SpringBoot整合SpringSecurity

于 2023-06-19 17:44:42 发布
阅读量513 收藏 1
点赞数
分类专栏: SpringBoot整合篇 文章标签: spring boot java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44117045/article/details/131285982
版权

SpringBoot整合SpringSecurity

一、添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>
<dependency>
    <groupId>javax.xml.bind</groupId>
    <artifactId>jaxb-api</artifactId>
    <version>2.3.1</version>
</dependency>

二、添加配置文件

2.1、过滤器配置

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private static final PathMatcher pathmatcher = new AntPathMatcher();


    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws ServletException, IOException {

        for (String reg : NoneAuthedResources.BACKEND_RESOURCES) {
            if (pathmatcher.match(reg, request.getServletPath())) {
                chain.doFilter(request, response);
                return;
            }
        }

        try {
            Map<String, Object> claims = JwtUtils.validateTokenAndGetClaims(request);
            String role = String.valueOf(claims.get(ROLE));
            Long userId = Long.valueOf(claims.get("userId") + "");
            SecurityContextHolder.getContext().setAuthentication(
                    new UsernamePasswordAuthenticationToken(userId, null, Arrays.asList(() -> ""))
            );
        } catch (Exception e) {
            ResponseUtils.buildResponse(response, R.response(ResultCodeEnum.NOT_AUTHENTICATION,null), HttpStatus.UNAUTHORIZED);
            return;
        }
        chain.doFilter(request, response);
    }

}

2.2、跨域配置

跨域支持

@Configuration
public class WebConfig implements WebMvcConfigurer {

    /**
     * 跨域支持
     *
     * @param registry
     */
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowCredentials(true)
                .allowedMethods("GET", "POST", "DELETE", "PUT")
                .allowedHeaders("*")
				.maxAge(3600 * 24);
    }
}

2.3、Security配置类

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public HttpFirewall allowUrlEncodedSlashHttpFirewall() {
        StrictHttpFirewall firewall = new StrictHttpFirewall();
        firewall.setAllowUrlEncodedSlash(true);
        return firewall;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .cors()  //允许跨域访问
                .and()
                .authorizeRequests()

                // 配置那些url需要进行校验--所有请求都需要校验"/"
                .antMatchers("/").authenticated()

                //那些请求不需要校验
                .antMatchers(NoneAuthedResources.BACKEND_RESOURCES).permitAll()

                .anyRequest().authenticated() //自定义校验类
                .and()
                .addFilterBefore(new JwtAuthenticationFilter(),
                        UsernamePasswordAuthenticationFilter.class)
                .sessionManagement()
                //关闭session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers(NoneAuthedResources.FRONTEND_RESOURCES);
    }
}

2.4、白名单资源类

/**
 * 不需要身份验证的资源
 *
 * @author fengshuonan
 * @Date 2020/3/1 16:19
 */
public class NoneAuthedResources {

    /**
     * 前端接口资源
     */
    public static final String[] FRONTEND_RESOURCES = {
            // Swagger相关资源
            "/v2/api-docs",
            "/configuration/ui",
            "/swagger-resources/**",
            "/configuration/security",
            "/swagger-ui.html/**",
            "/webjars/**",
            "/druid/**",
    };

    /**
     * 不要权限校验的后端接口资源
     * <p>
     * ANT风格的接口正则表达式:
     * <p>
     * ? 匹配任何单字符<br/>
     * * 匹配0或者任意数量的 字符<br/>
     * ** 匹配0或者更多的 目录<br/>
     */
    public static final String[] BACKEND_RESOURCES = {
            // 登录相关接口放开过滤
            "/login-api/login",
            // 上传图片接口
            "/commonController/pictureUpload",
            // Swagger及druid相关资源
            "/swagger**/**",
            "/webjars/**",
            "/v2/api-docs",
            "/druid",
    };

}

2.5、获取当前登录人配置类

@Slf4j
@Service
public class SecurityUser{

    @Autowired
    private UserMapper userMapper;

    public Long getLoginId() {
        Object userId = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if (ObjectUtils.isEmpty(userId)){
            throw new RuntimeException("获取登录人失败");
        }
        return Long.valueOf(userId + "");
    }

    /**
     * 获取当前登录人
     *
     * @return
     */
    public User getLoginUser() {
        User user = userMapper.selectById(getLoginId());
        return user;
    }
}

三、添加工具类

3.1、JWT工具类

public class JwtUtils {

    /**
     * 令牌环有效期
     */
    public static final long EXPIRATION_TIME = 48 * 60 * 60 * 1000;

    /**
     * 令牌环密钥
     */
    public static final String SECRET = "qrAVEd537GKHcxHW";

    /**
     * 令牌环头标识
     */
    public static final String TOKEN_PREFIX = "Bearer";

    /**
     * 配置令牌环在http heads中的键值
     */
    public static final String HEADER_STRING = "Authorization";

    /**
     * 自定义字段-角色字段
     */
    public static final String ROLE = "ROLE";

    //生成令牌环
    public static String generateToken(String userRole, Long userId) {
        HashMap<String, Object> map = new HashMap<>();
        map.put(ROLE, userRole);
        map.put("userId", userId);

        String jwt = Jwts.builder()
                .setClaims(map)
                .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME))
                // 颁发时间
                .setIssuedAt(new Date())
                // 加密算法和密钥
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
        return TOKEN_PREFIX + " " + jwt;
    }

    //生成令牌环
    public static String generateToken(String userRole, String userId, long exprationtime) {
        HashMap<String, Object> map = new HashMap<>();
        map.put(ROLE, userRole);
        map.put("userId", userId);

        String jwt = Jwts.builder()
                .setClaims(map)
                .setExpiration(new Date(System.currentTimeMillis() + exprationtime))
                .signWith(SignatureAlgorithm.HS512, SECRET)
                .compact();
        return TOKEN_PREFIX + " " + jwt;
    }

    //令牌环校验
    public static Map<String, Object> validateTokenAndGetClaims(HttpServletRequest request) {
        String token = request.getHeader(HEADER_STRING);
        if (Objects.isNull(token) || StringUtils.equals(token, "null")) {
            throw new TokenValidationException("Missing Token");

        } else {
            Map<String, Object> body = Jwts.parser()
                    .setSigningKey(SECRET)
                    .parseClaimsJws(token.replace(TOKEN_PREFIX, ""))
                    .getBody();
            return body;
        }
    }


    static class TokenValidationException extends RuntimeException {
        public TokenValidationException(String msg) {
            super(msg);
        }
    }
}

3.2、http相应工具类

public class ResponseUtils {

    public static void buildResponse(HttpServletResponse response, Object result, HttpStatus httpStatus) throws IOException {
        // 返回JSON
        response.setContentType("application/json;charset=utf-8");
        // 状态码
        response.setStatus(httpStatus.value());
        response.getWriter().write(JSONUtil.toJsonStr(result));
    }
}

四、编写控制器测试

@RequestMapping("/login-api")
public class LoginController {

    @Autowired private UserService userService;
    @Autowired private WebSecurityConfig webSecurityConfig;
    @Autowired private SecurityUser securityUser;

    @ApiOperation("登录")
    @PostMapping("/login")
    public R save(@RequestBody User user) {
    public R login(@RequestBody User user) {
        User userInDb = userService.getOne(new QueryWrapper<User>().eq("username", user.getUsername()));
        if (ObjectUtils.isEmpty(userInDb)){
            return R.fail("账号不存在");
        }
        return R.success();
        String encode = webSecurityConfig.passwordEncoder().encode("123456");
        boolean isMatches = webSecurityConfig.passwordEncoder().matches(user.getPassword(), userInDb.getPassword());

        if (!isMatches){
            return R.fail("账号或密码错误");
        }

        String token = JwtUtils.generateToken("admin", userInDb.getUserId());

        return R.success(
                "登陆成功",
                new HashMap<String, Object>(){{
                    put(JwtUtils.HEADER_STRING, token);
                    put("username", userInDb.getUsername());
                    put("roles", "admin");
                }}
        );
    }

    @ApiOperation("用户信息")
    @PostMapping("/userinfo")
    public R userinfo() {
        return R.success(securityUser.getLoginUser());
    }

}
橙一万
关注
专栏目录
SpringBoot整合Spring-Security
wendy专栏
10-05 737
1、添加依赖 // 添加spring security依赖 compile('org.springframework.boot:spring-boot-starter-security') // 添加Thymeleaf spring security依赖 compile('org.thymeleaf.extras:thymeleaf-extras-springsecurity4:3.0....
【全网最细致】SpringBoot整合Spring Security + JWT实现用户认证
热门推荐
qq_44709990的博客
02-23 4万+
登录和用户认证是一个网站最基本的功能,在这篇博客里,将介绍如何用SpringBoot整合Spring Security + JWT实现登录及用户认证
spring security3.2配置---权限管理
u011511684的专栏
07-05 6995
spring securtiy配置、下载,security权限管理,javaweb权限管理
SpringBoot 整合Spring Security(简单版)
Zhangmaoyang的博客
11-26 6354
1 写在前面 关于spring security的介绍,网上一大堆,这里就不介绍了,这里直接使用springboot开始整合 2 整个流程 spring security授权和认证的流程大致和shiro差不多,其实跟我们自己基于RBAC的思想然后自定义拦截器进行权限拦截是一样的。 2.1 认证 认证的过程就是客户端用户登录,然后服务端将用户登录信息缓存起来,最后服务端将用户信息(基本信息、权限、token等)返回给客户端。 2.2 授权 授权的过程,首先客户端发起请求,携带token,服务端解
Spring Boot整合Spring Security
weixin_34250434的博客
12-18 144
前言:安全框架目前有两大主流,一个是apache的Shiro,一个是SpringSecurity, 曾经用过Shiro,又想看一下security和Shiro的不同,又加上Spring Boot可以无缝对接Security,所以在此使用Security作为安全组件。 安全框架主要功能为:身份认证,权限控制,预防漏洞攻击 所以接下来我们围绕如果配置身份认证,权限控制去整合Security。 环...
springboot整合springSecurity
Zxs4212的博客
12-28 302
以及用于用户校验操作的UserDetailsService接口,实现方法 public UserDetails loadUserByUsername(String username)继承类WebSercuityConfigurerAdapter,对serurity进行配置,可实现其中的三个配置方法。目前只使用一个作为入门操作。springSecurity默认采用BCryptPasswordEncoder作为密码的加密操作;需要在启动类获取配置类上打上@EnableWebSecurity注解。
Spring boot整合Spring security
一个还在上学的程序缘
11-26 547
我们一般用到的主流安全框架有两种: Shiro Spring Security   相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。   本文主要讲解spring security 实战: (1)创建web项目,引入security和web依赖即可
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
springboot整合spring security
伈伈点灯的博客
07-21 516
个人博客地址:http://alexaccele.github.io/ springboot 要想使用spring security的模块需要导入相应的依赖 在pom文件中添加一下代码 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; ...
springboot 整合spring security
LiaoHongHB的博客
10-31 494
转载务必说明出处:https://blog.csdn.net/LiaoHongHB/article/details/83576911        spring security 是一种安全框架,主要的作用是认证和授权;其中认证则是判断该用户是谁,授权则是判断该用户有无权限访问该url。一个项目一般情况分为前台的业务系统(电商网站)和后台管理系统;其中前台的业务系统主要操作对象为普通用户,角色相...
SpringBoot整合Spring Security
sout-lanys
09-23 6207
Spring SecuritySpring 家族中安全管理框架,相比于 Shiro ,它提供了更丰富的功能,社区资源比 Shiro 丰富。 一般大部分中大型项目都是使用 Security ,小项目使用 Shiro 比较多。因为相对于 Security,Shiro 上手更简单。 一般Web应用的需要进行认证和授权。 认证:验证是否是本系统用户。 授权:经过登录,判断当前用户拥有的权限。 controller 启动 测试 账号:user 密码:项目启动时随机生成 二、 初探原理 登陆校验流程
微服务整合Spring Security实现用户的认证和授权
u014496893的博客
01-31 5537
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
Springboot整合Spring-security
weixin_43423541的博客
08-31 170
Springboot整合spring-security 1.创建springboot项目 2.引入相关依赖。 spring-boot-starter-security mysql-connector-java persistence-api(mybaits注解支持) spring-security-core spring-boot-starter-thymeleaf //springboot对thymeleaf的支持 thymeleaf-spring5 thymeleaf-extras-ja
springboot整合spring-security
qq_40834643的博客
01-16 2176
对以上代码进行简单描述,configure(HttpSecurity http)方法是授权认证,其目的是告诉有哪些权限的人才可以访问哪个页面,configure(AuthenticationManagerBuilder auth)方法是定义认证规则,其目的是定义哪些用户有权限,即给每个用户绑定权限。在web开发中,安全性问题比较重要,一般会使用过滤器或者拦截器的方式对权限等进行验证过滤。此博客根据b站up主,使用demo示例进行展示spring-security的一些功能作用。
springboot整合springsecurity
weixin_48524739的博客
08-02 1055
springsecurity
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1522
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量级可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全方
spring-boot 整合 spring-security
不忘初心,方得始终
07-14 596
引入相关包; 配置代码(SecurityConfig ,UserDetailsServiceImpl ,UserSecurity ) 重点: config 配置 hasRole ("ADMIN")一定要在 authenticated 前面,也就是说配置规则遵从从上往下的顺序 request.getRequestDispatcher(newUrl).forward(request, respon...
springboot 整合Spring Security
最新发布
07-05
Spring Boot整合Spring Security主要是为了提供安全控制功能,帮助开发者快速地在Spring Boot应用中添加身份验证、授权和会话管理等安全性措施。以下是基本步骤: 1. 添加依赖:首先,在Maven或Gradle项目中添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值