SpringBoot整合SpringSecurity前后端分离版

最新推荐文章于 2024-03-28 14:44:27 发布
最新推荐文章于 2024-03-28 14:44:27 发布
阅读量1.9k 收藏 20
点赞数 6
分类专栏: 框架 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44283656/article/details/125166541
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

一、什么SpringSecurity?

SpringSecurity是一个提供认证、授权和防止常见攻击的框架。 它提供了保护命令式和响应式应用程序的一流支持,是保护基于spring的应用程序的事实上的标准。

主要功能

  • 认证:验证当前访问用户的是不是本系统的用户,并且要确定具体是哪个用户
  • 授权:经过认证后判断当前用户是否有权限进行操作

原理
SpringSecurity的原理其实就是一个过滤器,内部包含了提供各种功能的过滤器

二、使用步骤

1.引入依赖

代码如下(示例):

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

导入依赖后的页面,会跳转到SpringSecurity的默认登录页面
在这里插入图片描述

2.认证流程分析

在这里插入图片描述

根据SpringSecurity的认证流程进行设计
在这里插入图片描述

配置类SecurityConfig

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecutityConfig extends WebSecurityConfigurerAdapter {
    
     /**
     * 用户认证过滤器
     */
    @Autowired
    JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;

    /**
     *
     */
    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

    /**
     * 加密方法
     * @return
     */
    @Bean
    public PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
     @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception{
        httpSecurity
                //不使用session,禁用CSRF
                .csrf().disable()
                //不通过session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                //允许登录接口匿名访问
                .antMatchers("/login").anonymous()
                //除此之外的所有接口需要鉴权认证
                .anyRequest().authenticated();
        //添加JWT过滤器在UsernamePasswordAuthenticationFilter之前
        httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);


    }

1.在登录接口调用ProviderManager

		//Authentication authticate对用户进行认证
        Authentication authentication = null;
        //该方法会去调用UserDetailsServiceImpl.loadUserByUsername
        authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username,password));

2.自定义UserDetailsService
2.1实现UserDetails接口,封装用户信息

public class LoginUser implements UserDetails {

	private SysUser user;

	public LoginUser(SysUser user,List<String> permissions) {
        this.permissions = permissions;
        this.user = user;
    }
	@Override
	private List<GrantedAuthority> authorities;
	public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
		//把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
        authorities = permissions.stream().
                map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        return authorities;
    }

}

2.2重写loadUserByUsername方法,改为在数据库中查询用户信息和权限

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    ISysUserService userService;

    @Autowired
    SysMenuMapper menuMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //查询用户信息
        SysUser user = userService.selectUserByUserName(username);
        if (user == null){
            throw  new UsernameNotFoundException("该用户不存在");
        }
        //获取用户权限
        List<String> auth = menuMapper.selectPermsByUserId(user.getUserId());
        return new LoginUser(user,auth);

    }
}

3.将返回的UserDetails对象通过PasswordEncoder进行对比
在登录过程中对密码进行加密,使用时只需要把BCryptPasswordEncoder对象注入Spring容器中,SpringSecurity就会使用该PasswordEncoder来进行密码校验

public class SecurityConfig extends WebSecurityConfigurerAdapter{
@Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

4.认证成功后,返回jwt,将用户信息存储到redis中,以后的请求头携带该jwt

public String login(String username,String password) {

        //Authentication authticate对用户进行认证
        Authentication authentication = null;
        //该方法会去调用UserDetailsServiceImpl.loadUserByUsername
        authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username,password));
        if (Objects.isNull(authentication)) {
            throw new RuntimeException("认证失败");
        }
        //取到用户userID
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        String userId = loginUser.getUser().getUserId().toString();
        //根据用户Id生成JWT
        String jwt = JwtUtil.createJWT(userId);
        //authenticate存入redis
        redisCache.setCacheObject("login:"+userId, loginUser);
        //设置过期时间
        redisCache.expire("login:"+userId, 1800);
        return jwt;
    }

5.配置认证过滤器
对请求头中的token进行解析,将解析到的userId到redis中进行查询,将查询到的LoginUser封装成Authentication对象存入SecurityContextHolder

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取token
        String token = request.getHeader("token");
        if (!StringUtils.hasText(token)) {
            //放行
            filterChain.doFilter(request, response);
            return;
        }
        //解析token
        String userid;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userid = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }
        //从redis中获取用户信息
        String redisKey = "login:" + userid;
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        if(Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录");
        }
        //存入SecurityContextHolder
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser,null,null);
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        //放行
        filterChain.doFilter(request, response);
    }
}

6.退出登录
获取SecurityContextHolder中的认证信息,删除redis中对应的数据即可。

public ResponseResult logout() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        Long userid = loginUser.getUser().getId();
        redisCache.deleteObject("login:"+userid);
        return new ResponseResult(200,"退出成功");
    }

3.授权过程分析

基本流程
​ 在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。
1.在LoginUser中添加权限信息

public class LoginUser implements UserDetails {
		......
	//存储权限信息
    private List<String> permissions;
	//存储SpringSecurity所需要的权限信息的集合
    @JSONField(serialize = false)
    private List<GrantedAuthority> authorities;

    @Override
    public  Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
        //把permissions中字符串类型的权限信息转换成GrantedAuthority对象存入authorities中
        authorities = permissions.stream().
                map(SimpleGrantedAuthority::new)
                .collect(Collectors.toList());
        return authorities;
    }
}

2.在UserDetailsServiceImpl把权限信息封装到LoginUser

public class UserDetailsServiceImpl implements UserDetailsService {
		......
 		//获取用户权限
        List<String> auth = menuMapper.selectPermsByUserId(user.getUserId());
        return new LoginUser(user,auth);
        }

3.对认证过滤器中对token进行解析,将权限封装到Authentication中
解析token获取UserLogin对象

UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());
             SecurityContextHolder.getContext().setAuthentication(authenticationToken);

4.加上权限注解@PreAuthorize
在这里插入图片描述
需要有system:role:query权限才能操作

@PreAuthorize("hasAuthority('system:role:query')")
    @GetMapping(value = "/{roleId}")
    public AjaxResult getInfo(@PathVariable Long roleId)
    {
        return AjaxResult.success(roleService.selectRoleById(roleId));
    }

总结

以上内容是对SpringBoot整合SpringSecurity一些基础的操作,SpringSecurity还可以根据具体需求自定义失败处理,登出处理等,总之十分好用,还需不断探索。

splz
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+react前后端分离项目.zip
07-25
基于spring和react开发的前后端分离项目,后台使用springboot+hibernate+security等技术,前端使用react+axios+antd等框架,数据库使用mysql5.5+。项目已经开发了后台管理模块,包括用户、角色、组织、菜单、字典、系统参数、操作日志等模块,并整合了微信小程序、百度ocr等资源。可直接用于项目开发使用,也可以用于技术学习。
SpringBoot+SpringSecurity+Mybatis+Vue前后端分离的宿舍管理系统源码.zip
05-18
SpringBoot+SpringSecurity+Mybatis+Vue前后端分离的宿舍管理系统 启动后端 导入sql文件 使用ide导入项目dorm-admin-server 更新maven 修改application.yml 运行DormAdminServerApplication.java 启动前端 导入项目dorm-admin-page 修改config/index.js 打开命令行界面 npm install npm run dev 技术栈: 前端:Vue 后端:Spring boot + Spring security + Mybatis 数据库:MySQL+Redis
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
最新发布
程序员雅痞的博客
03-28 4142
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。
SpringBoot新手篇】SpringBoot集成SpringSecurity前后端分离开发
输入技术、输出想法
04-16 831
SpringBoot整合SpringSecurity前后端分离开发1. 安全简介2. 认识SpringSecurity“认证”(Authentication)“授权” (Authorization)3.SpringBoot整合Security认证和授权权限控制和注销记住我定制登录页完整配置代码4. 前后端分离开发pomapplication.yml业务层实现UserDetailsServiceSecurityConfig 1. 安全简介 在Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功
基于SpringBoot实现SpringSecurity前后分离
小左的博客
01-10 1014
使用springSecurity已经有一段时间了,但是每次用还是感觉很茫然…这次我要把每个实现细节都记录一下。 **带着问题找答案,先把问题记录一下,如果这些问题你也和我一样茫然,那希望后续能帮助到你~ ** 前后端分离如何自定义自己的请求路径~ 如何返回JSON格式数据 如何配置权限码来实现权限控制 以上的这些问题想必你也遇到了吧。 ##自定义表单 SpringSecurity是基于一系列...
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具本JDK1.8MySQL5.7
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
springbootspringsecurity前后端分离(一个小demo)
08-21
一个小demo前后端分离的情况下给到前端是否跳转到登录页的标识符
springboot前后端分离的方式整合springSecurity
qq_45152746的博客
09-25 320
文章目录定义登录的逻辑实现和编码器ioc容器中注入编码器自定义用户验证逻辑设置登录成功或者失败的处理方向自定义登录成功处理逻辑自定义登录失败处理逻辑登录后采用JWT的方式验证身份JWT工具类自定义JWT验证过滤器将定义好的JWT过滤器添加至过滤器执行链 定义登录的逻辑实现和编码器 使用springSecurity需要首先定义配置类继承springSecurity中的WebSecurityConfigurerAdapter,根据自己的需要来重写父类中的方法,实现自定义springSecurity的功能。首先我
SpringSecurity前后端分离
X_lsod的博客
02-13 1万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringBoot_SpringSecurity
springboot-security 前后端分离开发
09-05
整合SpringBootSpringSecurity实现jwt认证,前后端分离开发
springboot+Vue整合前后端分离权限后台管理系统
06-19
本课程从0到1实现一个基于SpringBoot+Jpa+JWT+Spring Security+Vue+ElementUI整合前后端分离权限后台管理系统,数据库采用的是:mysql5.7,本项目主要功能模块有:用户管理、角色管理、菜单管理、部门管理、岗位管理...
Springboot +spring security前后端分离时的security处理方案(二)
weixin_40991408的博客
05-31 834
Springboot +spring security前后端分离时的security处理方案(二)
SpringBoot + Spring Security 前后端分离
weixin_37771177的博客
08-21 419
SpringBoot + Spring Security 前后端分离(后端提供判断标识) 弄了一天: 主要是前后端分离前端接参 ,后台根据登录人所拥有的权限来给出可以访问的接口; 码云代码小demo,https://gitee.com/xueyuanxiang/codes/gzcy4r7219emtufh653ab43 引包 <dependency> &lt...
超全的springboot+springsecurity前后端分离简单实现!!!
weixin_42375707的博客
12-05 1万+
1、前言部分 1.1、唠嗑部分(如何学习?) 看springsecurtiy原理图的时候以为洒洒水,妈的,结果自己动手做的时候一窍不通,所以一定不要眼高手低,实践出真知! 通过各种方式学习springsecurity,在B站、腾讯课堂、网易课堂、慕课网没有springsecurity前后端分离的教学视频,那我就去csdn去寻找springsecurity博客,发现几个问题: 要么就是前后端不分离,要么就是通过内存方式读取数据,而不是通过数据库的方式读取数据,要么就是大佬们给的代码不全、把代码.
SpringBoot_整合SpringSecurity前后端分离
m0_67393619的博客
08-02 3841
1、登录校验流程2、SpringSecurity简单过滤器链(完整的过滤器大概是14个),前后端分离一般用jwt,前后端不分离一般采用session。
SpringBoot前后端分离项目,集成Spring Security(完整
读钓的博客
05-12 4569
本文讲解使用SpringBoot本:2.2.6.RELEASE,Spring Security本:5.2.2.RELEASE Java流行的安全框架有两种Apache Shiro和Spring Security,其中Shiro对于前后端分离项目不是很友好,最终选用了Spring SecuritySpringBoot提供了官方的spring-boot-starter-security,能够方便的集成到SpringBoot项目中,但是企业级的使用上,还是需要稍微改造下,本文实现了如下功能: 匿名用户.
springboot3 security jwt前后端分离
08-29
- *1* *2* *3* [SpringBoot整合SpringSecurity前后端分离](https://blog.csdn.net/weixin_44283656/article/details/125166541)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值