SpringSecurity的使用与步骤

已于 2023-02-16 18:46:57 修改
阅读量1.4k 收藏 5
点赞数
文章标签: java spring tomcat Powered by 金山文档
于 2023-02-11 14:58:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55127182/article/details/128983223
版权

1、SpringSecurity流程图

2、导入坐标

<!-- spring-boot-starter-security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--        jjwt-->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.1</version>
</dependency>

3.1、SpringSecurity的配置类

package com.springsecuritylearning.config;

import com.springsecuritylearning.filter.DoFilterInternal;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private DoFilterInternal filterInternal;

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            //关闭csrf
            .csrf().disable()
            //不通过的Session获取SecurityContext
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
            .and()
            .authorizeRequests()
            //对于该接口放行
            .antMatchers("/auth/user/**").permitAll()
            //其余接口拦截
            .anyRequest().authenticated();
        http
            .addFilterBefore(filterInternal, UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

3.2、启动类添加

@EnableGlobalMethodSecurity(prePostEnabled = true)

4、根据流程图可以看出用户登录接口,将用户名和密码进行提交,所以先写登录接口(流程图第1步)

/**
 * 登录验证
 */
@RestController
@RequestMapping("/auth/user")
@CrossOrigin
@Slf4j
public class UserController {

    @Autowired
    private UserServiceImpl userService;

    /**
     * 用户登录
     * @param user
     * @return
     */
    @PostMapping("/login")
    public R login(User user){
        System.out.println(user);
        String token = userService.login(user);
        HashMap<String,String> map=new HashMap<>();
        map.put("token",token);
        return R.ok(map).setCode(200);
    }
}

5、创建login接口的实现类(流程图第2、3步,第4步自动完成,最后获取到Authentication为第9步)

package com.xuechengplusauth.service.impl;

import com.baomidou.mybatisplus.extension.service.impl.ServiceImpl;
import com.xuechengplusauth.domain.User;
import com.xuechengplusauth.mapper.UserMapper;
import com.xuechengplusauth.security.LoginUser;
import com.xuechengplusauth.service.UserService;
import com.xuechengpluscommon.utils.JwtUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Service;
import org.springframework.util.ObjectUtils;

/**
* @author 卿十三
* @description 针对表【xc_user】的数据库操作Service实现
* @createDate 2023-02-08 14:48:36
*/
@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User>
    implements UserService{

    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private AuthenticationManager authenticationManager;
    @Override
    public String login(User user) {
        //将请求的信息封装到Authentication,实现类为UsernamePasswordAuthenticationToken
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken=new UsernamePasswordAuthenticationToken(user.getUsername(),user.getPassword());
        Authentication authenticate = authenticationManager.authenticate(usernamePasswordAuthenticationToken);
        //判断Authentication是否通过认证,如果为空则没有通过PasswordEncoder的认证,说明账号密码错误
        if(ObjectUtils.isEmpty(authenticate)){
            throw new RuntimeException("未通过认证");
        }
        //从Authentication获取信息
        LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
        //从loginUser类获取User信息
        User loginUserUser = loginUser.getUser();
        String id = loginUserUser.getId();
        //将用户Id保存到redis
        redisTemplate.opsForValue().set(id,loginUser);
        //将用户Id转成JWT然后返回
        String token = JwtUtils.createToken(id);
        return token;
    }
}

6、经过自动认证之后来到UserDetailsService进行手动填充信息,首先创建LoginUser类实现UserDetails接口,用来作为loadUserByUsername类的返回值(流程图5、6、7、8步)

package com.xuechengplusauth.security;

import com.alibaba.fastjson.annotation.JSONField;
import com.xuechengplusauth.domain.User;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Data
@AllArgsConstructor
@NoArgsConstructor
public class LoginUser implements UserDetails {

    //存储用户信息
    private User user;

    //存储权限信息
    private List<String> authList;

    //优化getAuthorities类,避免多次重复调用
    @JSONField(serialize = false)
    private List<SimpleGrantedAuthority> authorities;

    public LoginUser(User user,List<String> authList){
        this.user=user;
        this.authList=authList;
    }
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if(authorities!=null){
            return authorities;
        }else{
            authorities=new ArrayList<>();
            for (String s : authList) {
                SimpleGrantedAuthority simpleGrantedAuthority=new SimpleGrantedAuthority(s);
                authorities.add(simpleGrantedAuthority);
            }
            return authorities;
        }
    }
    //用户密码,通过user.getPassword()获取的密码来通过PassWordEncoder加密后和数据库的密码进行校验
    @Override
    public String getPassword() {
        return user.getPassword();
    }

    //用户账号
    @Override
    public String getUsername() {
        return user.getUsername();
    }
    //返回true意味着账号未过期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    //返回true意味着账号未锁定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    //返回true意味着凭证未过期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    //返回true意味着可以使用
    @Override
    public boolean isEnabled() {
        return true;
    }
}

7、创建UserDetailsImpl类实现UserDetailsService接口,通过重写loadUserByUsername方法实现自定义校验(流程图5、6、7、8步)

package com.xuechengplusauth.security.Impl;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.xuechengplusauth.domain.Menu;
import com.xuechengplusauth.domain.Permission;
import com.xuechengplusauth.domain.User;
import com.xuechengplusauth.domain.UserRole;
import com.xuechengplusauth.mapper.MenuMapper;
import com.xuechengplusauth.mapper.PermissionMapper;
import com.xuechengplusauth.mapper.UserMapper;
import com.xuechengplusauth.mapper.UserRoleMapper;
import com.xuechengplusauth.security.LoginUser;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import org.springframework.util.ObjectUtils;

import java.util.ArrayList;
import java.util.List;
@Service
public class UserDetailsImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;
    @Autowired
    private UserRoleMapper userRoleMapper;
    @Autowired
    private PermissionMapper permissionMapper;
    @Autowired
    private MenuMapper menuMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据输入的账号username从数据库查询到用户
        LambdaQueryWrapper<User> queryWrapper=new LambdaQueryWrapper<>();
        queryWrapper.eq(User::getUsername,username);
        //获取查到的用户
        User user = userMapper.selectOne(queryWrapper);
        //如果为空用户不存在
        if(ObjectUtils.isEmpty(user)){
            throw new RuntimeException("用户不存在");
        }

        //从数据库查询该用户所拥有的权限信息
            //创建权限集合,用来存储权限
        List<String> authList=new ArrayList<>();
        String id = user.getId();
        LambdaQueryWrapper<UserRole> queryWrapper1=new LambdaQueryWrapper<>();
        queryWrapper1.eq(UserRole::getUserId,id);
        UserRole userRole = userRoleMapper.selectOne(queryWrapper1);
        String roleId = userRole.getRoleId();
        LambdaQueryWrapper<Permission> queryWrapper2=new LambdaQueryWrapper<>();
        queryWrapper2.eq(Permission::getRoleId,roleId);
        List<Permission> permissions = permissionMapper.selectList(queryWrapper2);
        for (Permission permission : permissions) {
            String menuId = permission.getMenuId();
            Menu menu = menuMapper.selectById(menuId);
            String code = menu.getCode();
            authList.add(code);
        }
        //将用户信息和权限信息封装到loginUser中
        LoginUser loginUser=new LoginUser(user,authList);
        
        
        //返回loginUser
        return loginUser;
    }
}

8、编写拦截器将Authentication保存到上下文中,通过继承OncePerRequestFilter类实现doFilterInternal接口实现拦截器的功能(流程图第10步)

package com.xuechengplusauth.filter;

import com.xuechengplusauth.security.LoginUser;
import com.xuechengpluscommon.utils.JwtUtils;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.util.ObjectUtils;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Collection;

@Component
public class DoFilterInternal extends OncePerRequestFilter {

    @Autowired
    private RedisTemplate redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取请求头的token信息
        String token = request.getHeader("token");
        //如果为空,则放行
        if(StringUtils.isEmpty(token)){
            filterChain.doFilter(request,response);
            return;
        }
        //JWT进行解密获取Token信息
        String tokenInfo = JwtUtils.getTokenInfo(token);
        //从数据库查询token信息中的用户
        LoginUser loginUser = (LoginUser) redisTemplate.opsForValue().get(tokenInfo);
        //如果用户存在说明已经过认证,如果不存在,说明未经过认证
        if(ObjectUtils.isEmpty(loginUser)){
            throw new RuntimeException("用户不存在");
        }
        //用户已经进行认证的前提下,获取UserDetails的信息,从其中获取认证用户的权限和信息
        Collection<? extends GrantedAuthority> authorities = loginUser.getAuthorities();
        //通过SecurityContextHolder.getContext().setAuthentication方法将Authentication保存到上下文
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken
            =new UsernamePasswordAuthenticationToken(loginUser,null,authorities);
        SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
        filterChain.doFilter(request,response);
    }
}

9、测试登录

设置token未空,在Security配类开启登录接口的放行,设置JWT的存活时间和Redis的存活时间为一小时

返回值为token

10、测试其他模块,该模块已导入SpringSecurity模块的包

  • 带有Token进行接口测试(成功访问)

  • 不带Token进行接口测试(禁止访问)

11、权限功能测试

  • 启动类添加注解

@EnableGlobalMethodSecurity(prePostEnabled = true)

  • 在Controller接口添加注解@PreAuthorize


    @RequestMapping("/test1")
    @PreAuthorize("hasAuthority('p1')")
    public String r(){
        return "访问资源R1";
    }

    @RequestMapping("/test2")
    @PreAuthorize("hasAuthority('p2')")
    public String test(){
        return "访问资源test";
    }

  • 添加三种权限p1,p2,p3

authList.add("p1");
authList.add("p2");
authList.add("p3");

获取当前用户的权限信息

xc_sysmanager
xc_sysmanager_user
xc_sysmanager_user_add
xc_sysmanager_user_edit
xc_sysmanager_user_view
xc_sysmanager_user_delete
xc_sysmanager_doc
xc_sysmanager_log
xc_teachmanager_course
xc_teachmanager_course_add
xc_teachmanager_course_base
p1
p2
p3

测试p1,p2接口访问(成功访问)

删除P1,2,p3权限,当前用户拥有的权限

xc_sysmanager
xc_sysmanager_user
xc_sysmanager_user_add
xc_sysmanager_user_edit
xc_sysmanager_user_view
xc_sysmanager_user_delete
xc_sysmanager_doc
xc_sysmanager_log
xc_teachmanager_course
xc_teachmanager_course_add
xc_teachmanager_course_base

测试接口(访问失败)

梁山教父
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security详细介绍及使用含完整代码(值得珍藏)
m0_61331573的博客
04-06 1095
然后,创建一个配置类来设置Spring Security:import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.conf
SpringBoot + SpringSecurity 环境搭建的步骤
08-27
搭建 Spring Boot + Spring Security 环境需要遵循上述步骤,我们需要使用 Spring Boot 和 Maven 搭建多模块项目,删除父工程的 src 文件和 .java 文件,定义依赖关系,编写 pom.xml 文件,最后搭建 Spring Security...
Spring Boot + Spring Security基础入门教程
晨曦的博客
04-13 768
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。Spring Security 致力于为 Java 应用程序提供身份验证和授权的能力。 Spring Security 两大重要核心功能:用户认证(Authentication)和用户授权(Authorization)。 SpringSecurity 的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。这里我们可以看看入门案例中的过滤器。
Security之入门篇
qq_43654581的博客
10-22 905
1.查询数据库,获取用户信息,赋予用户角色交给Security管理 2.自定义登录页面、无权访问跳转页面
如何使用SpringSecurity
weixin_41553701的博客
08-17 3448
如何使用Spring Security
security登录流程
weixin_48100716的博客
12-15 1101
用户发起登陆请求AdminController,然后调用我们自己的登录业务实现类AdminServiceImpl的登录方法去处理,调用security框架的核心接口方法authenticate开始认证,他会自动去调用我们实现security框架的UserDetailsService接口的登录认证方法,若是认证成功则向前端返回JWT数据,注:AuthenticationManager(接口是认证的核心接口),也是认证的出发点.我们通过security框架认证登录信息,若登陆成功,最终返回的是JWT数据。
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4457
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制是Spring Security的一个重要组件,它允许...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
使用SpringSecurity处理CSRF攻击的方法步骤Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的...
如何基于spring security实现在线用户统计
08-19
Spring Security 在线用户统计实现详解 ...通过本文,我们可以了解到在线用户统计的重要性,以及如何使用 Spring Security 实现在线用户统计。希望本文能够对大家的学习和工作具有一定的参考价值。
详解spring security 配置多个AuthenticationProvider
08-30
在上面的代码中,我们使用 Spring SecurityJava 配置方式,注册了我们的自定义 AuthenticationProvider 到 Spring Security 中。 最后,我们可以在应用程序中使用我们的自定义 AuthenticationProvider 进行身份...
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3931
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
SpringSecurity认证流程详解和代码实现
热门推荐
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2743
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
Spring Security教程
qq_28248897的博客
08-31 3973
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代表已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
oauth2.0 03 密码认证模式
ywj776199845的专栏
11-10 742
使用密码认证模式 需要我们在 加了@EnableWebSecurity注解的类中加AuthenticationManager 的Bean对象,不加这个代码是用不了密码模式的! @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception{ return super.authenticationManagerBean(); } 截图如下: ...
SpringSecurity安全框架实践
m0_46103359的博客
04-13 125
我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
Spring Security最简单全面教程(带Demo)
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-08 4538
一、Spring Security简介 Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。 Spring Security主要是从两个方面解决安全性问题: web请求级别:使用Servlet规范中的过滤器(Filter)保护Web请求并限制URL级别的访问。 方法调用级别:使
自学security笔记
qq_45989663的博客
01-06 100
视频自学security笔记
spring security使用步骤
最新发布
08-29
Spring Security使用步骤如下: 1. 添加 Spring Security 依赖到项目中。 2. 配置 Spring Security。 3. 创建用户和角色。 4. 配置用户和角色的权限。 5. 在应用程序中使用 Spring Security。 具体的步骤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值