Spring Security 简记

最新推荐文章于 2021-10-24 10:30:25 发布
最新推荐文章于 2021-10-24 10:30:25 发布
阅读量159 收藏
点赞数
文章标签: java jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42313246/article/details/110207027
版权

仅供自己所需,绝大多数参考 https://blog.csdn.net/larger5/article/details/81063438

部分参考 https://blog.csdn.net/ech13an/article/details/80779973

 

我这个是没用自带的登录方法,因此登录成功的操作是在我自己写的接口里的,如果使用了框架带的,就是在注释为:登录成功的地方设置操作

package com.example.entry.security.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
public class SpringSecurityConf extends WebSecurityConfigurerAdapter {

    @Autowired
    AjaxAuthenticationEntryPoint authenticationEntryPoint;  //  未登陆时返回 JSON 格式的数据给前端(否则为 html)

    @Autowired
    AjaxAuthenticationSuccessHandler authenticationSuccessHandler;  // 登录成功返回的 JSON 格式数据给前端(否则为 html)

    @Autowired
    AjaxAuthenticationFailureHandler authenticationFailureHandler;  //  登录失败返回的 JSON 格式数据给前端(否则为 html)

    @Autowired
    AjaxLogoutSuccessHandler logoutSuccessHandler;  // 注销成功返回的 JSON 格式数据给前端(否则为 登录时的 html)

    @Autowired
    AjaxAccessDeniedHandler accessDeniedHandler;    // 无权访问返回的 JSON 格式数据给前端(否则为 403 html 页面)

    @Autowired
    SelfUserDetailsService userDetailsService; // 自定义user

    @Autowired
    JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter; // JWT 拦截器

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 加入自定义的安全认证
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    /**
     * 密码加密
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .cors().and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 使用 JWT,关闭token
                .and()
                .httpBasic().authenticationEntryPoint(authenticationEntryPoint)
                .and()
                .authorizeRequests()
                // 放行公共资源与登录接口
                .antMatchers("/swagger-ui.html/**").permitAll()
                .antMatchers("/webjars/**").permitAll()
                .antMatchers("/v2/**").permitAll()
                .antMatchers("/swagger-resources/**") .permitAll()
                .antMatchers("/Location/**").permitAll()
                .antMatchers("/**/partyFile").permitAll()
                .antMatchers("/screen/**").permitAll()
                .antMatchers("/**/upload").permitAll()
                .antMatchers("/#/login").permitAll()
                .antMatchers("/**/readFile/partyFile/**").permitAll()
                .antMatchers("/**/LoginPC").permitAll()
                .antMatchers("/**/LoginPhone").permitAll()
                .antMatchers("/**/mac").hasAuthority("ADMIN") // 如果有需要权限的最好放在这最后面
                .anyRequest()
                .access("@rbacauthorityservice.hasPermission(request,authentication)"); // RBAC 动态 url 认证     
//                .and()   不使用自带的登录方法
//                .formLogin()  //开启登录
//                .usernameParameter("userPhone") // 下面登录接口使用的接收参数名(默认username)
//                .passwordParameter("password")
//                .loginProcessingUrl("/tb-user/Login")
//                .successHandler(authenticationSuccessHandler) // 登录成功
//                .failureHandler(authenticationFailureHandler) // 登录失败
//                .permitAll()
//                .and()
//                .logout()
//                .logoutSuccessHandler(logoutSuccessHandler)
//                .permitAll();

        // 记住我
      /*  http.rememberMe().rememberMeParameter("remember-me")
                .userDetailsService(userDetailsService).tokenValiditySeconds(300);*/

        http.exceptionHandling().accessDeniedHandler(accessDeniedHandler); // 无权访问 JSON 格式的数据
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); // JWT Filter

    }
}

 

上面用到的RBAC 动态 url 认证     

package com.example.entry.security.config;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;

import javax.servlet.http.HttpServletRequest;
import java.util.HashSet;
import java.util.Set;

@Component("rbacauthorityservice")
public class RbacAuthorityService {
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {

        Object userInfo = authentication.getPrincipal();

        boolean hasPermission  = false;

        if (userInfo instanceof UserDetails) {

            String username = ((UserDetails) userInfo).getUsername();

            //获取资源
            Set<String> urls = new HashSet();
            urls.add("/common/**");
            urls.add("/**/**"); // 这些 url 都是要登录后才能访问,且其他的 url 都不能访问!
            Set set2 = new HashSet();
            Set set3 = new HashSet();

            AntPathMatcher antPathMatcher = new AntPathMatcher();
            System.out.println(request.getRequestURI());

            for (String url : urls) {
                if (antPathMatcher.match(url, request.getRequestURI())) {
                    hasPermission = true;
                    break;
                }
            }

            return hasPermission;
        } else {
            return false;
        }
    }
}

 

jwt拦截器

这里设置了jwt前面是需要加个 Bearer和空格

package com.example.entry.security.config;

import com.example.entry.utis.JwtTokenUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    SelfUserDetailsService userDetailsService;

    @Autowired
    AjaxAuthenticationEntryPoint authenticationEntryPoint;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String authHeader = request.getHeader("Token");

        // 如果请求头中有Token;Login不要传
        if (authHeader != null && authHeader.startsWith("Bearer ")) {
            final String authToken = authHeader.substring("Bearer ".length());
            try {
                String username = JwtTokenUtil.parseJWT(authToken);
                System.out.println("username:"+username);
                if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                    UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                    if (userDetails != null) {
                        UsernamePasswordAuthenticationToken authentication =
                                new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                        authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                        SecurityContextHolder.getContext().setAuthentication(authentication);
                    }
                }
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET,POST,OPTIONS,DELETE,PUT,HEAD");
        response.setHeader("Access-Control-Allow-Credentials", "true");
        response.setHeader("Access-Control-Allow-Headers", "Content-Type, Access-Control-Allow-Headers, Authorization, X-Requested-With, Token, access_token");
        chain.doFilter(request, response);
    }
}

 

jwt拦截器里面用到的loadUserByUsername方法

package com.example.entry.security.config;

import com.example.entry.mapper.UserMapper;
import lombok.SneakyThrows;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
import java.util.HashSet;
import java.util.Set;

@Component
public class SelfUserDetailsService implements UserDetailsService {
    @Autowired
    UserMapper userMapper;

    @SneakyThrows
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //构建用户信息的逻辑(取数据库/LDAP等用户信息)
        SelfUserDetails userInfo = new SelfUserDetails();
        String password = userMapper.getPassword(username);
        if (StringUtils.isBlank(password)) {
            return null;
        }
        userInfo.setUsername(username);
        userInfo.setPassword(password);
        Set authoritiesSet = new HashSet();
        String role=userMapper.getRole(username);
     /*   String role="ADMIN";*/
        GrantedAuthority authority = new SimpleGrantedAuthority(role);
        authoritiesSet.add(authority);
        userInfo.setAuthorities(authoritiesSet);
        return userInfo;
    }
}

 

package com.example.entry.utis;

import cn.hutool.core.codec.Base64;
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.JwtBuilder;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;

import java.io.InputStream;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;


public class JwtTokenUtil {

    private static InputStream inputStream = Thread.currentThread().getContextClassLoader().getResourceAsStream("jwt.jks"); // 寻找证书文件
    private static PrivateKey privateKey = null;
    private static PublicKey publicKey = null;

    public static String key = "XXX";
    static { // 将证书文件里边的私钥公钥拿出来
        try {
            KeyStore keyStore = KeyStore.getInstance("JKS"); // java key store 固定常量
            keyStore.load(inputStream, "123456".toCharArray());
            privateKey = (PrivateKey) keyStore.getKey("jwt", "123456".toCharArray()); // jwt 为 命令生成整数文件时的别名
            publicKey = keyStore.getCertificate("jwt").getPublicKey();
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    /**
     * 用户登录成功后生成Jwt
     * 使用Hs256算法  私匙使用用户密码
     *
     * @return
     */
    public static String createJWT(String userPhone,String role) {
        //指定签名的时候使用的签名算法,也就是header那部分,jjwt已经将这部分内容封装好了。
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        //生成JWT的时间
        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);
        //创建payload的私有声明(根据特定的业务需要添加,如果要拿这个做验证,一般是需要和jwt的接收方提前沟通好验证方式的)
        Map<String, Object> claims = new HashMap<String, Object>();
//        claims.put("id", userId);
        claims.put("role", role);
//        claims.put("password", password);
        String key = "XXX";
        //下面就是在为payload添加各种标准声明和私有声明了
        //这里其实就是new一个JwtBuilder,设置jwt的body
        JwtBuilder builder = Jwts.builder()
                //如果有私有声明,一定要先设置这个自己创建的私有的声明,这个是给builder的claim赋值,一旦写在标准的声明赋值之后,就是覆盖了那些标准的声明的
                .setClaims(claims)
                //设置jti(JWT ID):是JWT的唯一标识,根据业务需要,这个可以设置为一个不重复的值,主要用来作为一次性token,从而回避重放攻击。
//                .setId(userId)
                //iat: jwt的签发时间
                .setIssuedAt(now)
                //代表这个JWT的主体,即它的所有人,这个是一个json格式的字符串,可以存放什么userid,roldid之类的,作为什么用户的唯一标志。
                .setSubject(userPhone)
                //设置签名使用的签名算法和签名使用的秘钥
                .signWith(signatureAlgorithm, Base64.encode(key.getBytes()));
        long expMillis = nowMillis + (1000 * 60 * 60);
        Date exp = new Date(expMillis);
        //设置过期时间
        builder.setExpiration(exp);
        return builder.compact();
    }


    /**
     * Token的解密
     *
     * @param token 加密后的token
     * @return
     */
    public static String parseJWT(String token) {
        //得到DefaultJwtParser
        Claims claims = Jwts.parser()
                //设置签名的秘钥
                .setSigningKey(Base64.encode(key.getBytes()))
                //设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims.getSubject();
    }

    public static String parseRole(String token) {
        //得到DefaultJwtParser
        Claims claims = Jwts.parser()
                //设置签名的秘钥
                .setSigningKey(Base64.encode(key.getBytes()))
                //设置需要解析的jwt
                .parseClaimsJws(token).getBody();
        return claims.get("role").toString();
    }
}

 

在登录接口,所有的判断完成后就可以

String jwtToken = JwtTokenUtil.createJWT(user.getUserPhone(),user.getRoleId());

如果还想存储用户其他的信息,如密码什么的,就在createJWT方法里设置就好了,在调一下解析的就好了。

之后需要用到登录用户本人信息就可以不用查询了,直接从jwt中解析出来就可以操作了。

 

有兴趣的可以自己搞成工具类,就是需要去掉queryUserIdByUserPhone。

public Map getUserIdByToken(Map map , HttpServletRequest request){
        String token = request.getHeader("Token");
        token = token.substring("Bearer ".length());
        String userPhone = JwtTokenUtil.parseJWT(token);
        userPhone = userPhone == null ? "" : userPhone;
        String userId = tbUserMapper.queryUserIdByUserPhone(userPhone);
        map.put("userPhone",userPhone);
        map.put("userId",userId);
        return map;
    }

 

十一呓语
关注
深入剖析源码速通Spring多数据源问题
Hi,我是sharkchili,CSDN Java领域博客专家,开源项目JavaGuide维护人员,我想写一些有意思的东西,希望对你有帮助。
12-18 1702
我们后续可能用到不止两个的数据库,所以我们可能会将数据源的信息保存到数据源中,考虑到这一点,我们编写了一个数据源管理类,负责将用户从数据库中查出来的数据源信息存到容器中。之前写过一篇关于多数据源的实践,虽然写的很详细,但是个人认为没有把多数据源的原理和设计讲透彻,所以再次拾起这篇文章进行修饰加工,希望对你有帮助。因为近期收到很多读者的私信,所以也专门创建了一个交流群,感兴趣的读者可以通过上方的公众号获取笔者的联系方式完成好友添加,点击备注。的设计思路之后,我们现在就不妨设计一下多数据源切换的实现思路。
项目简记——关于spring与structs2结合的理解
xiluoduyu
11-30 1057
项目简记——关于spring与structs2结合的理解最近因为接手了一个Java的平台开发(唉,同事离职了扔给我的,又是一堆的坑要填…),所以从Django转而学spring和structs2。在此简单记录下学习中的理解,后续完善。因为有C++基础,Java语言本身对我没啥障碍,所以首先从java的web框架入手。本以为将Django框架那一套配置思路迁移过去,应该很容易理解spring的,结果发
SpringSecurity简述
eternally_zh128@sina.com的博客
01-13 184
一、简介 SpringSecurity是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全机制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住这几个类: WebSecurityConfigureAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity:开启We
Spring Security 进阶-加密篇
技术摸索和实践者
05-30 609
转自:https://segmentfault.com/a/1190000018625960 在 Spring Security 中加密是一个很简单却又不能忽略的模块,数据只有加密起来才更安全,这样就散算据库密码泄漏也都是密文。本文分析对应的版本是 5.14。 概念 Spring Security 为我们提供了一套加密规则和密码比对规则,org.springframework.security.crypto.password.PasswordEncoder 接口,该接口里面定义了三个方法。 public i
Spring开发包下载
zoubf的专栏
11-29 680
1.Spring的Jar包下载      直接输入地址:http://repo.springsource.org/libs-release-local/org/springframework/spring/      有个树形结构选择最新版本:4.2.3.RELEASE/ 15-Nov-2015 16:55  2.下载commons-logging包    中国的镜像网
第五节 集成Spring Security
qq_39266652的博客
04-23 785
Spring Security简介 Spring Security致力于为Java应用提供认证和授权管理。它是一个强大的,高度自定义的认证和访问控制框架。 具体介绍参见https://docs.spring.io/spring-security/site/docs/5.0.5.RELEASE/reference/htmlsingle/ 这句话包括两个关键词:Authentication(认证)和Authorization(授权,也叫访问控制) 认证是验证用户身份的合法性,而授权是控制你可以做什么。.
Grails3 Spring Secuirty自定义加密方式
weixin_34233421的博客
06-14 145
Grails3 Spring Secuirty自定义加密方式 应用场景 公司老项目使用grails2.0+版本,他的加密方式为encodeAsSHA256,数据是通过导入实现,要兼容以前数据加密方式,使以前使用老项目的用户也能用原先的密码登录。 首先,我做了一下测试 def test() { map.password1 = "123456".encodeAsSHA256() ...
简记个人博客源码免费分享
05-09
简记个人博客网站源码为博主现有博客网站,前端采用LayUI框架,此分享版本为asp + access。所有功能齐全,欢迎使用。 使用方法:上传至空间或服务器,通过IIS发布网站即可。 演示地址:...
PIC单片机C语言简记
08-18
【PIC单片机C语言简记】 在嵌入式系统开发中,PIC单片机以其高效能、低功耗的特点广泛应用于各种控制系统。PICC编译器是针对Microchip公司的PIC系列微控制器的一种C语言编译器,它可以无缝对接MPLAB-IDE集成开发...
497476974884240简记.apk
最新发布
08-13
497476974884240简记.apk
SpringBoot集成SpringSecurity(一) 初识SpringSecurity
ChauncyTan的博客
03-09 546
因项目需要以及“局势”所逼,从而捣鼓起了SpringSecuritySpringSecurity功能强大上手有点难度,学习了几天勉勉入了门道,故此整理了这篇文章,以供自己再次回顾也希望能帮助到后来者(本文末尾处附带源码地址,如觉得本文对你有帮助还请留下你的脚印) 文章目录 @[TOC]环境介绍 一、环境介绍 本文中记录的项目为gradle构建的SpringBoot项目,数据存储在M...
Spring Security
weixin_34258078的博客
04-07 118
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity之加密篇
用博客记录成长的点滴
10-22 6077
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 (1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。 (2)密码匹配(matches):用户登录时,密码匹配阶段并没有进行密码解密(因为密
字符串加密,校验工具类 org.springframework.security.crypto.password.PasswordEncoder
殇沫流年的专栏
11-20 9106
import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.crypto.password.StandardPasswordEncoder; /**  * 字符串加密,校验工具类  */ public class EncryptUtil i
改变spring过滤器Filter中改变传递的参数内容并向下一个过滤器传递
qq_33337186的博客
08-09 1383
依赖 javax.servlet javax.servlet-api provided 包装类 package com.djhu.portal.as.common; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.util...
今天给大家介绍一下SpringBoot框架中URL参数如何进行Base64加密解密
热门推荐
林老师带你学编程
09-27 2万+
今天给大家介绍一下SpringBoot框架中URL参数如何进行Base64加密解密 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 首先给大家介绍一下Java中的Base64加密,其实Base64不是真正的加密,只是对字符串进行编码解码而已。主要作用是不让人一眼就可以看出字符串是什么值,有什么作用。 Java实现Base64有...
java base64 多线程_org.springframework.util.Base64Utils线程安全问题.
weixin_39984963的博客
02-23 647
Spring提供的org.springframework.util.Base64Utils类,先会检测JDK里是否自带java.util.Base64,如果不带,则使用的是apache提供的org.apache.commons.codec.binary.Base64:经测生产试运行来看,在多线程环境中Base64Utils会出各种异常,比如这样的异常:java.lang.ArrayIndexOut...
Spring Security系列教程22--Spring Security中的密码加密
一一哥
10-24 4003
前言 截止到现在,一一哥 已经带各位学习了很多关于Spring Security的知识点,但是Spring Security作为一个安全框架,其中必然就应该带有安全加密方面的内容,所以本篇文章,一一哥 就带各位来学习Spring Security中的密码加密机制。 Lets go! 一. 密码加密简介 1. 散列加密概述 我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。
Spring Security加密策略
12-24 1万+
Acegi 对于密码提供三种方式:明文及不采用任何加密方式、MD5加密方式、哈希算法加密方式。 只需要在DAO的认证管理器中分别加入以下对应配置: 第一种:不使用任何加密方式的配置 <bean id="daoAuthenticationProvider" class="org.acegisecurity.providers.dao.DaoAuthenticationProvid
Django数据库API:pk简记法与LIKE语句转义
为了简化编程,Django提供了一种名为`pk`的简记法来处理主键相关的查询操作。 在标题提到的`pk简记法`中,我们可以看到以下几点关键知识点: 1. **查询主键**:当你需要根据主键进行查询时,可以使用`pk`代替`id`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值