SpringBoot整合SpringSecurity

最新推荐文章于 2024-06-16 14:01:36 发布
最新推荐文章于 2024-06-16 14:01:36 发布
阅读量268 收藏 1
点赞数
分类专栏: SpringBoot整合篇 文章标签: spring boot java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44117045/article/details/131285982
版权

SpringBoot整合SpringSecurity

一、添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<dependency>
    <groupId>javax.xml.bind</groupId>
    <artifactId>jaxb-api</artifactId>
    <version>2.3.1</version>
</dependency>

二、添加配置文件

2.1、过滤器配置

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private static final PathMatcher pathmatcher = new AntPathMatcher();


    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws ServletException, IOException {

        for (String reg : NoneAuthedResources.BACKEND_RESOURCES) {
            if (pathmatcher.match(reg, request.getServletPath())) {
                chain.doFilter(request, response);
                return;
            }
        }

        try {
            Map<String, Object> claims = JwtUtils.validateTokenAndGetClaims(request);
            String role = String.valueOf(claims.get(ROLE));
            Long userId = Long.valueOf(claims.get("userId") + "");
            SecurityContextHolder.getContext().setAuthentication(
                    new UsernamePasswordAuthenticationToken(userId, null, Arrays.asList(() -> ""))
            );
        } catch (Exception e) {
            ResponseUtils.buildResponse(response, R.response(ResultCodeEnum.NOT_AUTHENTICATION,null), HttpStatus.UNAUTHORIZED);
            return;
        }
        chain.doFilter(request, response);
    }

}

2.2、跨域配置

跨域支持

@Configuration
public class WebConfig implements WebMvcConfigurer {

    /**
     * 跨域支持
     *
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                .allowedHeaders("*")
				.maxAge(3600 * 24);
    }
}

2.3、Security配置类

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
        StrictHttpFirewall firewall = new StrictHttpFirewall();
        firewall.setAllowUrlEncodedSlash(true);
        return firewall;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .cors()  //允许跨域访问
                .and()
                .authorizeRequests()

                // 配置那些url需要进行校验--所有请求都需要校验"/"
                .antMatchers("/").authenticated()

                //那些请求不需要校验
                .antMatchers(NoneAuthedResources.BACKEND_RESOURCES).permitAll()

                .anyRequest().authenticated() //自定义校验类
                .and()
                .addFilterBefore(new JwtAuthenticationFilter(),
                        UsernamePasswordAuthenticationFilter.class)
                .sessionManagement()
                //关闭session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(NoneAuthedResources.FRONTEND_RESOURCES);
    }
}

2.4、白名单资源类

/**
 * 不需要身份验证的资源
 *
 * @author fengshuonan
 * @Date 2020/3/1 16:19
 */
public class NoneAuthedResources {

    /**
     * 前端接口资源
     */
    public static final String[] FRONTEND_RESOURCES = {
            // Swagger相关资源
            "/v2/api-docs",
            "/configuration/ui",
            "/swagger-resources/**",
            "/configuration/security",
            "/swagger-ui.html/**",
            "/webjars/**",
            "/druid/**",
    };

    /**
     * 不要权限校验的后端接口资源
     * <p>
     * ANT风格的接口正则表达式:
     * <p>
     * ? 匹配任何单字符<br/>
     * * 匹配0或者任意数量的 字符<br/>
     * ** 匹配0或者更多的 目录<br/>
     */
    public static final String[] BACKEND_RESOURCES = {
            // 登录相关接口放开过滤
            "/login-api/login",
            // 上传图片接口
            "/commonController/pictureUpload",
            // Swagger及druid相关资源
            "/swagger**/**",
            "/webjars/**",
            "/v2/api-docs",
            "/druid",
    };

}

2.5、获取当前登录人配置类

@Slf4j
@Service
public class SecurityUser{

    @Autowired
    private UserMapper userMapper;

    public Long getLoginId() {
        Object userId = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if (ObjectUtils.isEmpty(userId)){
            throw new RuntimeException("获取登录人失败");
        }
        return Long.valueOf(userId + "");
    }

    /**
     * 获取当前登录人
     *
     * @return
     */
    public User getLoginUser() {
        User user = userMapper.selectById(getLoginId());
        return user;
    }
}

三、添加工具类

3.1、JWT工具类

public class JwtUtils {

    /**
     * 令牌环有效期
     */
    public static final long EXPIRATION_TIME = 48 * 60 * 60 * 1000;

    /**
     * 令牌环密钥
     */
    public static final String SECRET = "qrAVEd537GKHcxHW";

    /**
     * 令牌环头标识
     */
    public static final String TOKEN_PREFIX = "Bearer";

    /**
     * 配置令牌环在http heads中的键值
     */
    public static final String HEADER_STRING = "Authorization";

    /**
     * 自定义字段-角色字段
     */
    public static final String ROLE = "ROLE";

    //生成令牌环
    public static String generateToken(String userRole, Long userId) {
        HashMap<String, Object> map = new HashMap<>();
        map.put(ROLE, userRole);
        map.put("userId", userId);

        String jwt = Jwts.builder()
                .setClaims(map)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                // 颁发时间
                .setIssuedAt(new Date())
                // 加密算法和密钥
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
        return TOKEN_PREFIX + " " + jwt;
    }

    //生成令牌环
    public static String generateToken(String userRole, String userId, long exprationtime) {
        HashMap<String, Object> map = new HashMap<>();
        map.put(ROLE, userRole);
        map.put("userId", userId);

        String jwt = Jwts.builder()
                .setClaims(map)
                .setExpiration(new Date(System.currentTimeMillis() + exprationtime))
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
        return TOKEN_PREFIX + " " + jwt;
    }

    //令牌环校验
    public static Map<String, Object> validateTokenAndGetClaims(HttpServletRequest request) {
        String token = request.getHeader(HEADER_STRING);
        if (Objects.isNull(token) || StringUtils.equals(token, "null")) {
            throw new TokenValidationException("Missing Token");

        } else {
            Map<String, Object> body = Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                    .getBody();
            return body;
        }
    }


    static class TokenValidationException extends RuntimeException {
        public TokenValidationException(String msg) {
            super(msg);
        }
    }
}

3.2、http相应工具类

public class ResponseUtils {

    public static void buildResponse(HttpServletResponse response, Object result, HttpStatus httpStatus) throws IOException {
        // 返回JSON
        response.setContentType("application/json;charset=utf-8");
        // 状态码
        response.setStatus(httpStatus.value());
        response.getWriter().write(JSONUtil.toJsonStr(result));
    }
}

四、编写控制器测试

@RequestMapping("/login-api")
public class LoginController {

    @Autowired private UserService userService;
    @Autowired private WebSecurityConfig webSecurityConfig;
    @Autowired private SecurityUser securityUser;

    @ApiOperation("登录")
    @PostMapping("/login")
    public R save(@RequestBody User user) {
    public R login(@RequestBody User user) {
        User userInDb = userService.getOne(new QueryWrapper<User>().eq("username", user.getUsername()));
        if (ObjectUtils.isEmpty(userInDb)){
            return R.fail("账号不存在");
        }
        return R.success();
        String encode = webSecurityConfig.passwordEncoder().encode("123456");
        boolean isMatches = webSecurityConfig.passwordEncoder().matches(user.getPassword(), userInDb.getPassword());

        if (!isMatches){
            return R.fail("账号或密码错误");
        }

        String token = JwtUtils.generateToken("admin", userInDb.getUserId());

        return R.success(
                "登陆成功",
                new HashMap<String, Object>(){{
                    put(JwtUtils.HEADER_STRING, token);
                    put("username", userInDb.getUsername());
                    put("roles", "admin");
                }}
        );
    }

    @ApiOperation("用户信息")
    @PostMapping("/userinfo")
    public R userinfo() {
        return R.success(securityUser.getLoginUser());
    }

}
橙一万
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合springSecurity
04-19
以上是SpringBoot整合SpringSecurity的基础知识要点,实际应用中可能还需要结合具体的业务需求进行更细致的配置和定制。在项目开发中,确保理解并熟练运用这些知识点,能够有效提高应用的安全性和健壮性。
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
SpringSecurity(一): Springboot 3.2.1 整合 SpringSecurity 完成认证
zhw74101的博客
01-19 1334
目的:将springsecurity默认的登录逻辑迁移到自定义的逻辑上(访问数据库)/*实现 UserDetailsService 接口,自定义校验逻辑@Component让spring知晓自定义的内容*/@Component@Autowired@Override//1.根据用户名查询用户信息//2.TODO 查询该用户的权限列表并整合对象/*
springboot整合security
weixin_47260194的博客
06-16 446
如果你不希望使用内存中的用户信息,而是希望将用户信息存储在数据库或其他地方,可以实现java复制代码import org.springframework.beans.factory.annotation.Autowired;@Autowired@Override@Bean@Overridehttp.and().and().logout()你可以通过指定来自定义登录页面的路径,还可以实现和接口来处理成功或失败的登录尝试。
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2820
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
Spring Boot 优雅集成 Spring Security 5.7(安全框架)与 JWT(双令牌机制)
欲变世界,先变其身
06-15 4482
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IOC(控制反转),DI(依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Boot整合Spring Security
null
03-21 1010
WebSecurityConfigurerAdapter 自定义Security策略AuthenticationManagerBuilder 自定义认证策略@EnableWebSecurity 开启WebSecurity模式@Override//密码加密//配置用户名、密码,该配置方式下,用户名和密码保存在内存中//密码加密方式这里我们就直接固定写死用户名和密码,实际生产中可以从数据库中获取@Service@Override//设置角色,角色的概念后续介绍。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
SpringBoot整合Spring Security的详细教程
08-18
SpringBoot 整合 Spring Security 的详细教程 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,提供了完善的认证机制和方法级的授权功能。下面是 SpringBoot 整合 Spring Security 的详细...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringSecurity
m0_74246237的博客
02-01 2055
spring security学习
spring security3.2配置---权限管理
u011511684的专栏
07-05 6948
spring securtiy配置、下载,security权限管理,javaweb权限管理
【IDEA Sprintboot】简单入门:整合SpringSecurity依赖、整合Thymeleaf框架
水w的博客
05-04 1274
整合SpringSecurity依赖、整合Thymeleaf框架
超详细——SpringBoot整合Spring Security
椿尼的博客
02-26 959
简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。 SpringBoot底层默认的安全框架技术选型就是Spring Security,我们只需要简单的配置即可实现安全管理。 特征 全面和可扩展的身份验证和授权支持 防御会话固定,
SpringBoot整合Security
qq_42292373的博客
11-29 491
文章目录1.基本实现效果的预览2.代码资源3.给用户分配权限4.改写403等其他页面5. 如何知道用户登录失败和成功 1.基本实现效果的预览 2.代码资源 下面代码写的都是核心基本配置,类似页面跳转的controller,还有页面,这里没有书写,详情可以参考,代码地址 链接:https://pan.baidu.com/s/1aCLfh8IXkJuF55YWs-gmbQ 提取码:xyhp 3....
Spring Boot整合Spring Security:构建安全的Web应用
weixin_65175398的博客
01-04 1415
本文将介绍如何在Spring Boot应用程序中整合Spring Security,以构建一个安全可靠的Web应用。这只是一个简单的Spring Security配置,实际项目中可能需要更复杂的配置,包括数据库认证、角色控制等。但通过这个简单的例子,你可以了解到如何快速集成Spring Security,并建立一个基本的安全框架。
SpringBoot集成 SpringSecurity安全框架
qq15035899256的博客
03-19 1939
本文是对SpringSecurity的学习,学习了它的两大功能:认证和授权,以及如何使用数据库进行认证,如何使用自定义的登录页面,最后也学习了使用SecurityContext获取认证用户的信息。之后的学习内容将持续更新!!!
Spring Boot集成Spring Security
如何心安理得的在老板眼皮下摸鱼
05-05 1659
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 简言之,Spring Security底层实现为一条过滤器链,用.
springboot 整合Spring Security
最新发布
07-05
Spring Boot整合Spring Security主要是为了提供安全控制功能,帮助开发者快速地在Spring Boot应用中添加身份验证、授权和会话管理等安全性措施。以下是基本步骤: 1. 添加依赖:首先,在Maven或Gradle项目中添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值