spring boot security 不拦截_SpringBoot服务整合安全认证Security

最新推荐文章于 2024-05-21 14:51:14 发布
最新推荐文章于 2024-05-21 14:51:14 发布
阅读量1k 收藏
点赞数
文章标签: spring boot security 不拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39646658/article/details/113318461
版权
0a4ed2215e41b4a9bf5fad368e33951d.png

前言

有这么个需求:客户端不能直接访问后端服务,需经过网关进行权鉴及安全认证后在将请求转发到后端。但如果开发人员过用户知道后端地址这个时候完全可以跳过网关服务直接请求到后端,这样后端服务就会承受安全风险,这个时候我们就要用到Spring Security。

5a8e71b98a7a035c588244be6f8b6463.png

Spring Security简介

Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。

d4bf1f3a7a44afdb19f6c929ec0bd3cd.png

SpringBoot集成Security

这里我们将Security单独建立为一个核心微服务:microservice-security,这样其他后端微服务执行引入这个jar就可以实现安全认证。

pom我们导入如下jar:

org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-security org.springframework.boot spring-boot-starter-data-couchbase

同时我们编写WebSecurityConfig类,该类继承WebSecurityConfigurerAdapter,现通过以下方法可配置拦截URL,配置忽略认证地址及设置什么权限等安全控制。

@Configuration@EnableWebSecuritypublic class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) { String[] antPatterns = new String[] { /** 忽略异步推送地址权鉴 */ "/v1/notifyUrl", "/v1/faceLite/gainResultAndReturnUrl" }; /**忽略auth认证URL*/ web.ignoring().antMatchers(antPatterns); } @Override protected void configure(HttpSecurity http) throws Exception { /**表示所有的访问都必须进行认证处理后才可以正常进行*/ http.httpBasic().and().authorizeRequests().anyRequest().fullyAuthenticated(); /**所有的Rest服务一定要设置为无状态,以提升操作性能*/ http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.csrf().disable(); }}

配置application-security.yml,设置安全认证密码:

spring: security: user: name: wxt12138 password: wxt12138 roles: - USER - ACTUATOR

通过上述三步我们编写提供端微服务并引入microservice-security,注意提供端微服务application.yml配置需要引入security的配置文件:

spring: profiles: include: - security

此时我们直接访问提供端服务会出现401异常。

{ "timestamp": "2019-12-03T16:46:59.961+0000", "status": 401, "error": "Unauthorized", "message": "Unauthorized", "path": "/xxx/xxx"}

此时我们的安全认证是已经生效,这时我们还需要配置gateway网关服务,网关服务中实现OAuth授权。相关代码片段如下:

@Componentpublic class OAuthSignatureFilter implements GlobalFilter, Ordered { /**授权访问用户名*/ @Value("${spring.security.user.name}") private String securityUserName; /**授权访问密码*/ @Value("${spring.security.user.password}") private String securityUserPassword; /**OAuth过滤器*/ @Override public Mono filter(ServerWebExchange exchange, GatewayFilterChain chain) { /**oauth授权*/ String auth = securityUserName.concat(":").concat(securityUserPassword); String encodedAuth = null; try { encodedAuth = Base64Utils.encode(auth.getBytes(Charset.forName("US-ASCII"))); } catch (UnsupportedEncodingException e) { MySlf4j.textError("BASE64编码异常:{0}",MySlf4j.ExceptionToString(e)); } String authHeader = "Basic " + encodedAuth; //向headers中放授权信息 ServerHttpRequest serverHttpRequest = exchange.getRequest().mutate().header("Authorization", authHeader) .build(); //将现在的request变成change对象 ServerWebExchange build = exchange.mutate().request(serverHttpRequest).build(); return chain.filter(build); } /**优先级,数字越大优先级越低 */ @Override public int getOrder() { return 3; }}

至此我们完成了SpringBoot服务的权限认证。

weixin_39646658
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity拦截接口_SpringBoot集成Spring Security入门体验
weixin_31976493的博客
01-25 2528
一、前言Spring Security 和 Apache Shiro 都是安全框架,为Java应用程序提供身份认证和授权。二者区别Spring Security:重量级安全框架Apache Shiro:轻量级安全框架关于shiro的权限认证与授权可参考小编的另外一篇文章 : SpringBoot集成Shiro 实现动态加载权限二、SpringBoot集成Spring Security入门体验基本环...
springsecurity拦截接口_一文详解Spring Security基于表单登录的认证模式
weixin_34688479的博客
01-25 1886
本文思维导图图1 思维导图原理探讨当我们在项目中引入 Spring Security 的相关依赖后,默认的就是表单登录形式;俗话说:“听人劝,吃饱饭”,既然 Spring Security 已经给我们安排的明明白白了,我们就从表单登录开始吧。在开始之前,我们可以站在 Spring Security 的角度上思考:如果我自己来实现表单登录的功能,那么我需要做哪些工作呢?就我个人而言,我可能会考虑以下...
spring security 动态不拦截指定请求
liu_xue_xue的专栏
07-15 8860
方法一、简单配置 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override public void configure(WebSecurity web) throws Exception { //ignore web.ignoring().antMatchers("/info","/css","/html"); }
一个注解搞定Spring Security 忽略拦截
小魏的奇妙世界
12-20 4356
一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
本地调试跳过Spring Security权限校验
最新发布
努力搬砖,顶峰相见
05-21 284
项目中使用安全框架,例如使用Spring Security进行安全校验。但是在日常开发中,本地接口调试还要拿取token才能进行接口访问,并且token还会过期,总不能每次都去登录拿取token才能调试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。下面就是如何暂时规避掉安全校验,方便我们的本地测试。
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2243
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
springboot - 2.7.3版本 - (九)整合security
10-12
Spring Boot的世界里,Spring Security是一个强大的且高度可配置的安全框架,用于处理应用程序的认证与授权。本教程将聚焦于Spring Boot 2.7.3版本中的Spring Security整合,帮助你理解如何设置和使用它来保护你的...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
总的来说,这个项目展示了如何结合Spring BootSpring Security和JWT来实现一个安全的登录认证系统,以及如何利用MyBatisPlus简化数据库操作。通过这个实现,开发者可以快速构建一个安全的、基于令牌的Web服务,为...
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringBoot以其简化Spring应用的初始搭建以及开发过程而受到广大开发者喜爱,而SpringSecurity则是一个强大的安全框架,为Web应用程序提供了全面的安全服务。在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
总的来说,Spring Boot + Spring Security + JWT的组合提供了一个强大且可扩展的用户认证和权限管理系统,适用于各种现代Web应用。在实际开发中,根据项目需求,可能还需要考虑如密码加密、刷新令牌、多因素认证等...
Spring_bootSpring_Security4整合
07-24
Spring BootSpring Security 整合是现代Java应用中常见的安全框架集成方式,尤其适用于快速开发微服务架构。Spring Boot 提供了简化配置、快速启动的应用程序开发方式,而 Spring Security 是一个强大的安全管理...
springboot + 拦截器 + 注解 实现自定义权限验证
weixin_48747363的博客
05-22 575
springboot + 拦截器 + 注解 实现自定义权限验证
SpringSecurity 免密登录方法
weixin_38982591的博客
01-29 1939
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
http请求header中包含中文字符时,Spring Security识别为乱码并拦截报错
qq_38803651的博客
11-17 2699
根据报错堆栈信息可以定位到是StrictHttpFirewall类的validateAllowedHeaderValue方法报的错。请求头中的cookie包含有中文字符,而spring security的默认字符集不识别中文,导致验证报错。对字段的校验总返回true,即可解决。
【MS】微服务调用时,开放某个接口设置不需要oauth2 认证即可访问
热门推荐
唐伯虎点纹香的博客
08-22 1万+
服务调用时,开放某个接口设置不需要oauth2 认证即可访问 目标 是把不需要认证的接口给资源服务permitAll 思路 创建一个自定义的注解 把所有带注解的URL给资源服务permitAll 1、创建不鉴权注解@AuthIgnore /** * @author czx * @title: AuthIgnore * @projectName ms * @description:...
spring boot 关闭默认的spring security
m0_67390969的博客
03-23 1937
spring boot 和activiti集成的时候,关闭默认开启的security。 package com; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.web.servlet.ServletComponentScan; import org.s
springsecurity拦截某个接口_SpringSecurity 默认表单登录页展示流程源码
weixin_39554290的博客
11-26 1616
SpringSecurity 默认表单登录页展示流程源码本篇主要讲解 SpringSecurity提供的默认表单登录页 它是如何展示的的流程,涉及1.FilterSecurityInterceptor,2.ExceptionTranslationFilter ,3.DefaultLoginPageGeneratingFilter 过滤器,并且简单介绍了 AccessDecisionManager ...
springboot整合springsecurity实现登录认证和数据权限管理
05-18
Spring Boot整合Spring Security可以实现登录认证和数据权限管理。下面是简单的步骤: 1. 添加依赖 在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security 在主配置类中添加@EnableWebSecurity注解,开启Spring Security,并且创建一个继承自WebSecurityConfigurerAdapter的配置类,用于配置Spring Security。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // 配置登录页面和登录请求的路径 http.formLogin() .loginPage("/login") .loginProcessingUrl("/login") .defaultSuccessURL("/home") .and() // 配置退出登录的路径和跳转页面 .logout() .logoutUrl("/logout") .logoutSuccessUrl("/login") .and() // 配置拦截规则 .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() // 关闭CSRF保护 .csrf().disable(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { // 配置用户信息和密码加密方式 auth.inMemoryAuthentication() .passwordEncoder(new BCryptPasswordEncoder()) .withUser("admin") .password(new BCryptPasswordEncoder().encode("admin")) .roles("ADMIN"); } } ``` 3. 配置数据权限管理 如果需要实现数据权限管理,可以在配置类中添加一个实现了FilterInvocationSecurityMetadataSource接口的类,用于获取当前请求所需的权限信息,并且在配置类中添加一个实现了AccessDecisionManager接口的类,用于判断当前用户是否有访问该资源的权限。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomFilterInvocationSecurityMetadataSource customFilterInvocationSecurityMetadataSource; @Autowired private CustomAccessDecisionManager customAccessDecisionManager; @Override protected void configure(HttpSecurity http) throws Exception { // 配置拦截规则 http.authorizeRequests() .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { @Override public <O extends FilterSecurityInterceptor> O postProcess(O object) { object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource); object.setAccessDecisionManager(customAccessDecisionManager); return object; } }) .and() // 关闭CSRF保护 .csrf().disable(); } } ``` 参考资料: 1. Spring Security官方文档:https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/ 2. Spring Boot整合Spring Security实现登录认证和数据权限管理:https://www.jianshu.com/p/04d848c9cb8d

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值