springboot+security

已于 2024-02-06 17:45:11 修改
阅读量458 收藏 2
点赞数 13
分类专栏: springboot 文章标签: spring boot java 后端 intellij-idea
于 2024-02-06 17:41:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54479864/article/details/136060283
版权

一、导入依赖

​ 先导入redis、JWT、SpringSecurity的相关依赖。

<!--redis-->
   <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-redis</artifactId>
    </dependency>
<!--security-->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-test</artifactId>
        <scope>test</scope>
    </dependency>
<!--JWT令牌-->
    <dependency>
        <groupId>com.auth0</groupId>
        <artifactId>java-jwt</artifactId>
        <version>3.4.0</version>
    </dependency>

二、基于RBAC建表

​ RBAC 是基于角色的访问控制在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,
而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。

三、建立User、Role、Perms实体类

1.用户类User
/**
*
* @author 淡薄愁雾
* @date 2024-02-04
*/

@Data
@AllArgsConstructor
@NoArgsConstructor
public class User implements Serializable, UserDetails {
        private int id;
        private String account;
        @JsonIgnore  //由于访问时会进行Json互转会报错,密码加密所以需要忽略
        private String password;
        private Role role;
        @JsonIgnore
        @Override
        public Collection<? extends GrantedAuthority> getAuthorities() {
                //将用户的角色权限信息封装成List
                List<SimpleGrantedAuthority> authorities = new ArrayList<>();
                //封装角色
                SimpleGrantedAuthority role = new SimpleGrantedAuthority(this.role.getName());
                authorities.add(role);
                //封装权限
                this.role.getPermsList().forEach(perms -> authorities.add(new SimpleGrantedAuthority(perms.getName())));
                return authorities;
        }
        @Override
        public String getUsername() {
                return account;
        }
        //账号是否没有过期
        @JsonIgnore
        @Override
        public boolean isAccountNonExpired() {
                return true;
        }
        //账号是否没有被锁定
        @JsonIgnore
        @Override
        public boolean isAccountNonLocked() {
                return true;
        }
        //凭证是否没有过期(密码)
        @JsonIgnore
        @Override
        public boolean isCredentialsNonExpired() {
                return true;
        }
        //账号是否可用
        @JsonIgnore
        @Override
        public boolean isEnabled() {
                return true;
        }
}
2.角色类Role
/**
*
* @author 淡薄愁雾
* @date 2024-02-04
*/
@Data
public class Role {
    private  Integer id;
    private  String name;
    @JsonIgnore
    private  String description;
    private List<Perms> permsList;
}
3.权限类Perms
/**
 *
 * @author 淡薄愁雾
 * @date 2024-02-04
 */
@Data
public class Perms {
    private  Integer id;
    private  String name;
    private  String description;
}

四、编写工具类

​ 用于生成JWT令牌及常用Token常量

/**
 * @author 淡薄愁雾
 * @date 2024-02-04 21:50
 */
public class JWTUtil {
    public static final String SECRET_KEY = "123456"; //秘钥
    public static final long TOKEN_EXPIRE_TIME = 24 * 3600 * 1000L; //token过期时间
    public static final long REFRESH_TOKEN_EXPIRE_TIME = 1000 * 3600 * 1000L; //refreshToken过期时间
    private static final String ISSUER = "issuer"; //签发人

    /**
     * 生成签名
     */
    public static String generateToken(int uid, String account){
        Date now = new Date();
        //创建签名算法对象
        Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); //算法

        String token = JWT.create()
                .withIssuer(ISSUER) //签发人
                .withIssuedAt(now)  //签发时间
                .withExpiresAt(new Date(now.getTime() + TOKEN_EXPIRE_TIME)) //过期时间
                .withClaim("uid", uid) //保存身份标识
                .withClaim("account", account) //保存身份标识
                .sign(algorithm);
        return token;
    }

    /**
     * 验证token
     */
    public static TokenEnum verify(String token){
        try {
            //签名算法
            Algorithm algorithm = Algorithm.HMAC256(SECRET_KEY); //算法
            JWTVerifier verifier = JWT.require(algorithm)
                    .withIssuer(ISSUER)
                    .build();
            verifier.verify(token);
            return TokenEnum.TOKEN_SUCCESS;
        } catch (TokenExpiredException ex){
            return TokenEnum.TOKEN_EXPIRE;
            //ex.printStackTrace();
        } catch (Exception e) {
            return TokenEnum.TOKEN_BAD;
        }
    }
    /**
     * 从token获取uid
     */
    public static int getuid(String token){
        try{
            return JWT.decode(token).getClaim("uid").asInt();
        }catch(Exception ex){
            ex.printStackTrace();
        }
        return 0;
    }
    public static String getAccount(String token){
        try{
            return JWT.decode(token).getClaim("account").asString();
        }catch(Exception ex){
            ex.printStackTrace();
        }
        return null;
    }
}

编写Token常量(可以直接写)

public enum TokenEnum {
    TOKEN_EXPIRE,TOKEN_BAD,TOKEN_SUCCESS
}

五、编写配置类

package com.smiao.vegetable.config;
import com.smiao.vegetable.exception.CustomAccessDeniedExceptionHandle;
import com.smiao.vegetable.filter.AuthFilter;
import com.smiao.vegetable.service.CustomUserDetailsService;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.csrf.CsrfFilter;
import org.springframework.security.web.firewall.StrictHttpFirewall;
import org.springframework.web.filter.CharacterEncodingFilter;
import javax.annotation.Resource;
import java.nio.charset.StandardCharsets;
import java.util.regex.Pattern;
import static java.nio.charset.StandardCharsets.ISO_8859_1;
import static java.nio.charset.StandardCharsets.UTF_8;

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)  // 开启security的注解权限管理
public class CustomSpringSecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Resource
    private AuthFilter authFilter;
    /**
     * 配置密码编码器
     * NoOpPasswordEncoder: 不加密看需求
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
//        return NoOpPasswordEncoder.getInstance();
        return new BCryptPasswordEncoder();
    }
    /**
    *  重写方法:指定当前系统的用户信息来自哪里
    *  数据库,开发
    */
    @Resource
    private CustomUserDetailsService userDetailsService;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 指定用户信息来自数据库
        auth.userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());
    }

    /**
    * 配置那个uri能被那些身份访问
    *
    */
    @Resource
    private CustomAccessDeniedExceptionHandle customAccessDeniedExceptionHandle;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .antMatchers("/user/login","/images/**")
                .permitAll() // permitAll()不需要登录就能访问
                .anyRequest().authenticated()//其他的uri。必须要登录才能访问
                .and()
                .formLogin()    // 开启表单登录
                .and()
                .exceptionHandling()    //开启异常处理
                .accessDeniedHandler(customAccessDeniedExceptionHandle)
                .and()
                .addFilterBefore(authFilter, UsernamePasswordAuthenticationFilter.class)
                .csrf().disable();    //关闭csrf防御

    }

    // 创建认证管理器对象
    @Override
    @Bean
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    // 配置编码过滤器,用户数据中如果有中文会报错
    String allowedPattern = ".*";

    @Bean
    public StrictHttpFirewall httpFirewall() {
        StrictHttpFirewall firewall = new StrictHttpFirewall();
        firewall.setAllowedHeaderValues((header) -> {
            String parsed = new String(header.getBytes(StandardCharsets.ISO_8859_1), StandardCharsets.UTF_8);
            return parsed.matches(allowedPattern);
        });
        return firewall;
    }

}

六、编写业务代码

package com.smiao.vegetable.controller;

import com.smiao.vegetable.entity.User;
import com.smiao.vegetable.response.ResponseResult;
import com.smiao.vegetable.service.UserService;
import com.smiao.vegetable.util.JWTUtil;
import lombok.extern.slf4j.Slf4j;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.web.bind.annotation.*;
import javax.annotation.Resource;
import javax.servlet.http.HttpServletResponse;
import java.util.UUID;
import java.util.concurrent.TimeUnit;
/**
*
* @author one piece
* @date 2024-02-04 22:12
*/
@RestController
@Slf4j
@RequestMapping("/user")
public class UserController {
    @Resource
    private UserService userService;
    @Resource
    private RedisTemplate redisTemplate;
    @PostMapping("/login")
    public ResponseResult<User> login(@RequestBody User user1, HttpServletResponse response){
        // 登录
        User result =  userService.login(user1);
        //进行密码比较
        boolean matches = new BCryptPasswordEncoder().matches(user1.getPassword(), result.getPassword());
        //密码相同,登录成功
        if(matches){
            // 生成token
            String token = JWTUtil.generateToken(result.getId(), result.getAccount());
            String refreshtoken = UUID.randomUUID().toString();
            // 放入redis并设置过期时间
            redisTemplate.opsForValue().set(refreshtoken, token, JWTUtil.REFRESH_TOKEN_EXPIRE_TIME, TimeUnit.MILLISECONDS);
            // 返回给前端:通过自定义响应头的方式返回
            response.setHeader("Authorization", token);
            response.setHeader("RefreshToken", refreshtoken);
            // 暴露头:为了不让浏览器忽略这个头信息
            response.setHeader("Access-Control-Expose-Headers","Authorization,RefreshToken");
            return new ResponseResult<>(ResponseResult.SUCCESS,"success", result);
        }
        return new ResponseResult<>(ResponseResult.LOGIN_FAIL,"用户名或密码有误", null);
    }
}

Mapper

package com.smiao.vegetable.mapper;
import com.smiao.vegetable.entity.User;
import org.apache.ibatis.annotations.Mapper;
/**
 * @Author: one piece
 * @Description:
 * @Date: 2024/2/4 22:05
 */

@Mapper
public interface UserMapper {
    User findByAccount(String account);
}

其他的异常处理类、统一结果返回及前端代码我想大家都会
跨域问题
前后端分离项目中,后台SpringBoot整合SpringSecurity之后如果想要前台能正常访问后台接口需要开启SpringBoot和SpringSecurity的跨域访问

package com.smiao.vegetable.filter;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class CrossOriginFilter implements Filter {

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletResponse res = (HttpServletResponse) response;
        res.addHeader("Access-Control-Allow-Credentials", "true");
        res.addHeader("Access-Control-Allow-Origin", "*");
        res.addHeader("Access-Control-Allow-Methods", "GET, POST, DELETE, PUT");
        res.addHeader("Access-Control-Allow-Headers", "Content-Type,X-CAF-Authorization-Token,sessionToken,X-TOKEN ,Authorization ,Refreshtoken");

        if (((HttpServletRequest) request).getMethod().equals("OPTIONS")) {
            response.getWriter().println("ok");
            return;
        }
        chain.doFilter(request, response);
	}
}
one piece(。ò ∀ ó。)
关注
  • 13
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
SpringBoot+SpringSecurity集成权限管理快速打造企业级声明式安全认证授权解决方案之SpringBoot+SpringSecurity+mybatis+mysql
代码讲故事
01-01 1032
1 主要目的 SpringBoot+SpringSecurity集成权限管理快速打造企业级声明式安全认证授权解决方案之SpringBoot+SpringSecurity+mybatis+mysql 2 spring boot介绍 2.1 spring boot是什么? Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化Spring应用的初始搭建以及开发过程。 S...
SpringBoot + Security + JWT安全策略
weixin_45698637的博客
10-21 1894
SpringBoot + Security + JWT安全策略配置
Springboot+Security普通
点点的博客
12-08 4251
说明:今天有个哥们问我有没有什么好的权限框架推荐,我了解了一下他们对业务的要求,我反手就给他推荐了Security权限框架,他说他看过我之前的Shiro权限管理博客,感觉Shiro不错。我说区别不大,Security除了不能脱离Spring,Shiro能做的Security都能做,而且Security对oauth、OpenID等也有支持,Shiro就需要自己手动去实现了。那哥们就说:关键你没有写过Security相关的博客啊!当时我脑瓜子就嗡嗡的,这是那儿跟那儿啊。。。。。。后来感觉Security也用过几
Token+Springboot+Security
MENGXIXIXIXI的博客
10-27 320
Token+SpringbootSpringboot+Security的整合看上面两篇文章。 SpringBoot 整合Security安全框架 SpringBoot 集成token实践详解 1修改AuthWebMvcConfigurer拦截器,配置/user/login(进入我们自定义登录界面的url) /** * 给除了 /user/login 的接口都配置拦截器,拦截转向到 authHandlerInterceptor */ @Override pub
springboot+security自定义认证异常和授权异常
ldcaws的专栏
12-28 2281
如果是springboot+security项目,并且定义了全局异常,那上面的授权异常AccessDeniedException及子类和认证异常AuthenticationException及子类都会优先被全局异常执行,导致security配置的异常处理不起作用,主要原因是执行先后的问题,spring请求中各组件执行顺序如下:Controller》Aspect》ControllerAdvice》Interceptor》Filter。1、Spring Security异常。2、自定义认证异常和授权异常。
SpringBoot+SpringSecurity+JWT实现认证和授权
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
SpringBoot + Spring Security 基本使用及个性化登录配置
热门推荐
whyalwaysmea
03-18 15万+
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring S...
springboot + spring security验证token进行用户认证
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLoc...
SpringSecurity超详解 实战(Springboot+Security+Mysql ) 附源码
weixin_46685039的博客
01-18 1562
SpringSecurity详解 (Springboot+Security+Mysql ) 附源码 对于一个权限管理框架而言,无论是 Shiro 还是 Spring Security,最最核心的功能,无非就是两方面:认证和授权
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有集成了redis,mybatis,jasypt,jwt,thymeleaf,knife4j,mybatis-plus 项目搭建已经比较成熟,能够直接进行使用,通过代码...
SpringBoot+Security+Cas
09-07
SpringBoot+Security+Cas 的一个Demo,想学习的可以参考下
springboot+security+jwt+mybaits-plus+mysql实现权限管理
03-13
1.传统spring boot框架 2.security框架 3.jwt取代session 4.mybatis-plus+mysql【sql文件项目中有】 5.不想下载,可以看博客,博客中有写
springboot+security+cas集成demo
11-23
springboot+security+cas集成demo。。
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
03-10
如果您下载了本程序,但是该程序存在问题无法运行,那么您可以选择退款或者寻求我们的帮助(如果找我们帮助的话,是需要追加额外费用的)。另外,您不会使用资源的话(这种情况不支持退款),也可以找我们帮助(需要...
SpringBoot+SpringSecurity+JWT实RESTfulAPI权限控制
林老师带你学编程
10-26 4万+
关于什么是jwt(json web token),还有jwt的工作流程我这边就不多介绍,主要给大家介绍一下SpringBoot中如何整合Security然后在添加jwt的支持。 想学习分布式、微服务、JVM、多线程、架构、java、python的童鞋,千万不要扫码,否则后果自负~ 通过SpringBoot+Security+JWT来实现token校验的过程。在生产环境中,对发布API增加授...
Spring Boot实现多数据源快速入门
HBLOG
05-15 288
多数据源既动态数据源,项目开发逐渐扩大,单个数据源、单一数据源已经无法满足需求项目的支撑需求。本文采用dynamic-datasource-spring-boot-starter实现多数据源,由于类上@DS("slave_1"),所以预期插入的slave_1mysql库。查询方法注解的@DS("master"),所以在mater库上根本查不到数据。本文使用2个mysql作为数据源,表都是一样的结构。然后修改service,增加切换数据源注解。可以注解在方法上或类上,配置下格式支持这几种。
Spring Boot配置文件
最新发布
weixin_57535054的博客
05-15 468
配置文件java文件//格式要求 必须是 "${}" 从配置文件获取,放入新的变量内//打印。
Spring Boot + MDC 实现全链路调用日志跟踪
Wewe的博客
05-15 393
MDC(Mapped Diagnostic Context,映射调试上下文)是log4jlogback及log4j2提供的一种方便在多线程条件下记录日志的功能。MDC可以看成是一个与当前线程绑定的哈希表,可以往其中添加键值对。MDC 中包含的内容可以被同一线程中执行的代码所访问。当前线程的子线程会继承其父线程中的 MDC 的内容。当需要记录日志时,只需要从 MDC 中获取所需的信息即可。MDC 的内容则由程序在适当的时候保存进去。对于一个 Web 应用来说,通常是在请求被处理的最开始保存这些数据。
写一套SpringBoot+Security+JWT的动态授权
06-01
好的,下面是SpringBoot+Security+JWT的动态授权的实现步骤: 1. 首先,我们需要添加Spring Security和JWT的依赖。在pom.xml文件中添加如下代码: ``` <!-- Spring Security --> <groupId>org.springframework....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值