Spring Security

最新推荐文章于 2024-07-21 23:44:17 发布
最新推荐文章于 2024-07-21 23:44:17 发布
阅读量167 收藏
点赞数
分类专栏: 总会有一些新东西要学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45044097/article/details/109120011
版权

Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。

项目代码片段

记一次项目中使用的Spring security进行权限验证。admin,distrAdmin,reseller这三个权限为例。

安装mysqld服务器,输入命令:mysqld --install,启动mysql服务:net start mysql
加入依赖:

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

控制层:AuthController.java

@Slf4j
@RestController
@RequestMapping("/user")
@Api(value = "web管理页面,用户认证 login")
public class AuthController {
    @Autowired
    private AuthService authService;
    @PostMapping(value = "/login")
    @ApiOperation(value = "用户登陆", notes = "User")
    public ResponseEntity<?> login(@RequestBody @Valid UserVo userVo) {
        return authService.login(userVo);
    }
    @PostMapping(value = "/logout")
    @ApiOperation(value = "用户登出", notes = "User")
    @PreAuthorize("hasAnyRole('admin', 'distrAdmin', 'distrOperator', 'reseller')")
    public ResponseEntity<?> logout(@ApiIgnore @AuthenticationPrincipal UserBrief brief) {
        return authService.logout(brief);
    }
    @GetMapping(value = "/me")
    @ApiOperation(value = "用户认证", notes = "User")
    @PreAuthorize("hasAnyRole('admin', 'distrAdmin', 'distrOperator', 'reseller')")
    public ResponseEntity<?> me(@ApiIgnore @AuthenticationPrincipal UserBrief user) {
        return authService.me(user);
    }
}

AuthService.java
AuthServiceImpl.java

@Service
@Slf4j
public class AuthServiceImpl implements AuthService {
    private static final String DEFAUL_AUTHORITY_PREFIX = "ROLE_";
    @Autowired
    private DomainPasswordEncoder passwordEncoder;
    @Autowired
    private UserService userService;
    @Override
    public ResponseEntity<?> login(UserVo userVo) {
        User user = userService.getOne(new LambdaQueryWrapper<User>().eq(User::getUserName, userVo.getName()));
        if (ComUtil.isNull(user) || user.getUserType().isAppUser()) {
            throwBadRequest(LOGIN_FAIL);
        }
        boolean isMatch = passwordEncoder.match(userVo.getPassword(), user.getPassword());
        if (!isMatch) {
            throwBadRequest(LOGIN_FAIL);
        }
        Date now = new Date();
        //set login state: On=1 setting Sign in status On=1
        user.setStatus(Constant.MGR_USER_ON);
        String token = GenerationSequenceUtil.generateUUID("").substring(0, 16);
        userService.lambdaUpdate().set(User::getStatus, Constant.MGR_USER_ON)
                .set(User::getToken, token)
                .set(User::getTokenExpireDate, DateTimeUtil.addDays(now, 7))
                .eq(User::getId, user.getId()).update();
        String sessionKey = DesUtil.encrypt(String.format("%s%s", token, user.getUserName()));
        return ok(new UserLoginVo(user.getUserType(), sessionKey));
    }

    @Override
    public ResponseEntity<?> logout(UserBrief brief) {
        log.info("logout:{u:{}-{}}", brief.getId(), brief.getUserName());
        userService.lambdaUpdate().set(User::getStatus, Constant.APP_USER_OFF)
                .set(User::getToken, null)
                .set(User::getTokenExpireDate, null)
                .eq(User::getId, brief.getId()).update();
        return ok().build();
    }

    @Override
    public ResponseEntity<?> me(UserBrief user) {
        User found = userService.getById(user.getId());
        UserMeVo me = new UserMeVo(found.getUserType(), found.getDistrId(), found.getResellerId());
        return ok(me);
    }

    @Override
    public Authentication checkLogin(String userName) {
        User auth = userService.getOne(new LambdaQueryWrapper<User>().eq(User::getUserName, userName)
                .gt(User::getTokenExpireDate,new Date()));
        if(ComUtil.isEmpty(auth)){
            return null;
        }
        return buildAuthentication(auth, auth.getToken());
    }

    private Authentication buildAuthentication(User user, String token) {
        List<GrantedAuthority> authorities = Lists.newArrayList(
                new SimpleGrantedAuthority(DEFAUL_AUTHORITY_PREFIX + user.getUserType().name()));
        PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken(user.toBrief(),
                user.getPassword(), authorities);
        authentication.setDetails(token);
        return authentication;
    }
}

TokenAuthenticationProvider.java

public class TokenAuthenticationProvider implements AuthenticationProvider {
    public TokenAuthenticationProvider() {
    }
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        Optional<String> username = (Optional) authentication.getPrincipal();
        Optional<String> token = (Optional) authentication.getCredentials();
        emptyValidation(username, token);
        Class cls = null;
        Object resObj = null;
        try {
            cls = Class.forName("jp.co.tenfeetwright.sum.dmc.service.impl.AuthServiceImpl");
            Object obj = SpringUtil.getBean("authServiceImpl", cls);
            Method mth = ReflectionUtils.findMethod(obj.getClass(), "checkLogin", String.class);
            resObj = ReflectionUtils.invokeMethod(mth, obj, username.get());
        } catch (Exception e) {
            e.printStackTrace();
        }
        if(ComUtil.isEmpty(resObj)){
            throw new BadCredentialsException("Invalid token or token expired");
        }
        Authentication result = (Authentication) resObj;
        Optional<Object> auth = Optional.ofNullable(resObj);
        if (!auth.isPresent() || auth.get() == null) {
            throw new BadCredentialsException("Invalid token or token expired");
        }
        if (!result.getDetails().equals(token.get())) {
            throw new BadCredentialsException("Invalid token or token expired");
        }
        return result;
    }

    private void emptyValidation(Optional<String> username, Optional<String> token) {
        if (!username.isPresent() || username.get().isEmpty()) {
            throw new BadCredentialsException("Invalid token");
        }
        if (!token.isPresent() || token.get().isEmpty()) {
            throw new BadCredentialsException("Invalid token");
        }
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return aClass.equals(PreAuthenticatedAuthenticationToken.class);
    }
}

注意:因为没有使用过这个,在之前写过的一个访问/login的页面跳转现在不起作用了(包括其他的接口也都被拦截,无法访问),就是因为security内置了一个login页面。
以上代码不全,截取的项目中的代码。

学习Demo

以下是我写的一个可用的Demo,自取:
https://download.csdn.net/download/weixin_45044097/13104660

莫小夕儿呀
关注
专栏目录
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
springcloud集成Spring Security
最新发布
youxmm的博客
07-21 2965
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
Spring Security配置
qq_46005551的博客
03-27 2408
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config(配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
SpringSecurity认证
小钟不想敲代码
05-28 5336
SpringSecurity认证
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6874
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
SpringBoot整合SpringSecurity(通俗易懂)
BookSea的博客
10-24 4万+
先看后赞,养成习惯。 点赞收藏,人生辉煌 基于数据库的身份认证 一、创建项目 创建一个 SpringBoot 模块项目,选择相关依赖: 先搭建项目正常访问,在pom.xml中,先把Spring Security依赖注释 <!--<dependency>--> <!--<groupId>org.springframework.boot</groupId>--> <!--<artifactId>spring-bo.
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Qt 下载安装
weixin_45044097的博客
05-08 8470
文章目录Qt下载,安装多种渠道下载1 Qt官方下载(慢)2 Qt国内镜像下载(较快)3 迅雷下载(快)安装 Qt下载,安装 多种渠道下载 1 Qt官方下载(慢) http://download.qt.io/ archive 和 official_releases 两个目录都有最新的 Qt 开发环境安装包。Archive—qt 这个 qt 目录包含了所有的 Qt 版本,从 1.0 到目前的 5....
2020-10-13前端获取的数据始终和后台发来的数据不太一致(布尔值)
weixin_45044097的博客
10-13 1901
记一些遇到的乱七八糟的东西,万一以后遇到要用呢。 find / -name ‘*logf’ find . -name test mvn install -Ddockerfile.skip=true -Dmaven.test.skip=true -X mvn compile/clean/test/test-compile/site/package/install @NotEmpty 集合上面使用 @NotBlank 用在String上面 @NotNull 基本数据类型 MyBatis-Plus(简称 MP)是
win10自带IE浏览器自动变成Edge了
weixin_45044097的博客
06-29 1827
我一打开win10自带IE浏览器自动变成Edge了,但是产品测试需要兼容ie11的,找个办法可以使用ie11 点完这里就可以得到新鲜的 IE了,之前从其他途径打开的 ie,但是不能F12调试,恼火,现在找到可以进入的“歪门邪道”了。...
SpringBoot之mockMvc
weixin_45044097的博客
11-12 1344
文章目录 SpringBoot创建的Maven项目中,会默认添加spring-boot-starter-test依赖。在《5分钟快速上手SpringBoot》中编写的单元测试使用了MockMvc。 什么是Mock 在面向对象的程序设计中,模拟对象(英语:mock object)是以可控的方式模拟真实对象行为的假对象。在编程过程中,通常通过模拟一些输入数据,来验证程序是否达到预期结果。 SpringBoot中使用 第一步:jar包引入。创建SpringBoot项目中默认引入的spring-boot-start
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值