java 鉴权_「快学springboot」集成Spring Security实现鉴权功能

最新推荐文章于 2023-06-28 09:44:28 发布
最新推荐文章于 2023-06-28 09:44:28 发布
阅读量242 收藏 1
点赞数
文章标签: java 鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39768371/article/details/114470582
版权

Spring Security介绍

Spring Security是Spring全家桶中的处理身份和权限问题的一员。Spring Security可以根据使用者的需要定制相关的角色身份和身份所具有的权限,完成黑名单操作、拦截无权限的操作等等。

本文将讲解Springboot中使用spring security。

引入依赖

org.springframework.boot

spring-boot-starter-security

由于SpringBoot的自动配置的特性,引入了Spring Security依赖之后,已经默认帮我们配置了。不信,现在访问应用的根目录:

e719a6df1362e43b298ba135aa7c6aa8.png

居然跳到了一个登陆页面,我们什么都没有写呀。我们把spring security的依赖去掉,重启应用,然后再次访问根目录:

96612479945143b1a9eaed5aa3ec4a9a.png

这次,熟悉的页面出来了。其实这就是Springboot的魅力之处——自动配置。我们只是引入了Spring Security的依赖,就自动帮我们配置完了。

默认账号密码

我们可以通过SecurityProperties的源码查看,其默认账号是user,密码是启动的时候随机生成的,可以在日志里找到:

bd8b82c15b8e262873770a7b49195640.png

66a824e975dcdf2ef50152fcd541028b.png

修改默认账号密码

我们可以通过配置文件修改Spring Security的默认账号密码,如下:

spring.security.user.name=happyjava

spring.security.user.password=123456

springboot1.x版本为:

security.user.name=admin

security.user.password=admin

如果是一个普通的个人网站,如个人博客等。配置到这一步,已经可以充当一个登陆控制模块来使用了(当然还需要配置不需要登陆就可以访问的url)。

使用Spring Security定制化鉴权模块

虽然默认已经帮我们实现了一个简单的登陆认证模块,但是在实际开发中,这还是远远不够的。比如,我们有多个用户,有多中角色等等。一切,还是需要手动来开发。下面就一步一步来使用Spring Security:

配置不需要登陆的路径

我们当然需要配置不需要登陆就能访问的路径啦,比如:登陆接口(不然你怎么访问)。

有如下接口:

b1a29daa3400cb906278030e22516b30.png

新建SecurityConfig,然后配置拦截的路径,配置路径白名单:

/**

* @author Happy

*/

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Bean

public PasswordEncoder passwordEncoder() {

return new BCryptPasswordEncoder();

}

@Override

protected void configure(HttpSecurity httpSecurity) throws Exception {

httpSecurity.antMatcher("/api/**")

.authorizeRequests()

.antMatchers("/api/notneedlogin/**").permitAll()

.anyRequest().authenticated();

}

}

排版乱请看图片版

bbaa4d08c47d8c721bee4b26d26c4395.png

通过antMatchers("url").permitAll()方法,配置了/api/notneedlogin/**路径会被Spring Security放行。

启动项目验证下:

7bc773f84489d8e2260e87797f285031.png

需要登陆的接口拦截了返回403.

422bbb041f9769f9c168a0e492992e37.png

配置了白名单的路径成功的获取到了数据。

其实,这个时候已经可以拿来当做一个普通个人网站的权限验证模块了,比如个人博客什么的。

抛弃默认配置,自定义鉴权方式

很多时候,我们都需要自定义鉴权方式啦。比如,我不用session来鉴权了,改用无状态的jwt方式(json web token)。这时候,我们就要对Spring Security进行定制化了。

首先,我们需要创建UserDetails的实现,这个就是Spring Security管理的用户权限对象:

11f1c00b0890414a23b4df057ecca8ef.png

@Data

@AllArgsConstructor

@NoArgsConstructor

public class AdminUser implements UserDetails {

private String username;

@Override

@SuppressWarnings("unchecked")

public Collection extends GrantedAuthority> getAuthorities() {

// 这里可以定制化权限列表

return Collections.EMPTY_LIST;

}

@Override

public String getPassword() {

return null;

}

@Override

public String getUsername() {

return username;

}

@Override

public boolean isAccountNonExpired() {

// 这里设置账号是否已经过期

return true;

}

@Override

public boolean isAccountNonLocked() {

// 这里设置账号是否已经被锁定

return true;

}

@Override

public boolean isCredentialsNonExpired() {

// 这里设置凭证是否过期

return true;

}

@Override

public boolean isEnabled() {

// 是否可用

return true;

}

}

其次,我们还需要一个过滤器,拦截请求判断是否登陆,组装UserDetails:

AuthFilter.class

@Component

public class AuthFilter extends OncePerRequestFilter {

@Autowired

private UserDetailsServiceImpl userDetailsService;

@Override

protected void doFilterInternal(HttpServletRequest request,

HttpServletResponse response, FilterChain filterChain)

throws ServletException, IOException {

String username = (String) request.getSession().getAttribute("username");

if (username != null && !"".equals(username)) {

UserDetails userDetails = userDetailsService.loadUserByUsername(username);

if (userDetails != null && userDetails.isEnabled()) {

UsernamePasswordAuthenticationToken authenticationToken =

new UsernamePasswordAuthenticationToken(userDetails,

null, userDetails.getAuthorities());

// 把当前登陆用户放到上下文中

authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(

request));

SecurityContextHolder.getContext().setAuthentication(authenticationToken);

} else {

// 用户不合法,清除上下文

SecurityContextHolder.clearContext();

}

}

filterChain.doFilter(request, response);

}

}

2c6bfe57519dbc30fb01ff95b38e6b78.png

这个过滤器里的userDetailsService,是Spring Security加载UserDetails的一个接口,代码如下:

f7c69e3d91b3c1bd564b18d49cce290b.png

它只有一个根据用户名加载当前权限用户的方法,我的实现如下:

@Service

public class UserDetailsServiceImpl implements UserDetailsService {

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

// MOCK 模拟从数据库 根据用户名查询用户

AdminUserEntity adminUser = new AdminUserEntity(1, "happyjava", "123456");

// 构建 UserDetails 的实现类 => AdminUser

return new AdminUser(adminUser.getUsername());

}

}

MOCK这里,需要用户真正的去实现,我这里只是演示使用。其中AdminUserEntity代码如下:

@Data

@NoArgsConstructor

@AllArgsConstructor

public class AdminUserEntity {

private Integer id;

private String username;

private String password;

}

到这里,已经完成了Spring Security的整套配置了。

测试

下面通过三个接口,测试配置是否生效:

16fdc1fcb078e804bcbb2174a5f9aebf.png

增加了一个登陆接口,模拟真实用户登陆。其中,needLogin接口,使用了AuthenticationPrincipal注解来获取Spring Security中上下文的用户(这个实在Filter里面设置的)。

未登陆状态,访问test1接口:

2bf45bc2e44675f805b97ac1aee27140.png

直接被拦截掉了,调用登录接口:

350555d6f0dfe7c36a862a648de263a4.png

再次访问:

3f563e0c843f23edd01016466c4c216e.png

成功请求到了接口。

无状态jwt鉴权

本文演示的是使用session来完成鉴权的。使用session来做登录凭证,一个很大的痛点就是session共享问题。虽然springboot解决session共享就几个配置的问题,但终究还是得依赖别的服务,这是有状态的。

现在流行一种使用加密token的验证方式来鉴权,本人在项目中也是使用token的方式的(jjwt)。其主要做法就是,用户调用登陆接口,返回一串加密字符串,这串字符串里面包含用户名(username)等信息。用户后续的请求,把这个token带过来,通过解密的方式验证用户是否拥有权限。

80cdbb3de9de51b6ba352faa2f5ca4be.png

总结

本文讲解了使用Spring Security来做鉴权框架,Spring Security配置起来还是挺繁琐的,但是配置完成之后,后续的获取上下文用户注解什么的,是真的方便。我把代码放到GitHub上,方便大家下载直接复制使用,地址如下:https://github.com/Happy4Java/SpringSecurityDemo

weixin_39768371
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java token身份认证,基于Spring Security Token的身份验证
weixin_35863455的博客
02-16 313
I have a rest api where I am authenticating using spring security Basic Authorization where client sends username and password for each request.Now, I wanted to implement token based authentication wh...
学习笔记(二):Token鉴权实现
qq_49111986的博客
03-31 1295
上次总结了有关Token鉴权的理论知识,本次内容学习了将jwt、shiro、redis整合,实现token的自动刷新和可控性。
java实现建权授权_spring-security实现token授权
weixin_39979245的博客
03-08 362
在我的用户密码授权文章里介绍了spring-security的工作过程,不了解的同学,可以先看看用户密码授权这篇文章,在用户密码授权模式里,主要是通过一个登陆页进行授权,然后把授权对象写到session里,它主要用在mvc框架里,而对于webapi来说,一般不会采用这种方式,对于webapi来说,一般会用jwt授权方式,就是token授权码的方式,每访问api接口时,在http头上带着你的toke...
springsecurity依赖删除后,依然起作用
weixin_42180169的博客
08-28 625
pom文件取消依赖,记得reload,要不不生效
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9669
springboot整合springsecurity实现用户登录认证和鉴权
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
最新发布
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
springboot-oauth:Spring boot 2 + Spring security 5 实现 SSO + OAuth认证
05-01
Spring Boot集成Spring security OAuth2事例 oauth:认证服务器、资源服务器 client-1:资源服务器,与oauth实现SSO client-2:资源服务器,使用RemoteTokenServices进行token验证(无法同时使用SSO和OAuth来保护...
doorkeeper:开源认证鉴权平台,用于应用用户注册,认证,授权,鉴权管理
03-18
用生成的目录介绍 doorkeeper是一个可扩展的权限认证管理平台,可以在此平台上快速调用权限管理,(不是认证授权框架Shiro \ Spring Security),但可以集成认证授权框架一起使用。这是一个独立的权限配置管理服务的...
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 7904
SpringSecurity整合基础
SpringBoot项目的 4 种鉴权方案
程序员闪充宝
10-22 2958
大家好,我是宝哥!‍最近在重构公司以前产品的前端代码,摈弃了以前的session-cookie鉴权方式,采用token鉴权,忙里偷闲觉得有必要对几种常见的鉴权方式整理一下。目前我们常用的鉴权有四种:HTTP Basic Authenticationsession-cookieToken 验证OAuth(开放授权)一.HTTP Basic Authentication这种授权方式是浏览器遵守http...
javaspringboot spring security + JWT鉴权
heguu的博客
05-28 445
一些理解,不一定正确 请求通过API,进入Basic Authentication Filter,在这里拿到token,解析token,拿到username和password,将用户输入的用户名密码进行封装,并提供给 AuthenticationManager.authenticate()进行验证,验证成功后,返回一个认证成功的UsernamePasswordAuthenticationToken(Authentication)对象,然后放在security的context中,继续过滤链。 如果没有tok
Spring Boot 项目鉴权的 4 种方式
m0_71777195的博客
03-30 333
最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不明显,但感觉自己抹掉了 java、Tomcat、Spring 一直挡在我眼前的一层纱。对它们的理解上了一个新的层次。好久没输出了,于是挑一个方面总结一下,希望在梳理过程中再了解一些其他的东西。由于 Java 繁荣的生态,下面每一个模块都有大量的文章专门讲述。所以我选了另外一个角度,从实际问题出发,将这些分散的知识串联起来,各位可以作为一个综述来看。
SpringBoot:整合SpringSecurity
燕双嘤
04-25 1469
为了提供安全的机制,Spring提供了其安全框架Spring Security,它是一个能够为基于Spring生态圈,提供安全访问控制解决方案的框架。它提供了一组可以在Spring应用上下文中配置的机制,充分利用了Spring的强大特性,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
超详细——SpringBoot整合Spring Security
椿尼的博客
02-26 907
简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。 SpringBoot底层默认的安全框架技术选型就是Spring Security,我们只需要简单的配置即可实现安全管理。 特征 全面和可扩展的身份验证和授权支持 防御会话固定,
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2642
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
java token身份认证_java – 基于Spring Security Token的身份验证
weixin_34194499的博客
02-13 318
以下是我能够实现基于令牌的身份验证和基本身份验证的方法SpringSecurityConfig.java@Configuration@EnableWebSecuritypublic class SecurityConfig extends WebSecurityConfigurerAdapter{@Overridepublic void configure(final Authentication...
狂神说SpringBoot18:集成SpringSecurity
热门推荐
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
Springboot 集成 Spring Security后 如何使用Spring Security鉴权
09-16
Spring Boot中集成Spring Security后,可以通过以下步骤使用Spring Security进行鉴权: 1. 添加依赖:在pom.xml文件中添加Spring Security的依赖。 ```xml <groupId>org.springframework.boot <artifactId>...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值