SpringSecurity

已于 2024-03-18 22:52:54 修改
阅读量1.6k 收藏 35
点赞数 39
分类专栏: 项目知识 文章标签: java 开发语言
于 2024-03-17 22:25:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43038557/article/details/136790338
版权

1.SpringSecurity的基础知识

SpringSecurity是spring中的一个安全管理框架,对比另一个安全框架shiro,他提供了更丰富的功能。一般来说web应用需要进行认证和授权。

认证:验证当前访问系统的是不是本系统的用户,并且要确认是具体哪一个用户

授权:经过认证后判断当前用户是否有权限进行某个操作

这两个操作就是SpringSecurity作为安全框架的核心功能

2.快速入门

先试用springboot快速构建web项目,编写pom依赖,编写启动类,编写controller。然后在pom中引入springsecurity的依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

引入依赖后,它会自动在请求接口之前加一个拦截器,具体就是当你请求controller中的接口时会首先跳转到一个springsecurity的界面,登录之后才能进行接口访问。

3.认证

3.1 登录校验流程

(1)用户在登录界面发起登录请求时会携带账户和密码,同时这个登录的接口是直接在拦截器的配置里配置为放行的,然后服务器接收到账户密码进行数据库查询和比对,一致的话会根据账户id或者用户名使用jwt的工具类生成一个jwt的令牌然后返回给前端,这个token包含的信息为用户的id和她的权限信息。

(2)登录完成后进行其他接口请求的时候,这个jwt令牌或者token就会和接口一起传给服务端,然后服务端的springsecurity的拦截器就会先拦截这个请求,然后解析这个token,取出这个token里面的信息,例如用户id,权限信息,如果当前请求用户具有这个权限则会放行,然后就是正常的访问资源的流程。

3.2 springsecurity完整流程

springsecurity原理是一个过滤器链条,这个链条包含了各种功能的过滤器,其中有些是核心过滤器,就是用的最多的。

(1)UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。

(2)ExceptionTranslationFilter: 处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException 。

(3)FilterSecurityInterceptor: 负责权限校验的过滤器。

3.3 认证详细的流程,主要是UsernamePasswordAuthenticationFilter

(1)拦截器拦截请求获取到用户名和密码

(2)调用UsernamePasswordAuthenticationFilter的实现类就是调用Authentication接口,解析jwt的token获取到用户信息,把用户名和密码封装成Authentication对象,只不过目前的Authentication对象里面的信息只有用户名和密码,还没有权限信息

(3)Providermanager调用AuthenticationManager接口进行认证

(4)AuthenticationManager调用DaoAuthenticationProvider的authenicate方法进行认证

(5)authenicate调用loadUserByUsername方法就是UserDetailsService接口查询用户,然后通过用户名查询到这个用户的权限信息,然后把该用户信息和权限信息封装成UserDetails对象

(6)调用UserDetails接口把UserDetails对象设置到Authentication对象中

(7)返回Authentication对象

(8)如果7返回了对象,就将其对象缓存在服务端本地,一般缓存在redis,方便下一次身份验证

4.实战

认证

(1)引入redis,fastjson,jwt的依赖

(2)导入redis的工具类和设置redis配置,方便调用方法。导入jwt的工具类。导入json响应类,设置数据库实体类,配置好mybatisplus和mysql等的依赖,mapper和yml等

(3)创建一个类实现UserDetailsService接口,重写其中的方法。增加用户名从数据库中查询用户信息

(4)编写一个登录接口

(5)我们需要编写springsecurity的config文件,然后把登录接口放行

(6)登录成功后生成jwt的token存入redis然后返回给前端

(7)因为自带的过滤器方法并不能实现查数据库,因此我们需要自行自定义一个过滤器,然后实现查询数据库进行权限查询和账户验证

(8)退出的逻辑是,先从SecurityContextHolder中获取到信息,然后去redis中查询并把它删除

授权

(1) SpringSecurity为我们提供了基于注解的权限控制方案,我们可以使用注解去指定访问对应的资源所需的权限。但是要使用它我们需要先开启相关配置。

@EnableGlobalMethodSecurity(prePostEnabled = true)

然后就可以使用对应的注解。@PreAuthorize

@RestController
public class HelloController {

    @RequestMapping("/hello")
    @PreAuthorize("hasAuthority('test')")
    public String hello(){
        return "hello";
    }
}

在重写UserDetailsServiceImpl时,在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回。修改LoginUser实现UserDetails然后写入权限信息,UserDetails的实现类LoginUser,想要让其能封装权限信息就要对其进行修改。

@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {

    private User user;
        
    //存储权限信息
    private List<String> permissions;
    
    
    public LoginUser(User user,List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }


    //存储SpringSecurity所需要的权限信息的集合
    @JSONField(serialize = false)
    private List<GrantedAuthority> authorities;

    @Override
    public  Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
        //把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
        authorities = permissions.stream().
                map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

 LoginUser修改完后我们就可以在UserDetailsServiceImpl中去把权限信息封装到LoginUser中了。我们写死权限进行测试,后面我们再从数据库中查询权限信息。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(User::getUserName,username);
        User user = userMapper.selectOne(wrapper);
        if(Objects.isNull(user)){
            throw new RuntimeException("用户名或密码错误");
        }
        //TODO 根据用户查询权限信息 添加到LoginUser中
        List<String> list = new ArrayList<>(Arrays.asList("test"));
        return new LoginUser(user,list);
    }
}

校验的时候从redis中获取权限

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest resuest, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = resuest.getHeader("token");
        if (!StringUtils.hasLength(token)) {
            //放行
            filterChain.doFilter(resuest, response);
            return;
        }
        //解析token
        String userId;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userId = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }
        //从redis中获取用户信息
        String redisKey = SysConsts.LOGIN_KEY + ":" + userId;
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        if (Objects.isNull(loginUser)) {
            throw new RuntimeException("用户未登录");
        }
        //存入SecurityContextHolder
        //TODO 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null,loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        //放行
        filterChain.doFilter(resuest, response);
    }
}
(2)从数据库查询权限信息,使用RBAC权限模型, RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。

(3)导入数据库表,引入实体类,写好mqpper,配置yml文件

(4)在UserDetailsServiceImpl中去调用该mapper的方法查询权限信息封装到LoginUser对象中即可。

wayzinx
关注
  • 39
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
最新发布
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security
qq_45429856的博客
11-22 3789
Spring Security简介 Spring Security是一个高度自定义的安全框架。利用Spring IOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作 spring security 的核心功能主要包括: 认证 (系统认证用户是否登录) 授权 (系统判断用户是否有权限去做某些事情) 攻击防护 (防止伪造身份) Spring Security项目搭建 一:导入依赖 <!--导入spring security依赖-->
SpringSecurity认证
小钟不想敲代码
05-28 5229
SpringSecurity认证
SpringBoot整合SpringSecurity(通俗易懂)
BookSea的博客
10-24 4万+
先看后赞,养成习惯。 点赞收藏,人生辉煌 基于数据库的身份认证 一、创建项目 创建一个 SpringBoot 模块项目,选择相关依赖: 先搭建项目正常访问,在pom.xml中,先把Spring Security依赖注释 <!--<dependency>--> <!--<groupId>org.springframework.boot</groupId>--> <!--<artifactId>spring-bo.
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6659
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springSecurity
10-14
springSecurity
SpringSecurity.pdf
05-24
Spring Security是一个功能强大、高度定制的安全框架,它专门用于为基于Spring的应用程序提供安全性解决方案。Spring Security架构的设计初衷是为了解决认证和授权的需求,确保应用程序的安全性。它提供了全面的安全...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
SpringSecurity素材.rar
03-02
SpringSecurityJava领域中一款强大的安全框架,专为SpringSpring Boot应用设计,提供全面的安全管理解决方案。在SpringBoot Web开发中,SpringSecurity扮演着核心角色,负责处理身份验证、授权以及访问控制等...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值