SpringSecurity前后端分离下的方案

最新推荐文章于 2024-06-16 15:17:27 发布
最新推荐文章于 2024-06-16 15:17:27 发布
阅读量681 收藏 7
点赞数
分类专栏: SpringSecurity 文章标签: SpringBoot SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43738764/article/details/119037720
版权

四、SpringSecurity前后端分离下的方案

1、基本原理:

  1. 登录过程是SpringSecurity原理,然后验证成功后利用Jwt生产用户Token,用Key为Token,Value为用户信息存入Redis中完成首次登录。
  2. 之后的请求中,过滤器去判断请求中是否携带了Token,如果有就直接放行继续接下来的操作,否则无权访问需要登录。
  3. 思路流程图:
    • 在这里插入图片描述

2、详细代码流程

  1. 编写核心配置了

    • @EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private AuthenticationSuccessHandler authenticationSuccessHandler;
    @Autowired
    private AuthenticationFailureHandler authenticationFailureHandler;
    @Autowired
    private LogoutSuccessHandler logoutSuccessHandler;
    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private TokenFilter tokenFilter;


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //关闭CSRF防护
        http.csrf().disable();

        //基于Token,不需要Session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        //对于路径请求
        http.authorizeRequests()
                .antMatchers("/user/all","/user/login").permitAll()//这些路径放行
                .anyRequest()//其他任何请求
                .authenticated();//都需要验证

        http.formLogin()
            	//登录的路径请求,usernameParameter设置了表单中username的参数名,passwordParameter设置了表单中password的参数名
                .loginProcessingUrl("/user/login").usernameParameter("username").passwordParameter("password")
            	//成功会进入这个处理器
                .successHandler(authenticationSuccessHandler)
            	//失败会进入这个处理器
                .failureHandler(authenticationFailureHandler)
            	//没有权限会进入这个处理器
                .and().exceptionHandling().authenticationEntryPoint(authenticationEntryPoint);
        		
        //退出的路径请求,logoutSuccessHandler表示退出成功后进入这个处理器
        http.logout().logoutUrl("user/logout").logoutSuccessHandler(logoutSuccessHandler);

        //表示在UsernamePasswordAuthenticationFilter这个过滤器执行前,先执行tokenFilter过滤器
        http.addFilterBefore(tokenFilter, UsernamePasswordAuthenticationFilter.class);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new PasswordEncoder() {
            @Override
            public String encode(CharSequence charSequence) {
                return MD5.encrypt(charSequence.toString());
            }

            @Override
            public boolean matches(CharSequence charSequence, String s) {
                String encode = MD5.encrypt(charSequence.toString());
                return s.equals(encode);
            }
        });
    }
}

  2. 编写TokenFilter过滤器

    • 主要功能:验证前去过滤请求中是否包含了token,如果包含了就从Redis中获取用户信息,否则继续验证

    • @Component
@Slf4j
@Order(value = Integer.MAX_VALUE - 2)
public class TokenFilter extends OncePerRequestFilter {

    public static final String TOKEN_KEY = "Authorization";

    @Autowired
    private TokenService tokenService;

    @Autowired
    private UserDetailsService userDetailsService;

    private static final Long MINUTES_10 = 10 * 60 * 1000L;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //从请求中获取token
        String token = getToken(request);

        //如果token不为空
        if(!StringUtils.isEmpty(token)){
            //就从redis中获取用户信息
            LoginUser loginUser = tokenService.getLoginUser(token);
            if(loginUser != null ){
                //如果不为空,就检查缓存中的时间是否小于10分钟,如果小于就更新缓存
                loginUser =checkLoginTime(loginUser);
                //把用户对象封装成UsernamePasswordAuthenticationToken对象
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
                //把UsernamePasswordAuthenticationToken对象放入Security上下文中
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            }
        }

        filterChain.doFilter(request,response);
    }

    public static String getToken(HttpServletRequest request) {
        String token = request.getParameter(TOKEN_KEY);
        if (StringUtils.isEmpty(token)) {
            token = request.getHeader(TOKEN_KEY);
        }
        if (StringUtils.isEmpty(token)) {
            Cookie[] cookies = request.getCookies();
            if (cookies != null) {
                for (Cookie cookie : cookies) {
                    if (TOKEN_KEY.equals(cookie.getName())) {
                        token = cookie.getValue();
                        break;
                    }
                }
            }
        }
        return token;
    }

    /**
     * 校验时间<br>
     * 过期时间与当前时间对比,临近过期10分钟内的话,自动刷新缓存
     *
     * @param loginUser
     * @return
     */
    public LoginUser checkLoginTime(LoginUser loginUser) {
        long expireTime = loginUser.getExpireTime();
        long currentTime = System.currentTimeMillis();
        if (expireTime - currentTime <= MINUTES_10) {
            String token = loginUser.getToken();

            loginUser = (LoginUser) userDetailsService.loadUserByUsername(loginUser.getUsername());
            loginUser.setToken(token);
            tokenService.refresh(loginUser);
        }
        return loginUser;
    }
}

  3. 编写Handler配置类

    • @Configuration
public class SecurityHandlerConfig {

    @Autowired
    private TokenService tokenService;


    
	//登录成功后的处理器
    @Bean
    public AuthenticationSuccessHandler loginSuccsessHandler(){
        return (request, response, authentication) -> {
            //从SpringSecurity上下文中获取已经通过认证的用户对象
            LoginUser loginUser = (LoginUser) authentication.getPrincipal();
			
            //登录成功的相应逻辑操作
            loginSuccessReturn(request,response,loginUser);
        };
    }
    
    public void loginSuccessReturn(HttpServletRequest request, HttpServletResponse response, LoginUser loginUser) {
        //响应容器
        Map map = new HashMap();
		
        //根据用户生产一个Token,并存入redis
        Token token = tokenService.saveToken(loginUser);
        
        //放入加密token
        map.put("id", loginUser.getId());
        map.put("token", token.getToken());

		
        Cookie cookie = new Cookie("token", map.get("token").toString());
        cookie.setPath("/");
        response.addCookie(cookie);
        //封装返回
        responseJson(response, HttpStatus.OK.value(), map);
    }

	//登录失败的处理器
    @Bean
    public AuthenticationFailureHandler loginFailureHandler(){
        return (request, response, exception) -> {
            String msg;
            if(exception instanceof BadCredentialsException){
                msg = "密码错误!";
            } else {
                msg = exception.getMessage();
            }
            Map<String, Object> data = new HashMap<>();
            data.put("loginType", 5);
            data.put("loginMsg", msg);
            responseJson(response, HttpStatus.OK.value(), data);
        };
    }

    //无权限处理器
    @Bean
    public AuthenticationEntryPoint authenticationEntryPoint(){
        return (request, response, exception) -> {
            String url = request.getRequestURI();
            if(url.endsWith(".html")) {
                response.sendRedirect("/");
            } else {
                responseJson(response, HttpStatus.UNAUTHORIZED.value(), "请先登录");

            }
        };
    }

    //登出处理器
    @Bean
    public LogoutSuccessHandler logoutSuccessHandler(){
        return (request, response, authentication) -> {

            String token = TokenFilter.getToken(request);
            tokenService.deleteToken(token);

            responseJson(response, HttpStatus.OK.value(), "退出成功");
        };
    }

    //封装返回
    public void responseJson(HttpServletResponse response, int status, Object data) {
        try {
            response.setHeader("Access-Control-Allow-Origin", "*");
            response.setHeader("Access-Control-Allow-Methods", "*");
            response.setContentType("application/json;charset=UTF-8");
            response.setStatus(status);

            response.getWriter().write(JSONObject.toJSONString(data));
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

  4. 编写UserDetailsService接口实现类

    • @Service
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = null;
        if (StringUtils.isEmpty(username) || (user = getByUserName(username)) == null) {
            // 返回用户名不存在
            // 抛出异常后 框架会去调用 loginFailureHandler()
            throw new RuntimeException("用户名不存在");
        }
		
        LoginUser loginUser = new LoginUser();
        if(user != null ){
            BeanUtils.copyProperties(user,loginUser);
            //设置用户权限,可自行修改从数据库获取
            if(loginUser.getUsername().equals("admin")){
                List<String> authorities = new ArrayList<String>();
                authorities.add("ROLE_admin");
                loginUser.setPermissionValueList(authorities);
            } else {
                List<String> authorities = new ArrayList<String>();
                authorities.add("ROLE_admin1");
                loginUser.setPermissionValueList(authorities);
            }
        }
        return loginUser;
    }

    private User getByUserName(String username) {
        QueryWrapper<User> query = new QueryWrapper<>();
        query.lambda().eq(User::getUsername,username);
        User user = userMapper.selectOne(query);
        return user;
    }

  5. 编写UserDetails接口实体类

    • @Data
@AllArgsConstructor
@NoArgsConstructor
public class LoginUser extends User implements UserDetails {

    private String token;

    private Long loginTime;

    private Long expireTime;
	
    private List<String> permissionValueList;

    private List<GrantedAuthority> authorities;


    //获得用户权限
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        authorities = new ArrayList<>();
        for (String permissionValue : permissionValueList) {
            if(StringUtils.isEmpty(permissionValue))continue;
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permissionValue);
            authorities.add(authority);
        }
        return authorities;
//        return null;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

    • //User实体类对应数据库表的实体类
@Data
public class User {
    private Integer id;
    private String username;
    private String password;

}

  6. 提供个人写的TokenService供大家参考,也可自行编写(主要逻辑是生产Token,存入Redis)

    • @Service
@Slf4j
public class TokenService {

    /**
     * token过期秒数
     */
    @Value("${token.expire.seconds}")
    private Integer expireSeconds;

    /**
     * 私钥
     */
    @Value("${token.jwtSecret}")
    private String jwtSecret;
    
    @Autowired
    private JedisClient jedisClient;

    private static Key KEY = null;

    private static final String LOGIN_USER_KEY = "LOGIN_USER_KEY";

    /**
     * 保存用户信息至缓存,key为uuid,返回生成token
     * @param loginUser
     * @return
     */
    public Token saveToken(LoginUser loginUser) {
        loginUser.setToken(UUID.randomUUID().toString());
        loginUser.setLoginTime(System.currentTimeMillis());
        loginUser.setExpireTime(loginUser.getLoginTime() + expireSeconds * 1000);

        jedisClient.setnx(loginUser.getToken(), JSONObject.toJSONString(loginUser), Long.valueOf(expireSeconds * 1000));

        String jwtToken = createJWTToken(loginUser);

        return new Token(jwtToken, loginUser.getLoginTime());
    }

    /**
     * 生成jwt
     *
     * @param loginUser
     * @return
     */
    private String createJWTToken(LoginUser loginUser) {
        Map<String, Object> claims = new HashMap<>();
        // 放入一个随机字符串,通过该串可找到登陆用户
        claims.put(LOGIN_USER_KEY, loginUser.getToken());

        String jwtToken = Jwts.builder().setClaims(claims).signWith(SignatureAlgorithm.HS256, getKeyInstance())
                .compact();

        return jwtToken;
    }

    /**
     * 刷新缓存
     * @param loginUser
     */
    public void refresh(LoginUser loginUser) {
        loginUser.setLoginTime(System.currentTimeMillis());
        loginUser.setExpireTime(loginUser.getLoginTime() + expireSeconds * 1000);

        jedisClient.setnx(loginUser.getToken(), JSONObject.toJSONString(loginUser), Long.valueOf(expireSeconds * 1000));
    }

    /**
     * 根据jwt获取登录用户信息
     * @param jwtToken
     * @return
     */
    public LoginUser getLoginUser(String jwtToken) {
        String uuid = getUUIDFromJWT(jwtToken);
        if (uuid != null) {
            return toLoginUser(uuid);
        }
        return null;
    }

    /**
     * 删除缓存中的用户信息
     * @param jwtToken
     * @return
     */
    public boolean deleteToken(String jwtToken) {
        String uuid = getUUIDFromJWT(jwtToken);
        if (uuid != null) {
            LoginUser loginUser = toLoginUser(uuid);
            if (loginUser != null) {
                jedisClient.del(uuid);
                return true;
            }
        }
        return false;
    }

    /**
     * 加锁获取加密key
     * @return
     */
    private Key getKeyInstance() {
        if (KEY == null) {
            synchronized (TokenService.class) {
                if (KEY == null) {
                    // 双重锁
                    byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(jwtSecret);
                    KEY = new SecretKeySpec(apiKeySecretBytes, SignatureAlgorithm.HS256.getJcaName());
                }
            }
        }

        return KEY;
    }

    /**
     * 解析jwt获取uuid
     * @param jwt
     * @return
     */
    private String getUUIDFromJWT(String jwt) {
        if ("null".equals(jwt) || StringUtils.isEmpty(jwt)) {
            return null;
        }
        Map<String, Object> jwtClaims = null;
        try {
            jwtClaims = Jwts.parser().setSigningKey(getKeyInstance()).parseClaimsJws(jwt).getBody();
            if (jwtClaims.containsKey(LOGIN_USER_KEY)) {
                return (String) jwtClaims.get(LOGIN_USER_KEY);
            }
            return null;
        } catch (ExpiredJwtException e) {
            log.error("token:{}已过期", jwt);
        } catch (Exception e) {
            log.error("解析token异常,token:{}", e);
        }
        return null;
    }

    /**
     * 根据key获取缓存中的用户信息
     * @param key  缓存key
     * @return
     */
    private LoginUser toLoginUser(String key) {
        if (key == null) {
            return null;
        }

        String value = jedisClient.get(key);
        
        // 校验是否已过期,已过期value为null
        if (StringUtils.isNotEmpty(value)) {
            LoginUser loginUser = JSONObject.parseObject(value, LoginUser.class);
            return loginUser;
        }
        return null;
    }
}
深夜面包
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security 前后端分离 快速上手
迷途的大橘
07-18 376
Spring Security 前后端分离 快速上手 1.介绍 在spring security中 Authentication 对象管理着当前登录用户,同时也存储着认证信息。Authentication 对象由SecurityContextHolder 对象管理,上下文对象。SecurityContextHolder 对象由SecurityContextHolder管理,属于工具类,只提供一些静态方法,目的是用来保存应用程序中当前使用人的安全上下文。 2.认证授权流程 查询用户信息 --> 判断用户
SpringSecurity前后端分离
热门推荐
X_lsod的博客
02-13 2万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
Java17 --- SpringSecurity前后端分离处理
最新发布
qq_46093575的博客
06-16 314
【代码】Java --- SpringSecurity前后端分离处理。
springbootspringsecurity前后端分离(一个小demo)
08-21
一个小demo前后端分离的情况下给到前端是否跳转到登录页的标识符
集成spring security
weixin_45386898的博客
02-08 2630
依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 配置类 package com.ljh.config; import com.fasterxml.jackson
Spring Security 前后端分离
Markix的博客
11-14 3307
前后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
基于SpringBootSpring Security前后端分离的医疗信息管理系统.zip
04-03
基于SpringBootSpring Security,JWT,Vue & Element 的,目前主要模块划分为门诊部分,住院登记收费、住院医生护士站三个部分。 毕业设计是高等教育阶段学生在完成学业前所进行的一项重要学术任务,旨在检验...
springboot-security 前后端分离开发
09-05
本文将详细介绍如何利用 `SpringBoot` 集成 `SpringSecurity` 实现基于JWT(Json Web Token)的认证机制,以适应前后端分离的开发需求。 **一、SpringBoot简介** SpringBootSpring 框架的一个子项目,旨在简化 ...
基于spring boot + spring security 前后端分离 的宿舍管理系统的后端项目.zip
04-04
学生需要在导师的指导下明确研究目标、问题陈述,确立研究的范围和深度。毕业设计可以包括文献综述、需求分析、方案设计、实施与测试等多个阶段,以确保整个过程的科学性和系统性。 其次,毕业设计的完成通常需要...
基于 Spring Boot 3、Spring Security 6 前后端分离式论坛系统。.zip
04-03
基于 Spring Boot 3、Spring Security 6、Vue.js 3 与 Element Plus 的 毕业设计是高等教育阶段学生在完成学业前所进行的一项重要学术任务,旨在检验学生通过学习所获得的知识、技能以及对特定领域的深刻理解能力。...
前后端分离 -- Spring Boot + Spring Security + Vue + ElementUI 实现用户认证
01-24
前后端分离的架构下,Spring Boot作为后端服务器,主要负责处理业务逻辑和数据操作。通过集成Spring Security,我们可以轻松地实现用户的登录、登出、权限校验等安全功能。Spring Security提供了细粒度的访问控制...
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 551
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
spring security前后端分离
YMY_666的博客
01-20 773
前后端分离,配置所有接口以及权限放行以及跨域和csrf拦截等 @Override protected void configure(HttpSecurity http) throws Exception { //使用自定义表单登录 http.formLogin() //未登录返回json .loginPage("/unLogin") //登录url
Spring Security前后端分离
MostSnails的博客
08-12 3641
Spring Security前后端分离
Spring Security【一】 ------ 前后端分离开发
qq314499182的博客
02-26 5958
之前项目中都是使用shiro作为安全框架,但是很多资料推荐spring security作为spring项目的安全框架。既然用着spring,那spring security自然还是要了解下的。 但是在实际接触中发现,比shori的学习成本高点。还有就是大部分都停留在将前端代码放在后端路径下,页面的跳转,重定向都由后端代码实现。这在当下的前后端分离开发中还是不合适的,所以经过我这几天的各种捣鼓,...
spring security 前后端分离
03-16
Spring Security 前后端分离是一种常见的安全解决方案,它将前端和后端分离开来,使得前端和后端可以独立开发和部署。在这种架构下,前端负责展示页面和用户交互,后端负责处理业务逻辑和数据存储,Spring Security 则负责保护应用程序的安全性。 具体来说,Spring Security 前后端分离的实现方式是通过 Token 认证实现的。当用户登录成功后,后端会生成一个 Token,并将 Token 返回给前端。前端在后续的请求中需要携带这个 Token,后端会根据 Token 来判断用户是否有权限访问相应的资源。 总的来说,Spring Security 前后端分离是一种安全性高、可扩展性好的解决方案,适用于各种类型的应用程序。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值