security,我们可以轻松地在我们的应用程序中实现各种安全功能,确保用户数据的保密性和完整性。通过以上简单的步骤,我们成功地将Spring BootSpring Security整合在一起,为我们的应用程序提供了强大的安全保障。
spring-security结合spring boot超简单的例子
01-23
spring-security结合spring boot超简单的例子,仅仅只是验证登录,并且权限不同显示的内容也不同。非常适合新手入门
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 2196
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
SpringBoot 整合 SpringSecurity(一) 自定义用户名密码认证及原理
Lyndon的专栏
10-23 5278
SpringBoot整合Spring Security实现ajax登录
Spring boot + Spring Security 简单配置实例
01-23
Spring boot + Spring Security 简单配置,数据库采用MongoDB
Spring Boot整合Spring Security的示例代码
08-27
主要介绍了Spring Boot整合Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot整合CAS配置详解
08-30
要在 Spring Boot整合 CAS,需要引入相关的依赖项,包括 CAS 客户端依赖项和 Spring Security 依赖项。下面是一个基本的示例配置: 首先,需要在 `pom.xml` 文件中添加以下依赖项: ```xml <groupId>org....
Spring Boot整合JWT
10-16
整合Spring SecuritySpring Boot进行安全控制的主要方式。Spring Security是一个强大的安全框架,提供了一整套的认证和授权机制。在Spring Boot中,我们可以通过简单的配置启用Spring Security,并结合JWT来实现无...
Springboot+SpringSecurity一篇看会
普通人一枚
03-06 8915
SpringSecurity总结
SpringBootSpringSecurity(安全)
爱学习的大雄的博客
03-16 1万+
SpringSecurity(安全) Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @Enabl
Springboot + SpringSecurity(一)
qq_50833522的博客
06-03 4323
基于springboot的脚手架已经搭建完成的基础,用Springbot+SpringSecurity来进行的用户登录认证与权限控制(认证与授权)。
SpringBoot整合Spring Security【超详细教程】
m0_52789121的博客
06-12 8501
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。什么叫做单点登录呢。就是在一个多应用系统中,只要在其中一个系统上登录之后,不需要在其它系统上登录也可以访问其内容。举个例子,京东那么复
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 4129
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
Spring boot+Spring Security 4配置整合实例
热门推荐
code__code的专栏
12-26 9万+
本例所覆盖的内容: 1. 使用Spring Security管理用户身份认证、登录退出 2. 用户密码加密及验证 3. 采用数据库的方式实现Spring Security的remember-me功能 4. 获取登录用户信息。 5.使用Spring Security管理url和权限   本例所使用的框架: 1. Spring boot 2. Spring MVC 3. Sprin
SpringBoot+SpringSecurity+mysql实现认证与授权
oyc的博客
01-29 1万+
一、Spring Security框架 1. 框架简介 官方介绍:Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足...
15.Spring Boot 使用Spring security
编码语言Codelang
01-03 3万+
玩转Spring Boot 使用Spring security Spring BootSpring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值