SpringSecurity 前后端分离

最新推荐文章于 2024-07-11 14:56:13 发布
最新推荐文章于 2024-07-11 14:56:13 发布
阅读量520 收藏 1
点赞数
文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44514323/article/details/114282755
版权

初学springSecurity时,我们发现它还是高度前后端耦合的,为了能好好改造它,我先分析了它实现的原理:它底层是javaweb中的Filter 而Filter对象有一个dofilter方法 ,这个方法基本和sevelt的doget方法的参数一样都有 httpRequst 对象, 所以它是用的httpRequest对象进行了请求的转发. 把filter匹配的url都转发到Login里面。
所以进行改造的第一步就是改变它的底层逻辑 , 不在是转发,而是用HttpReponse对象返回 json :

package com.itheima._2021_3_2_springboot_security_devide;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.util.JSONPObject;
import org.mybatis.spring.annotation.MapperScan;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.devtools.restart.FailureHandler;
import org.springframework.context.annotation.Bean;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.DisabledException;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.password.Pbkdf2PasswordEncoder;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

@SpringBootApplication(scanBasePackages = "com.itheima")
@EnableWebSecurity()
@MapperScan(basePackages = "com.itheima.Dao")
public class Application extends WebSecurityConfigurerAdapter {
    @Value("${system.user.password.secret}")
    private String scret;
    @Bean("passwordEncoder")
    public PasswordEncoder getPasswordEncoder(){
        return new Pbkdf2PasswordEncoder();
    }
    @Autowired
    @Qualifier("passwordEncoder")
    private PasswordEncoder PasswordEncoder;

    @Autowired
    @Qualifier("Service1")
    UserDetailsService userDetailsService;

    @Autowired
    private ObjectMapper objectMapper;

//    @Override
//    public void  configure(AuthenticationManagerBuilder authenticationManagerBuilder)  {
//        PasswordEncoder passwordEncoder = new Pbkdf2PasswordEncoder(scret);
//
//        try {
//            authenticationManagerBuilder.userDetailsService(userDetailsService)
//                    .passwordEncoder(passwordEncoder);
//        } catch (Exception e) {
//            e.printStackTrace();
//        }
//
//
//    }

    @Bean
    public AuthenticationProvider authenticationProvider(){
        DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        authenticationProvider.setPasswordEncoder(PasswordEncoder);
        authenticationProvider.setUserDetailsService(userDetailsService);
        return authenticationProvider;
    }


    @Override
    public void configure(HttpSecurity http) throws Exception {






        http
                .authenticationProvider(authenticationProvider())
                .httpBasic()
                //未登录时,进行json格式的提示,很喜欢这种写法,不用单独写一个又一个的类
                .authenticationEntryPoint(new AuthenticationEntryPoint() {
                    @Override
                    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
                        //在这里 可以把我们 覆写的filter写入 //这个filter处理的是未登录的问题
                        httpServletResponse.setContentType("text/html;charset=UTF-8");
                        PrintWriter writer = httpServletResponse.getWriter();
                        Map<String, Object> map = new HashMap<String, Object>();
                        map.put("code", 403);
                        map.put("message", "未登录");
                        writer.write(objectMapper.writeValueAsString(map));
                        writer.flush();
                        writer.close();
                    }
                })
                //已经登录失败的处理
                .and()
                .authorizeRequests()
                .anyRequest().authenticated()//必须授权了才能范围
                .and()
                .formLogin()
                .permitAll()
                //登录失败 的handler  ,也是返回json而不是转发
                .failureHandler(new AuthenticationFailureHandler() {


                    @Override
                    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        httpServletResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                        PrintWriter out = httpServletResponse.getWriter();
                        Map<String, Object> map = new HashMap<String, Object>();
                        map.put("code", 401);
                        if (e instanceof BadCredentialsException) {
                            map.put("message", "用户名或密码错误");
                        } else if (e instanceof DisabledException) {
                            map.put("message", "账户被禁用");
                        } else {
                            map.put("message", "登录失败!");
                        }
                        out.write(objectMapper.writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                //登录成功时
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        Map<String, Object> map = new HashMap<String, Object>();
                        map.put("code", 200);
                        map.put("message", "登录成功");
                        map.put("data", authentication);
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write(objectMapper.writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                .and()
                .exceptionHandling()
                //当没有权限访问某url时,
                .accessDeniedHandler(new AccessDeniedHandler() {
                    @Override
                    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
                        PrintWriter out = httpServletResponse.getWriter();
                        Map<String, Object> map = new HashMap<String, Object>();
                        map.put("code", 403);
                        map.put("message", "权限不足");
                        out.write(objectMapper.writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                .and()
                .logout()

                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        Map<String, Object> map = new HashMap<String, Object>();
                        map.put("code", 200);
                        map.put("message", "退出成功");
                        map.put("data", authentication);
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write(objectMapper.writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                }).permitAll();
        //开启跨域访问
        http.cors().disable();
        //开启模拟请求
        http.csrf().disable(); //其实csrf也可以用前后端分离来实现 ,


    }
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }





}

测试:用本地html调用接口试试

<html>
<head>

    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
    <meta http-equiv="content-type" content="text/html;charset=utf-8">

</head>

<body>
   <form name='f' action='http://localhost:8080/login' method='POST'>
<table>
	<tr><td>User:</td><td><input type='text' name='username' value=''></td></tr>
	<tr><td>Password:</td><td><input type='password' name='password'/></td></tr>
	<tr><td colspan='2'><input name="submit" type="submit" value="Login"/></td></tr>
</table>
</form>

<a href="www.baidu.com">???</a>
</body>
</html>

得到json提示
{“code”:401,“message”:“用户名或密码错误”}

到这里springSecurity的前后分离 也就完成了,总结,传统javawe工程转前后端分离项目基本就是把请求的转发和重定向 ,变成返回json字符串。

weixin_44514323
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security前后端分离
YMY_666的博客
01-20 771
前后端分离,配置所有接口以及权限放行以及跨域和csrf拦截等 @Override protected void configure(HttpSecurity http) throws Exception { //使用自定义表单登录 http.formLogin() //未登录返回json .loginPage("/unLogin") //登录url
SpringSecurity前后端分离
X_lsod的博客
02-13 2万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3319
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Sping Security前后端分离两种方案
sdasdas12的博客
07-10 439
Spring Security是基于Spring框架,提供了一套Web应用安全性的完整解决方案。关于安全方面的两个核心功能是认证和授权,Spring Security重要核心功能就是实现用户认证(Authentication)和用户授权(Authorization)。Spring Security进行认证和鉴权的时候,采用的一系列的Filter来进行拦截的。下图是Spring Security基于表单认证授权的流程,
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
Spring Security在前端后端分离项目中的使用
黑马程序员官方博客
11-22 1304
}我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。① 如果是认证过程中出现的异常会被封装成然后调用。
springbootspringsecurity前后端分离(一个小demo)
08-21
一个小demo前后端分离的情况下给到前端是否跳转到登录页的标识符
SpringSecurity - 前后端分离简单实战 - 环境准备
铠の魂博客
07-19 723
看完上面的文章,我们再结合一次实战来更深入的了解SpringSecurity的运行规则,上面的文章我只挑选了最重要的进行翻译,也就是它的架构部分。SpringSecurity的核心就是其过滤器,因为它就是根据过滤器来实现的,其它扩展功能都是添加新的过滤器来实现。所以我们想玩转SpringSecurity进行安全管理,就是要去熟悉它的过滤器,然后才能自定义自己的过滤器,来进行认证和授权处理。而且网上的博客很多教程已经落后,我们使用当前最新版的来自定义我们web的安全管理。..................
springSecurity实现前后端分离的认证授权管理
qq_50518856的博客
12-09 1157
通过SpringSecurity框架进行前后端分离开发的后端认证授权功能,完整的SpringSecurity配置,进行参考。
Shiro+Cas微服务化及前后端完全分离
08-25
主要为大家详细介绍了Shiro+Cas微服务化及前后端完全分离,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统
12-11
基于Spring Cloud、OAuth2.0、Vue的前后端分离的系统。 通用RBAC权限设计及其数据权限和分库分表 支持服务限流、动态路由、灰度发布、 支持常见登录方式, 多系统SSO登录
SpringSecurity前后端分离下的方案
一名蒟蒻的博客
07-23 667
四、SpringSecurity前后端分离下的方案 1、基本原理: 登录过程是SpringSecurity原理,然后验证成功后利用Jwt生产用户Token,用Key为Token,Value为用户信息存入Redis中完成首次登录。 之后的请求中,过滤器去判断请求中是否携带了Token,如果有就直接放行继续接下来的操作,否则无权访问需要登录。 思路流程图: 2、详细代码流程 编写核心配置了 @EnableGlobalMethodSecurity(securedEnabled = true,
前后端分离spring security 跨域问题等
qq_35494808的博客
10-10 2万+
最近在做一个项目,前后端分离,不可避免的遇到了跨域问题。起初是配置跨域: @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { private CorsConfiguration buildConfig() { CorsConfiguration corsConfigurat...
Spring Security&前后端分离项目的使用
LeptoK的博客
10-11 922
整体思路 前端页面登录,绑定对象,发送axious到后端,进行验证 后端接收到前端的信息,此时密码为明文,而数据库中密码为密文,只能通过用户名查询数据库,判断用户是否存在,如果存在,通过BCryptPasswordEncoder对密码进行验证 验证密码通过后,查询用户的角色和权限信息,放到用户对象中,此时只需要字符串即可 通过私钥进行加密,颁发令牌到前端 前端接收到登录后的响应,判断是否成功登录,如果成功将token存在localstorage中,然后通过路由跳转页面到首页,登录操作完毕 此时访问其他资源
SpringBoot前后端分离项目,集成Spring Security(完整版)
读钓的博客
05-12 4617
本文讲解使用SpringBoot版本:2.2.6.RELEASE,Spring Security版本:5.2.2.RELEASE Java流行的安全框架有两种Apache Shiro和Spring Security,其中Shiro对于前后端分离项目不是很友好,最终选用了Spring SecuritySpringBoot提供了官方的spring-boot-starter-security,能够方便的集成到SpringBoot项目中,但是企业级的使用上,还是需要稍微改造下,本文实现了如下功能: 匿名用户.
SpringBoot集成Security前后端分离SecurityConfig配置
qq_41910048的博客
03-20 7998
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
Spring源码(三) Spring IoC之BeanFactory创建bean和获取bean
最新发布
一生编程,快乐编程
07-11 937
bean 对象主要放在 map 里面,map 作为缓存。map 的key 是 bean对象的名称, value 是 bean 对象或者对象工厂。代码详情见: https://blog.csdn.net/sinat_32502451/article/details/140155044。详情见: https://blog.csdn.net/sinat_32502451/article/details/140247662。根据 bean 名称,返回已经注册的单例对象,如果没有注册,则创建并注册一个新对象。
spring security 前后端分离
03-16
Spring Security 前后端分离是一种常见的安全解决方案,它将前端和后端分离开来,使得前端和后端可以独立开发和部署。在这种架构下,前端负责展示页面和用户交互,后端负责处理业务逻辑和数据存储,Spring Security ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值