Springboot使用SpringSecurity实现用户认证

最新推荐文章于 2024-08-07 15:45:56 发布
最新推荐文章于 2024-08-07 15:45:56 发布
阅读量337 收藏
点赞数 3
文章标签: spring boot java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49250451/article/details/130255839
版权

国际惯例导入依赖

   <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

添加security配置类


@Configuration
public class SecurityConfig extends  WebSecurityConfigurerAdapter {    //过时了不影响使用
   @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
             .csrf().disable() 
             .and()
             .authorizeHttpRequests(authz -> authz
             .antMatchers("/user/**").permitAll()
             .anyRequest().authenticated());
    }
}

实现UserDetailService接口,自定义查询逻辑,一般是从数据库中查询

public Class UserDetailsServiceImpl implement UserDetailsService{
     @Override
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Optional<SysUser> user = sysUserMapper.selectOne(c -> c.where(sysUser.userName, isEqualToWhenPresent(username)));
        if(!user.isPresent()){
            // 用户名或密码不正确抛出异常
            throw ... ;
        }
         /*根据用户Id或用户名,查询用户的权限列表*/
        int userId = user.get().getId();
         ......
        return new MyUserDetail(user.get(),permissions);
}

该方法需要返回UserDetails对象,所以需要我们自定义实现该接口


@Data
@NoArgsConstructor
public class MyUserDetail implements UserDetails {
    private SysUser user;
    private List<String> permission;
    private List<SimpleGrantedAuthority> authorities;

    public MyUserDetail(SysUser user, List<String> permission) {
        this.user = user;
        this.permission = permission;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }
        authorities = permission.stream().map(c -> new SimpleGrantedAuthority(c)).collect(Collectors.toList());

        return authorities;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

该对象用来保存数据库查询到的用户信息,包括用户名密码和权限等

将前端传过来的用户名和密码封装成Authentication对象(Security认证对象)

/**
* 参数1:userForm.getUserName  前端传过来的用户名
* 参数2:userForm.getUserName  前端传过来的用户密码
*/
@Service
public UserServiceImpl implements UserService{
@Autowired
private  AuthenticationManager  authenticationManeger; 

UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(userForm.getUserName(),userForm.getPassword());
 Authentication authenticate = authenticationManager.authenticate(auth);
 
 /**Security框架会将authenticate对象中的密码与之前从数据库查询的MyUserDetails对象的密码作比较
 (根据我们在配置类中指定的加密方式:BCryptPasswordEncoder),
 如果用户名和密码相同,则把MyUserDetail对象的权限信息封装到authenticate对象中,不同则抛出异常信息
*/
 if(Objects.isNull(authenticate)){
            throw new SsTestException(ErrorStatusCode.NO_AUTHENTION);
        }
        // 如果存在就将用户的id生成jwtToken字符串,存入到redis中
            // 从认证对象中获取
        MyUserDetail userDetailser=(MyUserDetail) authenticate.getPrincipal();
        SysUser user = userDetailser.getUser();
        // 使用JWT工具类,根据authenticate对象中的用户Id生成token字符串
        String jwt = JwtUtil.createJWT(user.getId().toString());
        // 将认证对象存入到redis
        redisCache.setCacheObject("login:"+user.getId(),userDetailser);
        // 将token字符串返回给前端
        return  jwt;

定义一个过滤器,用来校验前端请求的token字符串和获取redis中的认证对象


/**
 * token认证过滤器
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    @Autowired
    private RedisCache redisCache;
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 获取请求头的token
        String token = request.getHeader("token");
        if(StrUtil.isBlank(token)){
           filterChain.doFilter(request,response);
           return;
        }
        // 解析token
        String userId;
        try {
            Claims claims = JwtUtil.parseJWT(token);
            userId = claims.getSubject();
        } catch (Exception e) {
            e.printStackTrace();
            // 抛出异常
            throw ....;
        }
        // 从redis中获取认证对象
        String key="login:"+userId;
        MyUserDetail userDetail = redisCache.getCacheObject(key);
        if(Objects.isNull(userDetail)){
          throw  new RuntimeException("用户未登录");
        }
        // 存入SecurityContextHolder
        // 获取权限信息封装到Authentication中
        UsernamePasswordAuthenticationToken authenticationToken=new UsernamePasswordAuthenticationToken(userDetail,null,userDetail.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        // 放行
        filterChain.doFilter(request,response);
    }
}

将自定义的过滤器添加到security的过滤器链中


@Configuration
public class SecurityConfig  extends  WebSecurityConfigurerAdapter{
    @Autowired
    JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
   
    @Bean
    public UserDetailsService userDetailsService(){
       return new UserDatailsServiceImpl();
    }

    @Override
    public void configure(AuthenticationManagerBuilder builder) throws Exception {
        builder.userDetailsService(userDetailsService())
                .passwordEncoder(passwordEncoder())
        ;
    }

    //作用: 用来将自定义AuthenticationManager在工厂中进行暴露,可以在任何位置注入
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http                              
        .csrf().disable()
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)  //关闭session管理
        .and() 
        .authorizeHttpRequests(authz -> authz.antMatchers("/user/**").permitAll()
        .anyRequest().authenticated()).addFilterBefore(jwtAuthenticationTokenFilter,UsernamePasswordAuthenticationFilter.class);
    }
}

在这里插入图片描述

狂奔小白
关注
spring boot 实现用户登录认证
11-07
1.架构: spring boot + jpa + thyemleaf, mysql数据库 2.功能实现: 1)使用Logback进行日志记录; 2)使用HandlerInterceptor接口实现登陆认证 3)登陆验证码的生成
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
Spring-Security 认证流程分析及多方式登录认证实践
最新发布
犬小哈
08-07 54
来源:juejin.cn/post/7329144188926967860???? 欢迎加入小哈的星球,你将获得:专属的项目实战 /1v1 提问/Java 学习路线 /学习打卡/每月赠书/社群讨论新项目:《从零手撸:仿小红书(微服务架构)》正在持续爆肝中,基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...,点击查看项目介绍;《...
SpringBoot整合SpringSecurity实现登陆认证及授权
qq_45932382的博客
02-11 1171
springsecutiry
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9848
springboot整合springsecurity实现用户登录认证和鉴权
Spring BootSpring Security用户认证与授权
qq_50011055的博客
06-09 520
Spring Boot中,我们可以使用Spring Security实现用户认证与授权,简单demo 实践检验真理!
SpringBoot+SpringSecurity整合(实现登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBootSpringSecurity以及JPA(Java Persistence API),实现用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
Spring Security提供了一系列接口和类,如`UserDetailsService`和`AuthenticationProvider`,用于实现自定义的认证逻辑。通常,用户通过用户名和密码登录,但Spring Security也支持其他认证方式,如OAuth2、JWT等。 ...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringBoot使用Security认证框架
xq12009的博客
03-07 299
本文章包含Security认证和授权方法 并且在执行Security之前会执行自已编写的PowerFilter过滤器 而且登录信息会存入Redis,也会从Redis取 本文章只是加各种根据类 使用方法前往:https://www.ifnice.cn/archives/26 需要注意: SecurityConfig,45行需要改成你的登录接口地址 LoginUser,需要改动一些东西,注意看注释 PowerFilter,为自已的拦截器,在执行Security之前会执行自已编写的PowerFilter过
springboot-登录认证
m0_64077136的博客
01-31 1097
用户登录成功后,系统会自动下发JWT令牌,然后在后续的每次请求中,都需要在请求头header中携带到服务端,请求头的名称为 token ,值为 登录时下发的JWT令牌。登录成功后,生成令牌 后续每个请求,都要携带JWT令牌,系统在每次请求处理之前,先校验令牌,通过后,再处理。会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束。会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自于同一浏览器,以便在同一次会话的多次请求间共享数据。
springboot + spring security验证token进行用户认证
热门推荐
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLoc...
Spring Boot整合Spring Security(八)基于数据库的用户认证
时雨吹雪的博客
02-11 496
Spring Security基于数据库的用户认证
SpringBoot-Security登录认证与授权
MoneyZHC的博客
07-09 216
SpringBoot-Security登录认证与授权 package com.money.config; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.sp
SpringbootSecurity登陆验证(前后端分离)
weixin_68193389的博客
11-09 832
从前端页面输入账号向后端发送跨域请求,后端接受参数验证是否在数据库中存在,如果存在就去把用户在数据库中的角色权限和资源权限查出来,保存在Security中.登陆成功后就把用户的信息用JWTUtil.createToken()方法生成token,返回给前端,前端拿到token,前端再次向后端发起请求时携带token,后端识别,如果正确的话就放行,不正确就访问失败。
SpringBoot集成Spring Security(1)——登录认证
风清云淡
11-18 2010
一、前言 权限认证框架最常见的除了Shiro,另一个就是Spring Security,相比Shiro而言Spring Security学习难度较大,这里我通过博客记录下自己学习Spring Security的历程。 如果您跟随博客学习,请尽量保持环境一致,否则掉坑了不负责哈O(∩_∩)O~ 环境:SpringBoot2.3.6.RELEASE,Spring Security5+ 二、环境依赖 这里使用SpringBoot是2.3.6,Spring Security默认是5.3.5 <depen
SpringBoot实战篇】登录认证
m0_68467925的博客
04-13 1684
登录;JWT token;就是在未登录之前,访问某些页面内容,会被拦截,显示未登录,请登录等字样定义了一种简洁欸的、自包含的格式,用于通信对方以json数据格式安全的传输信息使用JWT token令牌用户登录成功后后台生成一个令牌,并将令牌响应给浏览器;浏览器访问其他页面都必须携带上这个令牌,才能访问成功承载业务数据,减少后续请求查询数据库的次数防篡改,保证信息的合法性和有效性。
Springboot整合Shiro实现登录认证
qq_42077317的博客
07-08 1099
另外,如果我们想要控制对于接口访问权限,也可以使用Shiro相关注解实现,比如像 @RequestPermissions这样的注解就可以进行控制用户的权限,这里就不做过多说明了。Realm,可以有1个或多个Realm,即安全实体数据源,即用于获取安全实体的;Shiro 是一个功能强大且易于使用的轻量级Java安全框架,包括身份验证、授权、加密及会话管理,使用Shiro易于理解的API,可以轻松地保护任何应用程序。SecurityManager即安全管理器,可以视为拦截器,拦截请求,并转至shiro中处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值