java前后端分离权限_Spring Security实现前后端分离登录与权限控制

最新推荐文章于 2024-02-06 19:35:57 发布
最新推荐文章于 2024-02-06 19:35:57 发布
阅读量979 收藏 1
点赞数
文章标签: java前后端分离权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42139460/article/details/114621500
版权

通过Security实现前后端分离的登录与权限控制

一、引入Security配置文件

org.springframework.boot

spring-boot-starter-security

二、新建SecurityConfiguration配置类

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.builders.WebSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.security.web.AuthenticationEntryPoint;

import org.springframework.security.web.access.AccessDeniedHandler;

import org.springframework.security.web.authentication.AuthenticationFailureHandler;

import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;

import javax.annotation.Resource;

@Configuration

@EnableWebSecurity

public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

@Resource(name = "UserDetailsServiceImpl")

private UserDetailsService userDetailsService;

@Resource

private PasswordEncoder passwordEncoder;

@Autowired

private AuthenticationSuccessHandler loginSuccessHandler;

@Autowired

private AuthenticationFailureHandler loginFailureHandler;

@Autowired

private AuthenticationEntryPoint authenticationEntryPoint;

@Autowired

private AccessDeniedHandler accessDeniedHandler;

@Autowired

private LogoutSuccessHandler logoutSuccessHandler;

@Override

protected void configure(HttpSecurity httpSecurity) throws Exception {

httpSecurity

.authorizeRequests()

//认证规则

.anyRequest().access("@rbacService.hasPermission(request,authentication)")

.and()

//开启表单登录

.formLogin().loginPage("/login").permitAll()

//登录失败处理

.failureHandler(loginFailureHandler)

//登录成功处理

.successHandler(loginSuccessHandler)

.and()

//没有权限处理

.exceptionHandling().accessDeniedHandler(accessDeniedHandler)

.and()

//未登录处理

.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint)

.and()

//退出成功处理

.logout().logoutSuccessHandler(logoutSuccessHandler).permitAll();

//开启跨域访问

httpSecurity.cors().disable();

//开启模拟请求,比如API POST测试工具的测试,不开启时,API POST为报403错误

httpSecurity.csrf().disable();

}

@Override

public void configure(WebSecurity web) {

//对于在header里面增加token等类似情况,放行所有OPTIONS请求。

web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**");

// web.ignoring().antMatchers("/index.html", "/static/**", "/login_p", "/favicon.ico")

// // 给 swagger 放行;不需要权限能访问的资源

// .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/images/**", "/webjars/**", "/v2/api-docs", "/configuration/ui", "/configuration/security");

}

@Override

protected void configure(AuthenticationManagerBuilder auth) throws Exception {

auth.userDetailsService(userDetailsService)

.passwordEncoder(passwordEncoder);

}

三、实现未登录、登录成功、登录失败、没有权限、退出登录成功时的接口

1、未登录

@Component

public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {

@Autowired

private ObjectMapper objectMapper;

@Override

public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {

httpServletResponse.setContentType("application/json;charset=utf-8");

PrintWriter out = httpServletResponse.getWriter();

//ResponserJSON为自定义的用于返回JSON的类

out.write(objectMapper.writeValueAsString(new ResponseJSON().setUnLoginError()));

out.flush();

out.close();

}

}

2、登录成功

@Component

public class LoginSuccessHandlerImpl implements AuthenticationSuccessHandler {

@Autowired

private ObjectMapper objectMapper;

@Override

public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {

httpServletResponse.setContentType("application/json;charset=utf-8");

PrintWriter out = httpServletResponse.getWriter();

//ResponserJSON为自定义的用于返回JSON的类

out.write(objectMapper.writeValueAsString(new ResponseJSON().setSuccess("登录成功")));

out.flush();

out.close();

}

}

3、登录失败

@Component

public class LogoutSuccessHandlerImpl implements LogoutSuccessHandler {

@Autowired

private ObjectMapper objectMapper;

@Override

public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {

httpServletResponse.setContentType("application/json;charset=utf-8");

PrintWriter out = httpServletResponse.getWriter();

//ResponserJSON为自定义的用于返回JSON的类

out.write(objectMapper.writeValueAsString(new ResponseJSON().setSuccess("注销成功")));

out.flush();

out.close();

}

}

4、没有权限

@Component

public class AccessDeniedHandlerImpl implements AccessDeniedHandler {

@Autowired

private ObjectMapper objectMapper;

@Override

public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {

httpServletResponse.setContentType("application/json;charset=utf-8");

PrintWriter out = httpServletResponse.getWriter();

//ResponserJSON为自定义的用于返回JSON的类

out.write(objectMapper.writeValueAsString(new ResponseJSON().setError("没有权限")));

out.flush();

out.close();

}

}

5、退出登录成功

@Component

public class LogoutSuccessHandlerImpl implements LogoutSuccessHandler {

@Autowired

private ObjectMapper objectMapper;

@Override

public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {

httpServletResponse.setContentType("application/json;charset=utf-8");

PrintWriter out = httpServletResponse.getWriter();

//ResponserJSON为自定义的用于返回JSON的类

out.write(objectMapper.writeValueAsString(new ResponseJSON().setSuccess("注销成功")));

out.flush();

out.close();

}

}

四、实现UserDetail接口

import lombok.Data;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.stereotype.Component;

import java.util.Collection;

@Component

@Data

//@Data为lombok的注解

public class User implements UserDetails {

//用户名

private String username;

//密码

private String password;

//非必须,根据需求可以定义更多的字段

private String phone;

private Collection extends GrantedAuthority> authorities;

public void setUsername(String username) {

this.username = username;

}

public void setPassword(String password) {

this.password = password;

}

public void setAuthorities(Collection extends GrantedAuthority> authorities) {

this.authorities = authorities;

}

@Override

public Collection extends GrantedAuthority> getAuthorities() {

return this.authorities;

}

@Override

public String getPassword() {

return this.password;

}

@Override

public String getUsername() {

return this.username;

}

@Override

public boolean isAccountNonExpired() {

return true;

}

@Override

public boolean isAccountNonLocked() {

return true;

}

@Override

public boolean isCredentialsNonExpired() {

return true;

}

@Override

public boolean isEnabled() {

return true;

}

}

五、实现UserDetailService接口

@Component("UserDetailsServiceImpl")

public class UserDetailsServiceImpl implements UserDetailsService {

//获取数据库中的user相关数据,自行设计

@Resource

private UserMapper userMapper;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

String password = userMapper.getPassword(username);

if (StringUtils.isBlank(password)){

throw new UsernameNotFoundException("账号不存在!");

}

User myUserDetail = new User();

myUserDetail.setUsername(username);

myUserDetail.setPassword(password);

return myUserDetail;

}

}

此类的作用是获取传入的username对应的密码,可以根据实际情况进行修改,账号不存在时可抛出UsernameNotFoundException异常

实现PasswordEncode接口

@Component

public class PasswordEncoderImpl implements PasswordEncoder {

@Override

public String encode(CharSequence charSequence) {

return charSequence.toString();

}

@Override

public boolean matches(CharSequence charSequence, String s) {

return encode(charSequence).equals(s);

}

}

此类主要用于对密码的加密以及与数据库中的密码进行比对,如果想要偷懒,也可以使用官方的NoOpPasswordEncoder(不推荐)类或BCryptPasswordEncoder类 ,使用方法为将SecurityConfiguration中的authenticationProvider方法的

authenticationProvider.setPasswordEncoder(passwordEncoder);

改为

authenticationProvider.setPasswordEncoder(NoOpPasswordEncoder.getInstance());

Spring5后强制要求密码不能明文传输,NoOpPasswordEncoder(不推荐)类为不加密的实现类,不安全,不推荐使用,可以使用Spring Security 中提供了BCryptPasswordEncoder密码编码工具

六、权限控制

通过编写自定义的service对权限进行控制

public interface RbacService {

boolean hasPermission(HttpServletRequest request, Authentication authentication);

}

@Component("rbacService")

public class RbacServiceImpl implements RbacService {

private AntPathMatcher antPathMatcher = new AntPathMatcher();

@Resource

private UserMapper userMapper;

@Override

public boolean hasPermission(HttpServletRequest request, Authentication authentication) {

Object principal = authentication.getPrincipal();

boolean hasPermission = false;

if (principal instanceof UserDetails) { //首先判断先当前用户是否是我们UserDetails对象。

String userName = ((UserDetails) principal).getUsername();

//连接数据库获取用户有权限的url,根据业务自行修改

List urls = userMapper.getMenuByUserName(userName);

// 注意这里不能用equal来判断,因为有些URL是有参数的,所以要用AntPathMatcher来比较

for (String url : urls) {

if (antPathMatcher.match(url, request.getRequestURI())) {

hasPermission = true;

break;

}

}

}

return hasPermission;

}

}

编写完后通过在SecurityConfiguation中添加如下代码实现权限控制

.anyRequest().access("@rbacService.hasPermission(request,authentication)")

悦微评剧
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 实现登录接口,Spring Security登录接口实现
weixin_31623707的博客
03-20 778
需要先增加一个自定义的Filter去继承 UsernamePasswordAuthenticationFilter 或者 AbstractAuthenticationProcessingFilter然后在自定义的Filter里面指定登录的Url . 设置过滤器的时候,必须为过滤器指定一个 authenticationManager ,并且初始化构造函数的时候,要传入该manager.再编写一个Pr...
spring security 在同一个浏览器登录不同账号_Spring Security5集成 OIDC 单点登录指南...
weixin_34297863的博客
01-25 770
本文以 Spring 生态中用于提供认证及访问权限控制Spring Security 5 为例,详细介绍 Spring Security 5 如何接入 Authing OIDC。Spring Security 是一个提供安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Co...
java前后端分离登录认证_SpringBoot Security前后端分离登录验证的实现
weixin_33761747的博客
02-27 913
最近一段时间在研究OAuth2的使用,想整个单点登录,从网上找了很多demo都没有实施成功,也许是因为压根就不懂OAuth2的原理导致。有那么几天,越来越没有头绪,又不能放弃,转过头来一想,OAuth2是在Security的基础上扩展的,对于Security自己都是一无所知,干脆就先研究一下Security吧,先把Security搭建起来,找找感觉。说干就干,在现成的SpringBoot 2.1....
SpringSecurity+vue实现前后端分离实现登录注册退出
a4215dr的博客
08-13 2865
需要有Security vue mybatis-plus redis mysql jwt等基础
(十三)springboot实战——springboot前后端分离方式项目集成spring securtity安全框架
厉害哥哥的博客
02-06 1426
Spring Security 是一款强大且高度可定制的认证和访问控制框架,它是为了保护基于Spring的应用程序提供安全性支持。Spring Security 提供了全面的安全服务,主要针对企业级应用程序的需求。其核心组件主要包含:Authentication(认证)、Authorization(授权)、Principal(主体)、Granted Authority(授予的权限)、Security Context(安全上下文),可提供方法级别的权限认证。其底层主要通过Filter拦截器实现,关于其实现原理
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 2380
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring security 实现前后端分离登录拦截器及用户权限控制
zzq的博客
11-22 1万+
目录 前言 一、准备工作 1.1、设计数据库(我的工程目录中的sql文件夹下有sql文件直接导入即可) 二、代码实现 2.1、数据操作 2.2、自定义登录逻辑 2.2.1、创建自定义UserDetailsService 2.2.2、自定义的密码加密类 2.3、自定义登录验证结果、登出结果、无权访问处理器 2.3.1、自定义登录成功处理器 2.3.2、自定义登录失败处理器 2...
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目...
基于SpringBoot的前后端分离权限管理系统源码(附数据库+项目说明).zip
12-18
基于SpringBoot的前后端分离权限管理系统源码(附数据库+项目说明).zip 【技术栈】 后端采用Spring Boot、Spring Security、Redis & Jwt。 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式...
SpringBoot+Security+Vue前后端分离开发权限管理系统
06-19
等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring?Boot2MVC框架?开发的一站式解决方案Spring?Security5?认证和授权框架MyBatisPlus...
JAVA著名免费框架若依前后端分离项目详细部署文档
08-21
后端采用Spring Boot、Spring Security、Redis & Jwt。 权限认证使用Jwt,支持多终端认证系统。 支持加载动态权限菜单,多方式轻松权限控制。 高效率开发,使用代码生成器可以一键生成前后端代码。)
基于SpringBoot,Spring Security,Vue Element 的前后端分离权限管理系统
最新发布
04-08
可以用于毕业设计(项目源码+项目说明)目前在window10/11测试环境一切正常,用于演示的图片和部署教程说明都在压缩包里
SpringSecurity登录权限控制
一点博客
06-22 231
1. 继上一篇SpringSecurity登录拦截后,本篇继续讲如何使不同的账户角色,有不同的访问权限。 2.在SpringSecurityConfig类中再添加一个账户,具有USER权限,代码如下: @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { ...
SpringSecurity权限管理的详细使用
qq_45105989的博客
10-30 1774
SpringSecurity的框架搭建、详细使用及使用细节。
Spring安全权限管理(Spring Security
阿布客栈
06-17 4万+
1.Spring Security简要介绍Spring Security以前叫做acegi,是后来才成为Spring的一个子项目,也是目前最为流行的一个安全权限管理框架,它与Spring紧密结合在一起。Spring Security关注的重点是在企业应用安全层为您提供服务,你将发现业务问题领域存在着各式各样的需求。银行系统跟电子商务应用就有很大的不同。电子商务系统与企业销售自动化工具又有很
解决:Spring Security跨域问题
学习使我快乐_玉祥
12-27 2528
在你的如下类中 @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) // 启用方法级别的权限认证 public class SecurityConfig extends WebSecurityConfigurerAdapter { } 加入如下方法: @Bean CorsConfigurationSource corsConfigurationSource()
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_54849806的博客
08-02 5781
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
springboot前后端分离权限原理浅谈
凡江林的博客
02-05 883
1. 需求描述 最近在梳理springboot前后端分离后的权限管理问题。前段时间,已经把shiro的实现spring security实现进行了初步的了解。如果深入细节,一个篇幅怕是不够。本文仅对权限管理的一些通用原理进行探讨。 2. 权限分类 在前后端分离之后,对于权限方面,主要存在两方面的权限:(1)前端页面访问权限,(2)后台接口访问权限。下面分别以页面权限和接口权限两个方面展开讨论。 3. 页面权限管理 页面权限管理,即前端的不同页面需要不同的页面访问权限,比如,某一个页面A,需要超级管理员
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
05-14
SpringBoot和Vue前后端分离的解决方案是非常常见的,而SpringSecurity则是SpringBoot中处理权限问题的最佳解决方案之一。下面介绍一下如何使用SpringSecurity完美处理权限问题。 1. 引入SpringSecurity依赖 在pom.xml中引入SpringSecurity依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置SpringSecuritySpringBoot应用中,可以通过继承WebSecurityConfigurerAdapter类来配置SpringSecurity,代码如下: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserService customUserService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/", "/index").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin().loginPage("/login").defaultSuccessUrl("/home").permitAll() .and() .logout().logoutUrl("/logout").logoutSuccessUrl("/login").permitAll(); } @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(customUserService).passwordEncoder(new BCryptPasswordEncoder()); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/static/**"); } } ``` 3. 自定义用户认证 在上面的代码中,我们使用了自定义的用户认证服务CustomUserService。CustomUserService实现了UserDetailsService接口,代码如下: ```java @Service public class CustomUserService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("用户名不存在!"); } List<GrantedAuthority> authorities = new ArrayList<>(); for (Role role : user.getRoles()) { authorities.add(new SimpleGrantedAuthority(role.getName())); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities); } } ``` 在上面的代码中,我们使用了自定义的UserRepository来获取用户信息,然后将用户的角色转换成GrantedAuthority对象,返回给SpringSecurity。 4. 在Vue中处理权限问题 在Vue中,我们可以通过Vue Router的导航守卫来处理权限问题。代码如下: ```javascript import router from './router' import store from './store' router.beforeEach((to, from, next) => { if (to.meta.requireAuth) { // 判断该路由是否需要登录权限 if (store.state.token) { // 获取当前的token是否存在 next() } else { next({ path: '/login', query: {redirect: to.fullPath} // 将跳转的路由path作为参数,登录成功后跳转到该路由 }) } } else { next() } }) ``` 在上面的代码中,我们通过store来获取当前用户的token,如果token存在则允许访问,否则跳转到登录页面。 以上就是使用SpringSecurity处理权限问题的完整解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值