springboot +springsecurity 跳转登录界面_SpringBoot整合SpringSecurity实现前后分离权限注解+JWT登录认证...

最新推荐文章于 2022-06-14 16:48:28 发布
最新推荐文章于 2022-06-14 16:48:28 发布
阅读量696 收藏 1
点赞数
文章标签: springboot +springsecurity 跳转登录界面
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39621044/article/details/113318733
版权

一.说明

SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.

JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种生成加密用户身份信息的Token,特别适用于分布式单点登陆的场景,无需在服务端保存用户的认证信息,而是直接对Token进行校验获取用户信息,使单点登录更为简单灵活.

二.项目环境

  • SpringBoot版本:2.1.6
  • SpringSecurity版本: 5.1.5
  • MyBatis-Plus版本: 3.1.0
  • JDK版本:1.8
  • 数据表(SQL文件在项目中):数据库中测试号的密码进行了加密,密码皆为123456
c623e1512fe4c73682fcf76b6ff5e025.png

Maven依赖如下:

                    org.springframework.boot            spring-boot-starter-web                            mysql            mysql-connector-java            runtime                            org.projectlombok            lombok            true                            org.springframework.boot            spring-boot-starter-test            test                                    org.springframework.boot            spring-boot-starter-security                                    com.baomidou            mybatis-plus-boot-starter            3.1.0                                    com.alibaba            druid            1.1.6                                    org.apache.commons            commons-lang3            3.5                                    com.alibaba            fastjson            1.2.45                                    org.springframework.security            spring-security-jwt            1.0.9.RELEASE                            io.jsonwebtoken            jjwt            0.9.0        

配置如下:

# 配置端口server:  port: 8764spring:  # 配置数据源  datasource:    driver-class-name: com.mysql.cj.jdbc.Driver    url: jdbc:mysql://localhost:3306/sans_security?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertToNull&useSSL=false    username: root    password: 123456    type: com.alibaba.druid.pool.DruidDataSource# JWT配置jwt:  # 密匙KEY  secret: JWTSecret  # HeaderKEY  tokenHeader: Authorization  # Token前缀字符  tokenPrefix: Sans-  # 过期时间 单位秒 1天后过期=86400 7天后过期=604800  expiration: 86400  # 配置不需要认证的接口  antMatchers: /index,/login/**,/favicon.ico# Mybatis-plus相关配置mybatis-plus:  # xml扫描,多个目录用逗号或者分号分隔(告诉 Mapper 所对应的 XML 文件位置)  mapper-locations: classpath:mapper/*.xml  # 以下配置均有默认值,可以不设置  global-config:    db-config:      #主键类型 AUTO:"数据库ID自增" INPUT:"用户输入ID",ID_WORKER:"全局唯一ID (数字类型唯一ID)", UUID:"全局唯一ID UUID";      id-type: AUTO      #字段策略 IGNORED:"忽略判断" NOT_NULL:"非 NULL 判断") NOT_EMPTY:"非空判断"      field-strategy: NOT_EMPTY      #数据库类型      db-type: MYSQL  configuration:    # 是否开启自动驼峰命名规则映射:从数据库列名到Java属性驼峰命名的类似映射    map-underscore-to-camel-case: true    # 返回map时true:当查询数据为空时字段返回为null,false:不加这个查询数据为空时,字段将被隐藏    call-setters-on-nulls: true    # 这个配置会将执行的sql打印出来,在开发或测试的时候可以用    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

三.编写项目基础类

Entity,Dao,Service,及等SpringSecurity用户的Entity,Service类等在这里省略,请参考源码

编写JWT工具类

/** * JWT工具类 * @Author Sans * @CreateTime 2019/10/2 7:42 */@Slf4jpublic class JWTTokenUtil {    /**     * 生成Token     * @Author Sans     * @CreateTime 2019/10/2 12:16     * @Param  selfUserEntity 用户安全实体     * @Return Token     */    public static String createAccessToken(SelfUserEntity selfUserEntity){        // 登陆成功生成JWT        String token = Jwts.builder()                // 放入用户名和用户ID                .setId(selfUserEntity.getUserId()+"")                // 主题                .setSubject(selfUserEntity.getUsername())                // 签发时间                .setIssuedAt(new Date())                // 签发者                .setIssuer("sans")                // 自定义属性 放入用户拥有权限                .claim("authorities", JSON.toJSONString(selfUserEntity.getAuthorities()))                // 失效时间                .setExpiration(new Date(System.currentTimeMillis() + JWTConfig.expiration))                // 签名算法和密钥                .signWith(SignatureAlgorithm.HS512, JWTConfig.secret)                .compact();        return token;    }}

编写暂无权限处理类

/** * @Description 暂无权限处理类 * @Author Sans * @CreateTime 2019/10/3 8:39 */@Componentpublic class UserAuthAccessDeniedHandler implements AccessDeniedHandler{    /**     * 暂无权限返回结果     * @Author Sans     * @CreateTime 2019/10/3 8:41     */    @Override    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException exception){        ResultUtil.responseJson(response,ResultUtil.resultCode(403,"未授权"));    }}

编写用户未登录处理类

/** * 用户未登录处理类 * @Author Sans * @CreateTime 2019/10/3 8:55 */@Componentpublic class UserAuthenticationEntryPointHandler implements AuthenticationEntryPoint {    /**     * 用户未登录返回结果     * @Author Sans     * @CreateTime 2019/10/3 9:01     */    @Override    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception){        ResultUtil.responseJson(response,ResultUtil.resultCode(401,"未登录"));    }}

编写登录失败处理类

/** * @Description 登录失败处理类 * @Author Sans * @CreateTime 2019/10/3 9:06 */@Slf4j@Componentpublic class UserLoginFailureHandler implements AuthenticationFailureHandler {    /**     * 登录失败返回结果     * @Author Sans     * @CreateTime 2019/10/3 9:12     */    @Override    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception){        // 这些对于操作的处理类可以根据不同异常进行不同处理        if (exception instanceof UsernameNotFoundException){            log.info("【登录失败】"+exception.getMessage());            ResultUtil.responseJson(response,ResultUtil.resultCode(500,"用户名不存在"));        }        if (exception instanceof LockedException){            log.info("【登录失败】"+exception.getMessage());            ResultUtil.responseJson(response,ResultUtil.resultCode(500,"用户被冻结"));        }        if (exception instanceof BadCredentialsException){            log.info("【登录失败】"+exception.getMessage());            ResultUtil.responseJson(response,ResultUtil.resultCode(500,"用户名密码不正确"));        }        ResultUtil.responseJson(response,ResultUtil.resultCode(500,"登录失败"));    }}

编写登录成功处理类

/** * @Description 登录成功处理类 * @Author Sans * @CreateTime 2019/10/3 9:13 */@Slf4j@Componentpublic class UserLoginSuccessHandler implements AuthenticationSuccessHandler {    /**     * 登录成功返回结果     * @Author Sans     * @CreateTime 2019/10/3 9:27     */    @Override    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication){        // 组装JWT        SelfUserEntity selfUserEntity = (SelfUserEntity) authentication.getPrincipal();        String token = JWTTokenUtil.createAccessToken(selfUserEntity);        token = JWTConfig.tokenPrefix + token;        // 封装返回参数        Map resultData = new HashMap<>();        resultData.put("code","200");        resultData.put("msg", "登录成功");        resultData.put("token",token);        ResultUtil.responseJson(response,resultData);    }}

编写登出成功处理类

/** * 用户登出类 * @Author Sans * @CreateTime 2019/10/3 9:42 */@Componentpublic class UserLogoutSuccessHandler implements LogoutSuccessHandler {    /**     * 用户登出返回结果     * 这里应该让前端清除掉Token     * @Author Sans     * @CreateTime 2019/10/3 9:50     */    @Override    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication){        Map resultData = new HashMap<>();        resultData.put("code","200");        resultData.put("msg", "登出成功");        SecurityContextHolder.clearContext();        ResultUtil.responseJson(response,ResultUtil.resultSuccess(resultData));    }}

四.编写Security核心类

编写自定义登录验证类

/** * 自定义登录验证 * @Author Sans * @CreateTime 2019/10/1 19:11 */@Componentpublic class UserAuthenticationProvider implements AuthenticationProvider {    @Autowired    private SelfUserDetailsService selfUserDetailsService;    @Autowired    private SysUserService sysUserService;    @Override    public Authentication authenticate(Authentication authentication) throws AuthenticationException {        // 获取表单输入中返回的用户名        String userName = (String) authentication.getPrincipal();        // 获取表单中输入的密码        String password = (String) authentication.getCredentials();        // 查询用户是否存在        SelfUserEntity userInfo = selfUserDetailsService.loadUserByUsername(userName);        if (userInfo == null) {            throw new UsernameNotFoundException("用户名不存在");        }        // 我们还要判断密码是否正确,这里我们的密码使用BCryptPasswordEncoder进行加密的        if (!new BCryptPasswordEncoder().matches(password, userInfo.getPassword())) {            throw new BadCredentialsException("密码不正确");        }        // 还可以加一些其他信息的判断,比如用户账号已停用等判断        if (userInfo.getStatus().equals("PROHIBIT")){            throw new LockedException("该用户已被冻结");        }        // 角色集合        Set authorities = new HashSet<>();        // 查询用户角色        List sysRoleEntityList = sysUserService.selectSysRoleByUserId(userInfo.getUserId());        for (SysRoleEntity sysRoleEntity: sysRoleEntityList){            authorities.add(new SimpleGrantedAuthority("ROLE_" + sysRoleEntity.getRoleName()));        }        userInfo.setAuthorities(authorities);        // 进行登录        return new UsernamePasswordAuthenticationToken(userInfo, password, authorities);    }    @Override    public boolean supports(Class> authentication) {        return true;    }}

编写自定义PermissionEvaluator注解验证

/** * 自定义权限注解验证 * @Author Sans * @CreateTime 2019/10/6 13:31 */@Componentpublic class UserPermissionEvaluator implements PermissionEvaluator {    @Autowired    private SysUserService sysUserService;    /**     * hasPermission鉴权方法     * 这里仅仅判断PreAuthorize注解中的权限表达式     * 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权     * @Author Sans     * @CreateTime 2019/10/6 18:25     * @Param  authentication 用户身份     * @Param  targetUrl 请求路径     * @Param  permission 请求路径权限     * @Return boolean 是否通过     */    @Override    public boolean hasPermission(Authentication authentication, Object targetUrl, Object permission) {        // 获取用户信息        SelfUserEntity selfUserEntity =(SelfUserEntity) authentication.getPrincipal();        // 查询用户权限(这里可以将权限放入缓存中提升效率)        Set permissions = new HashSet<>();        List sysMenuEntityList = sysUserService.selectSysMenuByUserId(selfUserEntity.getUserId());        for (SysMenuEntity sysMenuEntity:sysMenuEntityList) {            permissions.add(sysMenuEntity.getPermission());        }        // 权限对比        if (permissions.contains(permission.toString())){            return true;        }        return false;    }    @Override    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {        return false;    }}

编写SpringSecurity核心配置类

/** * SpringSecurity核心配置类 * @Author Sans * @CreateTime 2019/10/1 9:40 */@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true) //开启权限注解,默认是关闭的public class SecurityConfig extends WebSecurityConfigurerAdapter {    /**     * 自定义登录成功处理器     */    @Autowired    private UserLoginSuccessHandler userLoginSuccessHandler;    /**     * 自定义登录失败处理器     */    @Autowired    private UserLoginFailureHandler userLoginFailureHandler;    /**     * 自定义注销成功处理器     */    @Autowired    private UserLogoutSuccessHandler userLogoutSuccessHandler;    /**     * 自定义暂无权限处理器     */    @Autowired    private UserAuthAccessDeniedHandler userAuthAccessDeniedHandler;    /**     * 自定义未登录的处理器     */    @Autowired    private UserAuthenticationEntryPointHandler userAuthenticationEntryPointHandler;    /**     * 自定义登录逻辑验证器     */    @Autowired    private UserAuthenticationProvider userAuthenticationProvider;    /**     * 加密方式     * @Author Sans     * @CreateTime 2019/10/1 14:00     */    @Bean    public BCryptPasswordEncoder bCryptPasswordEncoder(){        return new BCryptPasswordEncoder();    }    /**     * 注入自定义PermissionEvaluator     */    @Bean    public DefaultWebSecurityExpressionHandler userSecurityExpressionHandler(){        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();        handler.setPermissionEvaluator(new UserPermissionEvaluator());        return handler;    }    /**     * 配置登录验证逻辑     */    @Override    protected void configure(AuthenticationManagerBuilder auth){        //这里可启用我们自己的登陆验证逻辑        auth.authenticationProvider(userAuthenticationProvider);    }    /**     * 配置security的控制逻辑     * @Author Sans     * @CreateTime 2019/10/1 16:56     * @Param  http 请求     */    @Override    protected void configure(HttpSecurity http) throws Exception {        http.authorizeRequests()                //不进行权限验证的请求或资源(从配置文件中读取)               .antMatchers(JWTConfig.antMatchers.split(",")).permitAll()                //其他的需要登陆后才能访问                .anyRequest().authenticated()                .and()                //配置未登录自定义处理类                .httpBasic().authenticationEntryPoint(userAuthenticationEntryPointHandler)                .and()                //配置登录地址                .formLogin()                .loginProcessingUrl("/login/userLogin")                //配置登录成功自定义处理类                .successHandler(userLoginSuccessHandler)                //配置登录失败自定义处理类                .failureHandler(userLoginFailureHandler)                .and()                //配置登出地址                .logout()                .logoutUrl("/login/userLogout")                //配置用户登出自定义处理类                .logoutSuccessHandler(userLogoutSuccessHandler)                .and()                //配置没有权限自定义处理类                .exceptionHandling().accessDeniedHandler(userAuthAccessDeniedHandler)                .and()                // 开启跨域                .cors()                .and()                // 取消跨站请求伪造防护                .csrf().disable();        // 基于Token不需要session        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);        // 禁用缓存        http.headers().cacheControl();        // 添加JWT过滤器        http.addFilter(new JWTAuthenticationTokenFilter(authenticationManager()));    }}

五.编写JWT拦截类

编写JWT接口请求校验拦截器

/** * JWT接口请求校验拦截器 * 请求接口时会进入这里验证Token是否合法和过期 * @Author Sans * @CreateTime 2019/10/5 16:41 */@Slf4jpublic class JWTAuthenticationTokenFilter extends BasicAuthenticationFilter {    public JWTAuthenticationTokenFilter(AuthenticationManager authenticationManager) {        super(authenticationManager);    }    @Override    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {        // 获取请求头中JWT的Token        String tokenHeader = request.getHeader(JWTConfig.tokenHeader);        if (null!=tokenHeader && tokenHeader.startsWith(JWTConfig.tokenPrefix)) {            try {                // 截取JWT前缀                String token = tokenHeader.replace(JWTConfig.tokenPrefix, "");                // 解析JWT                Claims claims = Jwts.parser()                        .setSigningKey(JWTConfig.secret)                        .parseClaimsJws(token)                        .getBody();                // 获取用户名                String username = claims.getSubject();                String userId=claims.getId();                if(!StringUtils.isEmpty(username)&&!StringUtils.isEmpty(userId)) {                    // 获取角色                    List authorities = new ArrayList<>();                    String authority = claims.get("authorities").toString();                    if(!StringUtils.isEmpty(authority)){                        List> authorityMap = JSONObject.parseObject(authority, List.class);                        for(Map role : authorityMap){                            if(!StringUtils.isEmpty(role)) {                                authorities.add(new SimpleGrantedAuthority(role.get("authority")));                            }                        }                    }                    //组装参数                    SelfUserEntity selfUserEntity = new SelfUserEntity();                    selfUserEntity.setUsername(claims.getSubject());                    selfUserEntity.setUserId(Long.parseLong(claims.getId()));                    selfUserEntity.setAuthorities(authorities);                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(selfUserEntity, userId, authorities);                    SecurityContextHolder.getContext().setAuthentication(authentication);                }            } catch (ExpiredJwtException e){                log.info("Token过期");            } catch (Exception e) {                log.info("Token无效");            }        }        filterChain.doFilter(request, response);        return;    }}

六.权限注解和hasPermission权限扩展

Security允许我们在定义URL方法访问所应有的注解权限时使用SpringEL表达式,在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则没有权限,会进入到我们配置的UserAuthAccessDeniedHandler(暂无权限处理类)中进行处理.这里举一些例子,代码中注释有对应的描述.各种注解:SpringBoot 常用注解

880488cf57430ac0f7e2137bc25341f3.png 
/**     * 管理端信息     * @Author Sans     * @CreateTime 2019/10/2 14:22     * @Return Map 返回数据MAP     */    @PreAuthorize("hasRole('ADMIN')")    @RequestMapping(value = "/info",method = RequestMethod.GET)    public Map userLogin(){        Map result = new HashMap<>();        SelfUserEntity userDetails = SecurityUtil.getUserInfo();        result.put("title","管理端信息");        result.put("data",userDetails);        return ResultUtil.resultSuccess(result);    }    /**     * 拥有ADMIN或者USER角色可以访问     * @Author Sans     * @CreateTime 2019/10/2 14:22     * @Return Map 返回数据MAP     */    @PreAuthorize("hasAnyRole('ADMIN','USER')")    @RequestMapping(value = "/list",method = RequestMethod.GET)    public Map list(){        Map result = new HashMap<>();        List sysUserEntityList = sysUserService.list();        result.put("title","拥有用户或者管理员角色都可以查看");        result.put("data",sysUserEntityList);        return ResultUtil.resultSuccess(result);    }    /**     * 拥有ADMIN和USER角色可以访问     * @Author Sans     * @CreateTime 2019/10/2 14:22     * @Return Map 返回数据MAP     */    @PreAuthorize("hasRole('ADMIN') and hasRole('USER')")    @RequestMapping(value = "/menuList",method = RequestMethod.GET)    public Map menuList(){        Map result = new HashMap<>();        List sysMenuEntityList = sysMenuService.list();        result.put("title","拥有用户和管理员角色都可以查看");        result.put("data",sysMenuEntityList);        return ResultUtil.resultSuccess(result);    }

通常情况下使用hasRole和hasAnyRole基本可以满足大部分鉴权需求,但是有时候面对更复杂的场景上述常规表示式无法完成权限认证,Security也为我们提供了解决方案.通过hasPermission()来扩展表达式.使用hasPermission()首先要实现PermissionEvaluator接口

/** * 自定义权限注解验证 * @Author Sans * @CreateTime 2019/10/6 13:31 */@Componentpublic class UserPermissionEvaluator implements PermissionEvaluator {    @Autowired    private SysUserService sysUserService;    /**     * hasPermission鉴权方法     * 这里仅仅判断PreAuthorize注解中的权限表达式     * 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权     * 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计     * @Author Sans     * @CreateTime 2019/10/6 18:25     * @Param  authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)     * @Param  targetUrl 请求路径     * @Param  permission 请求路径权限     * @Return boolean 是否通过     */    @Override    public boolean hasPermission(Authentication authentication, Object targetUrl, Object permission) {        // 获取用户信息        SelfUserEntity selfUserEntity =(SelfUserEntity) authentication.getPrincipal();        // 查询用户权限(这里可以将权限放入缓存中提升效率)        Set permissions = new HashSet<>();        List sysMenuEntityList = sysUserService.selectSysMenuByUserId(selfUserEntity.getUserId());        for (SysMenuEntity sysMenuEntity:sysMenuEntityList) {            permissions.add(sysMenuEntity.getPermission());        }        // 权限对比        if (permissions.contains(permission.toString())){            return true;        }        return false;    }    @Override    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {        return false;    }}

在请求方法上添加hasPermission示例

/**     * 拥有sys:user:info权限可以访问     * hasPermission 第一个参数是请求路径 第二个参数是权限表达式     * @Author Sans     * @CreateTime 2019/10/2 14:22     * @Return Map 返回数据MAP     */    @PreAuthorize("hasPermission('/admin/userList','sys:user:info')")    @RequestMapping(value = "/userList",method = RequestMethod.GET)    public Map userList(){        Map result = new HashMap<>();        List sysUserEntityList = sysUserService.list();        result.put("title","拥有sys:user:info权限都可以查看");        result.put("data",sysUserEntityList);        return ResultUtil.resultSuccess(result);    }

hasPermission可以也可以和其他表达式联合使用

/**     * 拥有ADMIN角色和sys:role:info权限可以访问     * @Author Sans     * @CreateTime 2019/10/2 14:22     * @Return Map 返回数据MAP     */    @PreAuthorize("hasRole('ADMIN') and hasPermission('/admin/adminRoleList','sys:role:info')")    @RequestMapping(value = "/adminRoleList",method = RequestMethod.GET)    public Map adminRoleList(){        Map result = new HashMap<>();        List sysRoleEntityList = sysRoleService.list();        result.put("title","拥有ADMIN角色和sys:role:info权限可以访问");        result.put("data",sysRoleEntityList);        return ResultUtil.resultSuccess(result);    }

七.测试

创建账户这里用户加密使用了Security推荐的bCryptPasswordEncoder方法

/**     * 注册用户     */    @Test    public void contextLoads() {        // 注册用户        SysUserEntity sysUserEntity = new SysUserEntity();        sysUserEntity.setUsername("sans");        sysUserEntity.setPassword(bCryptPasswordEncoder.encode("123456"));        // 设置用户状态        sysUserEntity.setStatus("NORMAL");        sysUserService.save(sysUserEntity);        // 分配角色 1:ADMIN 2:USER        SysUserRoleEntity sysUserRoleEntity = new SysUserRoleEntity();        sysUserRoleEntity.setRoleId(2L);        sysUserRoleEntity.setUserId(sysUserEntity.getUserId());        sysUserRoleService.save(sysUserRoleEntity);    }

登录USER角色账号,登录成功后我们会获取到身份认证的Token

243d39ff3cded25b5be83d6524a377ad.png

访问USER角色的接口,把上一步获取到的Token设置在Headers中,Key为Authorization,我们之前实现的JWTAuthenticationTokenFilter拦截器会根据请求头中的Authorization获取并解析Token

e4eab1eb4b5b050b5e0826289ef2e08f.png

使用USER角色Token访问ADMIN角色的接口,会被拒绝,告知未授权(暂无权限会进入我们定义的UserAuthAccessDeniedHandler这个类进行处理)

aac096fe5586f42642259fc49a08ccc2.png

更换ADMIN角色进行登录并访问ADMIN接口

0678552ac4d912de1266f63413dc1596.png

如何获取项目地址与详细的开发文档?

由于之前收到通知不允许出现链接,有需要的朋友们麻烦转发后关注小编,私信【链接】,即可免费获取项目地址与详细的开发文档。

                                                                       --END--
weixin_39621044
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot+SpringSecurity案例
wu_amber的博客
12-23 5950
Spring Security 简介  Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否...
Springboot 结合Spring security实战
shudj的博客
12-25 493
项目中用到了权限,控制每个访问路径,实施具体权限,以防没有权限登陆后直接可以输入网址访问 数据库:role(权限表) 注:这个有个坑就是关于“ROLE_”这个的Spring security默认好像是自己添加了“ROLE_”Z,这个前缀的,后面会遇到 Spring security核心类 import org.springframework.beans.factory.annotat...
springboot整合springSecurity入门案例(实现登录,记住我等常用标签使用)
风团团
11-30 569
一,整合进依赖 每个依赖都标了注释,大家可以按照自己需要的来添加,置于配置问件啥的,大家可以参考springboot+mybatisplus+redis整合(附上脚手架完整代码) <!--主要就是加了这个依赖--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-t
Spring Security - 案例
chrismurphy的博客
08-28 370
Spring Security是针对Spring项目的安全框架,也是SpringBoot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理!
SpringSecurity超详解 实战(Springboot+Security+Mysql ) 附源码
weixin_46685039的博客
01-18 1586
SpringSecurity详解 (Springboot+Security+Mysql ) 附源码 对于一个权限管理框架而言,无论是 Shiro 还是 Spring Security,最最核心的功能,无非就是两方面:认证和授权
基于 SpringBootSpring SecurityJWT前后端分离权限管理系统.zip
08-05
一个基于SpringBootSpring SecurityJWT权限管理系统可能包括用户注册、登录、角色管理、权限分配、API接口控制等功能。系统设计时,需要考虑数据库模型、前后端接口设计、异常处理、安全性等多个方面,确保...
SpringBoot + Vue 实现用户名密码登录.zip
11-05
这是一个基础的前后端分离应用实例,主要展示了如何在没有...这个项目为初学者提供了了解前后端分离开发流程和实践SpringBoot与Vue.js协作的一个基础示例,对于理解这两种技术的整合和用户认证机制有很好的学习价值。
Springboot+vue的教学资料管理系统(有报告) Javaee项目,springboot vue前后端分离项目
04-21
这是一个基于Spring Boot和Vue.js构建的教学资料管理系统项目,旨在提供一个完整的JavaEE解决方案,实现前后端分离的开发模式。Spring Boot作为后端框架,提供了快速开发、自动化配置以及集成了大量常用的第三方库,...
一个基于SpringBoot+Vue校园二手交易平台源码.zip
06-17
开发者可以通过定义`@SpringBootApplication`注解启动Spring Boot应用,并通过`@RestController`注解创建RESTful API接口。 2. **Spring Data JPA**: 作为Spring Boot的一部分,Spring Data JPA提供了一种简单的...
基于Springboot+Vue的个人云盘管理系统的设计-毕业源码案例设计(高分毕业设计).zip
最新发布
06-13
安全方面,Spring SecurityJWT(JSON Web Tokens)可能被用来进行用户认证和授权,保护API接口不被非法访问。登录注册功能确保只有合法用户能访问个人云盘,而权限控制则限制了用户对文件的操作范围。 此外,为了...
Spring Security——实现登录跳转登录前页面
无限迭代中......
03-21 7517
基本概念 暂无。 官方文档 https://docs.spring.io/spring-security/site/docs/5.3.1.BUILD-SNAPSHOT/reference/html5/#nsa-form-login API SavedRequestAwareAuthenticationSuccessHandler:身份验证成功策略,可以利用身份验证成功策略,该策略Def...
springsecurity 配置用户登入成功,跳转页面
热门推荐
zhouzhiwengang的专栏
04-29 1万+
@Override protected void configure(HttpSecurity http) throws Exception { // 允许所有用户访问"/"和"/index.html" http.authorizeRequests() .antMatchers("/", "/index.html").permi...
spring boot 自动跳转登录页面_SpringBoot2.0实战(24)整合SpringSecurity之最简登录方法鉴权...
weixin_39812065的博客
11-26 196
目标整合 SpringSecurity 实现最简登陆鉴权及方法鉴权,大致理解 SpringSecurity 的功用。操作步骤添加依赖引入 Spring Boot Starter 父工程添加 springSecurity 的依赖添加后的整体依赖如下编码Controller 层添加一个最简单的测试接口启动类可以看到,除了在 pom 文件加了一个 spring-boot-starter-security...
Springboot解决引入的security安全框架不能跳转到自己登录页面的问题
qq_47916901的博客
06-14 2173
springboot解决security的拦截页面问题
SpringBoot整合SpringSecurity(四) 登录根据用户角色跳转到不同的页面
lyy的博客
01-12 1万+
pring security 做的登录程序,不同角色的用户登录之后,可能会跳转到不同的页面,在默认情况下的配置,都是跳转到同一个页面,因为在 form-login 中设置的 default-target-url 就是登录后应该跳转到的页面。如何使得不同角色的用户登录跳转到不同的页面呢? 至少有两种方法: 1. 方法一, 就在 form-login 的 default-target-url 上做处...
springsecurity登录后依然跳回登录页面的问题
qq_34204490的博客
08-04 6112
一、环境: spring-security 4.0 spring 4.1 二、问题描述: 今天在配置springsecurity时,无论登录密码是否正确均跳转登录首页,原始配置如下 <http auto-config="true"> <intercept-url pattern="/" access="hasRole('ROLE_USER')" /&...
一篇文章带你搞定 SpringSecurity 结合Jwt 实现无状态登录
南淮北安的博客
09-14 1174
前后端分离的项目中,登录策略也有不少,不过 JWT 算是目前比较流行的一种解决方案了,本文就和大家来分享一下如何将 Spring SecurityJWT 结合在一起使用,进而实现前后端分离时的登录解决方案。 文章目录一、无状态登录1. 什么是有状态 ?2. 什么是无状态 ?3. 如何实现无状态 ?二、JWT1. JWT 简介2. JWT 数据格式3. JWT 交互流程4. JWT 存在的问题三、实战 SpringBoot 整合 JWT 一、无状态登录 1. 什么是有状态 ? 有状态服务,即服务端需要
SpringBoot+Vue.js项目中使用Spring Security+JWT实现登录权限控制
Alan-zzx的博客
07-09 6867
目标和需求 我们的目的是在 SpringBoot+Vue.js 这样的前后端分离的项目中增加一个登录权限控制模块。这个模块的需求如下: 包含多个角色,每个角色所具有的权限不同(可以看到不同的菜单和页面) 对整个系统做登录控制,即未登录强制跳转登录页面 登出功能 实现方案: 登录控制使用 Spring Security 框架,登录控制使用 JWT 实现登录成功后使用 JWT 生成 token...
使用SpringBoot+SpringSecurity+JWT 写一个登录认证
03-22
的示例代码。 以下是示例代码: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint unauthorizedHandler; @Bean public JwtAuthenticationFilter authenticationTokenFilterBean() throws Exception { return new JwtAuthenticationFilter(); } @Override public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder .userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } @Bean(BeanIds.AUTHENTICATION_MANAGER) @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and().csrf().disable() .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated(); http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class); } } @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override @Transactional public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username)); return UserPrincipal.create(user); } @Transactional public UserDetails loadUserById(Long id) { User user = userRepository.findById(id).orElseThrow( () -> new ResourceNotFoundException("User", "id", id) ); return UserPrincipal.create(user); } } public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint { private static final Logger logger = LoggerFactory.getLogger(JwtAuthenticationEntryPoint.class); @Override public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException { logger.error("Responding with unauthorized error. Message - {}", e.getMessage()); httpServletResponse.sendError(HttpServletResponse.SC_UNAUTHORIZED, e.getMessage()); } } public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvider; @Autowired private CustomUserDetailsService customUserDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String jwt = getJwtFromRequest(request); if (StringUtils.hasText(jwt) && tokenProvider.validateToken(jwt)) { Long userId = tokenProvider.getUserIdFromJWT(jwt); UserDetails userDetails = customUserDetailsService.loadUserById(userId); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (Exception ex) { logger.error("Could not set user authentication in security context", ex); } filterChain.doFilter(request, response); } private String getJwtFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } public class JwtTokenProvider { private static final Logger logger = LoggerFactory.getLogger(JwtTokenProvider.class); @Value("${app.jwtSecret}") private String jwtSecret; @Value("${app.jwtExpirationInMs}") private int jwtExpirationInMs; public String generateToken(Authentication authentication) { UserPrincipal userPrincipal = (UserPrincipal) authentication.getPrincipal(); Date now = new Date(); Date expiryDate = new Date(now.getTime() + jwtExpirationInMs); return Jwts.builder() .setSubject(Long.toString(userPrincipal.getId())) .setIssuedAt(new Date()) .setExpiration(expiryDate) .signWith(SignatureAlgorithm.HS512, jwtSecret) .compact(); } public Long getUserIdFromJWT(String token) { Claims claims = Jwts.parser() .setSigningKey(jwtSecret) .parseClaimsJws(token) .getBody(); return Long.parseLong(claims.getSubject()); } public boolean validateToken(String authToken) { try { Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(authToken); return true; } catch (SignatureException ex) { logger.error("Invalid JWT signature"); } catch (MalformedJwtException ex) { logger.error("Invalid JWT token"); } catch (ExpiredJwtException ex) { logger.error("Expired JWT token"); } catch (UnsupportedJwtException ex) { logger.error("Unsupported JWT token"); } catch (IllegalArgumentException ex) { logger.error("JWT claims string is empty."); } return false; } } 这是一个使用SpringBootSpringSecurityJWT实现登录认证示例代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值