springsecurity整合完成认证服务

于 2024-05-09 10:56:46 发布
阅读量440 收藏 3
点赞数 5
文章标签: java 前端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang01_01/article/details/138603220
版权

1.pom加依赖

     <!--springsecurity-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--jwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

2.securityconfig

        咱这个认证服务就是颁发token的,所有咱们放行所有springsecurity的认证。然后自己来通过调用auth来认证。如果没有认证通过,则通过handler来返回错误信息

        然后就是给auth设置好userdetailservie和密码校验的那个BCryptPasswordEncoder

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private JwtTokenProvider jwtTokenProvider;
    @Autowired
    private JwtAuthenticationEntryPoint unauthorizedHandler;
    @Autowired
    private CustomUserDetailsService customUserDetailsService;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable().
                authorizeRequests().
                antMatchers("/**").permitAll().
                and().exceptionHandling().authenticationEntryPoint(unauthorizedHandler).
                and().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    /**
     * 如果你想使用AuthenticationManager这个玩意进行显示的校验用户名密码那么就需要自己手动注入一下,如果不显示的使用校验,
     * springsecurity会自己注入并完成使用,因为咱们在生成token的接口里面用到了这个校验了,所以咱们注入一下
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 进行密码加密校验。通常你配置了这个玩意,你数据库的密码是加密的,你传入过来的密码会通过这个玩意加密再匹配
     *
     * @return
     */
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    /**
     * 它的主要作用是配置全局的身份验证管理器 AuthenticationManagerBuilder
     * 就是配置UserDetailsService和BCryptPasswordEncoder
     *
     * @param auth
     * @throws Exception
     */
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder());
    }
}

3.service 

@Service
public class AccountServiceImpl implements AccountService {
    Logger logger = LoggerFactory.getLogger(AccountServiceImpl.class);
    @Autowired
    private ConsumerClient consumerClient;
    @Autowired
    private AccountClient accountClient;
    @Autowired
    private StringRedisTemplate redisTemplate;
    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    @Override
    public ResponseResult<String> register(AccountDTO accountDTO) {
        //1.判断必要参数
        if (StrUtil.isBlank(accountDTO.getEmail()) || StrUtil.isBlank(accountDTO.getVeriCode())) {
            throw new RuntimeException("参数异常");
        }
        //2.获取是否注册过
        Integer num = accountClient.getAccountByEmail(accountDTO.getEmail());
        logger.info("{} if exist num==>{}", accountDTO.getEmail(), num);
        //3.进行注册or登录-
        //3.1 -登录就是返回一个token
        Authentication authentication = authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(
                        accountDTO.getEmail(),
                        accountDTO.getPassword()
                )
        );
        SecurityContextHolder.getContext().setAuthentication(authentication);

        String token = jwtTokenProvider.createToken(accountDTO.getEmail(), new ArrayList<>());
        // 3.2 todo 没有注册则进行注册,注册后返回token,需要一个默认密码

        return ResponseResult.okResult(token);
    }
}

authenticationManager.authenticate() 传入我们的用户名密码,然后springsecurity就会帮我们往下进行验证

主要流程咱们画个图

4.CustomUserDetailsService

上面调用的方法最终就会找到这个loadUserByUsername()方法

@Service
public class CustomUserDetailsService implements UserDetailsService {
    Logger logger = LoggerFactory.getLogger(CustomUserDetailsService.class);
    @Autowired
    private AccountClient accountClient;
    /**
     * 这部分是核心,会在authenticate调用的时候执行该方法
     *
     * @param username the username identifying the user whose data is required.
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        AccountVO account = accountClient.findByUsername(username);
        logger.info("query account is {}", JSON.toJSONString(account));
        // 这里就是进行查询用户并判断是否存在
        if (account == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return UserPrincipal.create(account);
    }
}

然后我们再看这个方法的返回。他要求你必须是一个UserDetails类,我们想要灵活配置就自己实现UserDetails

5.UserDetails

这个里面有todo,就是可以在创建这个对象的时候给设置上值。这样就可以根据我们数据库查询的accountvo来设置,这样springsecurity就根据后面的方法来获取值,判断你的账号是否可用之类的

/**
 * 这个类也是在authenticate校验时进行各种判断,什么过期,是否可用的账号之类的
 */
public class UserPrincipal implements UserDetails, Serializable {
    private Long id;
    private String email;
    private String password;
    private Set<GrantedAuthority> authorities;
    public UserPrincipal() {
    }
    public UserPrincipal(Long id, String email, String password, Set<GrantedAuthority> authorities) {
        this.id = id;
        this.email = email;
        this.password = password;
        this.authorities = authorities;
    }
    public static UserPrincipal create(AccountVO accountVO) {
        Set<GrantedAuthority> authorities = new HashSet<>();
//                user.getRoles().stream().map(role ->
//                new SimpleGrantedAuthority(role.getName().name())
//        ).collect(Collectors.toList());
        return new UserPrincipal(
                accountVO.getId(),
                accountVO.getEmail(),
                accountVO.getPassword(),
                authorities
        );
    }
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }
    @Override
    public String getPassword() {
        return this.password;
    }
    @Override
    public String getUsername() {
        return this.email;
    }
    public void setUsername(String email) {
        this.email = email;
    }
    public void setPassword(String password) {
        this.password = password;
    }
    @Override
    public boolean isAccountNonExpired() {
        // todo
        return true;
    }
    @Override
    public boolean isAccountNonLocked() {
        // todo
        return true;
    }
    @Override
    public boolean isCredentialsNonExpired() {
        // todo
        return true;
    }
    @Override
    public boolean isEnabled() {
        // todo
        return true;
    }
    // ...其他代码,包括getters和实现UserDetails接口的方法...
}

6.JwtTokenProvider

@Component
public class JwtTokenProvider {
    private String secretKey = "secret";

    public String createToken(String username, List<String> roles) {
        Claims claims = Jwts.claims().setSubject(username);
        claims.put("roles", roles);
        Date now = new Date();
        Date validity = new Date(now.getTime() + 3600000); //设置Token有效期为1小时
        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(now)
                .setExpiration(validity)
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();
    }
}

7.JwtAuthenticationEntryPoint

/**
 * 这个是一个没有校验通过的错误返回器
 */
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    Logger logger = LoggerFactory.getLogger(JwtAuthenticationEntryPoint.class);

    @Override
    public void commence(HttpServletRequest httpServletRequest,
                         HttpServletResponse httpServletResponse,
                         AuthenticationException e) throws IOException, ServletException {
        logger.error("Responding with unauthorized error. Message - {}", e.getMessage());
        httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage());
    }
}

wang01_01
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring security+jwt 实现认证授权
IT_cdc的博客
03-10 5072
目录结构 具体代码 config 配置类 DefaultControllerAdvice.java package com.stu.manage.demo.config; import com.stu.manage.demo.result.Result; import com.stu.manage.demo.result.ResultEnum; import com.stu.manage.demo.result.ResultUtil; import org.springframework.w
spring security 整合 jwt
tyjlearning的博客
11-10 878
一、概念 JWT:JSON Web Token,一个基于JSON的令牌标准,令牌中可以含有有意义的信息 二、会话管理 之 Token原理 1、用户登录时,服务器端 加密 用户ID 和 过期时间 组成的字符串,得到token,发放给客户端 2、客户端每次发送请求都带上token 3、服务器端 解密token 或者 验证token,从而得到用户ID 和 会话过期时间 token生成方案: token = user_id|expiry_date|HMAC(user_id|expiry_date, key)
详细!SpringBoot整合SpringSecurity实现JWT认证
MarkerHub的博客
01-02 1132
小Hub领读:最近做了个security项目,参考了一下这个例子,还可以作者:智慧zhuhuixhttps://blog.csdn.net/jpgzhu/article/details/...
JwtUser JwtAuthenticationEntryPoint JwtAuthorizationTokenFilter JwtUserDetailsService Authenticat...
weixin_30385925的博客
07-20 1356
package me.zhengjie.core.security; import com.fasterxml.jackson.annotation.JsonIgnore; import lombok.AllArgsConstructor; import lombok.Getter; import org.springframework.security.core.GrantedA...
后端架构token授权认证机制:spring security JSON Web Token(JWT)简例
Zhang Phil
02-10 6863
spring security JSON Web Token(JWT)简单例子实现 在基于token的客户端-服务器认证授权以前,前端服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token的认证-授权访问流程一般情况是这
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
在课程中,新增的第10+11章可能涵盖了Spring Security与OAuth2的深度整合,这包括: 1. 如何使用Spring Security作为OAuth2的授权服务器,实现用户登录验证和令牌发放。 2. 客户端注册和认证:如何在Spring ...
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
在本教程中,我们将探讨如何使用Spring Boot与Spring Security整合,构建一个简单的登录登出功能。Spring Security是一个强大的安全框架,它可以为基于Spring的应用提供安全控制,包括认证、授权等核心功能。通过...
SpringSecurity安全框架基础Demo
01-02
它为基于Spring的应用程序提供了全面的安全服务,包括用户认证、角色权限管理、会话管理以及CSRF(跨站请求伪造)防护。这个"SpringSecurity安全框架基础Demo"旨在帮助开发者快速理解和实践Spring Security的核心...
springboot2.7.10+springSecurity5.7.10+mybatisplus3.5.3.2整合实现用户校验
08-23
这可以通过Spring Boot的Thymeleaf或Freemarker模板引擎完成,或者使用静态HTML文件,然后配置Spring Security允许未认证的用户访问这个页面。在登录表单中,用户需要输入用户名和密码,表单提交到Spring Security的...
分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频
11-13
在"19.SpringSecurity集成CAS.avi"中,会讲解如何将CAS与SpringSecurity整合,利用SpringSecurity的强大功能来实现更精细的权限控制和访问决策。 综上所述,本套视频教程通过实践操作,系统地介绍了分布式架构下SSO...
SpringBoot + SpringSecurity+jwt 实现验证 & 过程中直接添加Authentication对象
z69183787的专栏
02-06 2704
1、 如何骗过Spring Security——直接添加Authentication对象 1.需求 在最近的项目中,出现了这样的需求。我需要在后台使用spring security,但是android端显然不能使用像web端登录那样的处理方式,所以如何"骗过"spring security直接在它的认证流程中插入我自己的对象,这成为了我急切的问题。 2.Spring Security的核心组件 SecurityContextHolder SecurityContextHolder用于获取
jwt+token验证
qq_51127361的博客
09-19 1880
导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
SpringSecurity整合jwt权限认证全流程解析
小楼夜听雨的博客
12-16 2944
目录 JWT 代码 依赖 jwt工具类 实体类和Service 配置类 过滤器 异常处理 流程分析 总体分析 登录校验过滤器分析 权限认证过滤器分析 配置文件 JWT 本文代码截取自实际项目。 jwt(Json Web Token),一个token,令牌。 简单流程: 用户登录成功后,后端返回一个token,也就是颁发给用户一个凭证。之后每一次访问,前端都需要携带这个token,后端通过token来解析出当前访问对象。 优点 1、一定程度上解放了后端,后端不需要.
springSecurity jwt 认证与鉴权及异常
C18298182575的博客
08-21 2858
如图红色框 问题: 1.认证 1.1 什么是认证,什么时候认证认证什么东西,怎么算成功,怎么算失败 1.2 认证失败怎么处理 1.3 与jwt关系 2.鉴权 1.1 什么是鉴权,如何鉴权,鉴权什么东西,怎么算成功,怎么算失败 1.2 鉴权失败怎么处理 1.3 与jwt关系 ----------------------------------------------------------------------------------------------------..
SpringBoot集成SpringSecurityJWT
LWHuai的博客
07-30 531
一、配置securityconfig @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { private final JwtAuth...
第12讲实现JWT认证异常处理器
最新发布
m0_68935893的博客
02-22 217
新建JwtAuthenticationEntryPoint
10-SpringSecurityJWT及无状态服务
qq_44005305的博客
01-07 300
关于JWT的介绍,网上资源有很多,简单来说,JWT由三部分构成:Header、Payload、Signature,三者之间以点号. 分隔,前面两部分使用Base64编码(关于Base64编码的更多信息。
SpringBoot+SpringSecurity前后端分离+Jwt的权限认证(改造记录)
z_ssyy的博客
05-31 1497
一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了。
整合SpringSecurityJWT实现登录认证和授权
Java升级之路的博客
09-07 4321
文章目录前言一、SpringSecurity是什么?二、JWT是什么?1. JWT的组成2. JWT实现认证和授权的原理三、整合步骤1. 引入相关依赖2. yml配置中加入jwt配置信息3. 添加JWT token的工具类4. 添加SpringSecurity的配置类5. 添加自定义结果处理类5.1 添加CustomAccessDeniedHandler5.2 添加CustomAuthenticationEntryPoint6. 添加JwtUser类7. 添加过滤器JwtAuthenticationTok
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值