SpringSecurity

最新推荐文章于 2024-04-27 09:42:10 发布
最新推荐文章于 2024-04-27 09:42:10 发布
阅读量201 收藏
点赞数
文章标签: java 数据库 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44825160/article/details/126810661
版权

一 、SpringSecurity过滤器链

过滤器链
spring security本质上是一个过滤器链,我们的工作就是负责自定义实现其中的一些过滤器,然后加入一些配置类。

二、Spring Security认证完整过程

SpringSecurity 代码过程
我们的实现过程

登录

1.controller

@Autowired
    private LoginService loginService;

    @PostMapping("/user/login")
    public ResponseResult login(@RequestBody User user){
        // 登录
       return loginService.login(user);
    }

2.service

注:这里对应认证流程中的第一步,封装用户名和密码到一个Authentication对象中,但是Authentication是一个接口,所以我们new一个他的实现类。

authenticationManager.authenticate(authenticationToken) 来验证和数据库中的用户名和密码是否正确。如果认证通过的话,这里会返回一个UserDetails对象。

authenticate 会调用 UserDetailsService接口中的 loadUserByUsername(String username) throws UsernameNotFoundException;

但是我们不能使用jdk中的实现方法,因为他是去内存中查询,我们需要自定义实现类,来实现 loadUserByUsername(String username); 见下面。

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private RedisCache redisCache;

    @Override
    public ResponseResult login(User user){
        // AuthenticationManager authenticate进行用户认证
        // 将登录时的用户名和密码封装成 authentication
//        Authentication 是一个接口 需要使用 UsernamePasswordAuthenticationToken实现类 来封装用户名和密码
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());
        Authentication authenticate = authenticationManager.authenticate(authenticationToken); // 这个地方经过一些列流程 到达 自己实现的 userDetailService 实现类 去查数据库,在这一步也是用到了SecurityConfig 中的PasswordEncoder
        System.out.println(authenticate);
        // 如果认证不通过,给出提示
        if (Objects.isNull(authenticate)){
            throw new RuntimeException("登录失败!");
        }
        //认证通过,使用userId 生成 jwt jwt存入ResponseResult
        LoginUser loginUser = (LoginUser)authenticate.getPrincipal();
        String userId = loginUser.getUser().getId().toString();

        String jwt = JwtUtils.createJWT(userId);
        HashMap<String,String> jwtMap = new HashMap<>();
        jwtMap.put("token",jwt);
        //用户信息 jwt 存入 redis

//        System.out.println("loginService ====" + loginUser);
        redisCache.setCacheObject("login:"+userId,loginUser);

        return new ResponseResult(200,"success",jwtMap);
    }
自定义UserDetailsService实现类

注:这里返回的LoginUser是自定义实体类,实现了UserDetails,看下面;
最终返回登录结果。

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    public UserMapper userMapper;

    @Autowired
    public MenuMapper menuMapper;

//    @Autowired
//    public PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

//        System.out.println(username);

        // 查询用户信息
        LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
        queryWrapper.eq(User::getUserName,username);
        User user = userMapper.selectOne(queryWrapper);
//        System.out.println(user)
//        如果没有查询到用户,就抛出异常

        if(Objects.isNull(user)){
            throw new RuntimeException("用户名不存在,或者密码错误!!!");
        }

        // TODO 查询权限信息
        List<String> list = menuMapper.selectPermsByUserId(user.getId());

        // 封装用户信息 到 userdetails
        return new LoginUser(user,list); // 这里返回了userdetails对象 里面包含密码 要和登陆密码进行对比 ,不对则登陆失败
    }
}
LoginUser实体类
@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {

    private User user;

    private List<String> permissions;

    public LoginUser(User user, List<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }

    @JSONField(serialize = false)
    private List<GrantedAuthority> authorities;

    // 返回权限信息
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities != null){
            return authorities;
        }
        authorities = new ArrayList<>();
        for (String permission : permissions) {
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(permission);
            authorities.add(simpleGrantedAuthority);
        }

        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    // 是否过期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    // 是否超时
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
JwtAuthenticationTokenFilter

当用户登陆后访问其他资源时,首先要通过这个过滤器来验证是否登录过,然后通过了就可以放行下面的过程。

	@Autowired
    private RedisCache redisCache;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 获取token
        String token = request.getHeader("token");
        if(!StringUtils.hasText(token)){
            filterChain.doFilter(request,response);
            return;
        }
        // 解析token
        String userId;
        try {
            Claims claims = JwtUtils.parseJWT(token);
            userId = claims.getSubject(); // 因为之前时使用userId 生成的 token ,所以这里可以解析到 userId
        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token 非法");
        }

        String redisKey = "login:" + userId;
        System.out.println("redisKey =============== " + redisKey);
        //从redis中获取用户信息
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        System.out.println("filterloginUser ====== " + loginUser);
        if(Objects.isNull(loginUser)){
            throw new RuntimeException("用户未登录");
        }
        // 存入SecurityContexHolder
        // 获取权限信息
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        // 放行
        filterChain.doFilter(request,response);
    }
ssjyzy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 3991
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器链中。
Spring Security介绍(三)过滤器(2)自定义
最新发布
w_t_y_y的博客
04-27 662
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
(五)Spring Security自定义过滤器
qq_40179479的博客
09-02 5638
Spring Security自定义一个的过滤器,将其添加到Spring Security过滤器链的合适位置。定义一个自己的过滤器类继承Filter接口即可。 但是在 Spring 体系中,推荐使用 OncePerRequestFilter来实现,它可以确保一次请求只会通过一次该过滤器(Filter实际上并不能保证这 一点)。 public class MySecurityFilter extends OncePerRequestFilter { @Override protec
Spring Security in Action 第九章 SpringSecurity常用过滤器介绍
Learning_xzj的博客
01-28 1145
Spring Security中,HTTP filters(过滤器)对不同的HTTP请求进行过滤。在第三章到第五章,我们讨论了HTTP的认证和授权架构,我经常提到过滤器。在Spring Security中,一般来说,HTTP filters对请求进行过滤。这些过滤器形成了一个责任链。一个过滤器接收一个请求,执行其逻辑,并最终将请求委托给链中的下一个过滤器(图9.1)。图9.1 过滤器链接收请求。每个过滤器使用一个管理器来对请求应用特定的逻辑,并最终将请求沿着链子进一步委托给下一个过滤器。这个想法很简单。当
Spring Security --- 自定义Filter
汤键的博客
06-15 2139
Spring Security --- 自定义Filter
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springSecurity
10-14
springSecurity
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
关于ip的过滤器 spring security例子
09-23
例子讲解可以参看博客:blog.csdn.net/dsundsun
四、SpringSecurity自定义过滤器
a2231476020的博客
08-20 3637
在登录时添加图片验证码认证 添加获取图片验证码的接口: @RestController public class ImageCodeController { @Autowired private RedisTemplate redisTemplate; @GetMapping("/code/image") public void createCode(HttpS...
SpringSecurity权限管理框架系列(七)-SpringSecurity自定义配置类中自定义Filter的使用详解
最爱嫣夜来
03-26 4072
1、Filter请求过滤器 filter请求过滤器可以帮助我们进行HttpServletRequest请求和HttpServletResponse响应的过滤 在自定义的Filter过滤器中我们可以对我们的请求进行过滤, 同时也可以对返回的相应进行处理,在方法中实现我们自定义的业务逻辑处理,这是很常见的需求,下面说说spring security框架中怎么是怎么搭配自定义Filter过滤器来使用的。 2、自定义Spring Security配置类中添加自定义Filter 2.1 自定义Filter类 pac
SpringSecurity-----登录用户权限验证demo
weixin_30655219的博客
07-21 214
准备:   1、Spring Security需要自定义一个继承至AbstractSecurityInterceptor的Filter,该抽象类包含了AccessDecisionManager(决策管理器)、AuthenticationManager(身份认证管理器)的setter, 可以通过Spring自动注入,另外,资源角色授权器需要单独自定义注入   2、AccessDecisionMa...
SpringSecurity自定义Filter、自定义FilterChain以及FilterChain的匹配
户伟伟的博客
12-20 3102
SpringSecurity怎么自定义Filter、怎么自定义FilterChain以及怎么实现FilterChain的匹配
Spring Security在6.0弃用WebSecurityConfigurationAdapter后该如何自定义配置介绍(新旧示例)
热门推荐
weixin_59216829的博客
04-12 1万+
在旧版的配置中,Security需要我们写一个类去继承他的WebSecurityConfigurerAdapter并把这个配置注入到容器中在继承这个类后,我们可以在WebSecurityConfigurer里面去重写WebSecurityConfigurationAdapter类里面的一些方法来实现自定义过滤链等操作实现自定义过滤链需要重写configure(HttpSecurity http)方法这个方法的参数http采用的是链式设计,我们直接 ‘.’就可以进行设置。
Spring security 自定义多条过滤链
qq_23011719的博客
07-31 500
Spirng security 过滤链
Spring Security
09-13
Spring SecuritySpring家族中的一个安全管理框架。与另外一个安全框架Shiro相比,Spring Security提供了更丰富的功能,并且拥有更丰富的社区资源。一般来说,中大型的项目更倾向于使用Spring Security作为安全框架...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值