集成SpringSecurity+后期可加入JWT

已于 2024-04-18 21:59:27 修改
阅读量827 收藏 11
点赞数 18
文章标签: 服务器 运维
于 2024-04-18 21:58:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62432037/article/details/137938858
版权

目录

自定义认证授权过滤器

1、SpringSecurity内置认证流程

1.1 自定义认证过滤器

1.1 注入对应的bean

1.3 定义SecurityConfig类

自定义认证授权过滤器

1、SpringSecurity内置认证流程

通过研究SpringSecurity内置基于form表单认证的UsernamePasswordAuthenticationFilter过滤器,我们可以仿照自定义认证过滤器:

内置认证过滤器的核心流程:

核心流程梳理如下:

  • 认证过滤器(UsernamePasswordAuthentionFilter)接收form表单提交的账户、密码信息,并封装成UsernamePasswordAuthenticationToken认证凭对象;

  • 认证过滤器调用认证管理器AuthenticationManager进行认证处理;

  • 认证管理器通过调用用户详情服务获取用户详情UserDetails;

  • 认证管理器通过密码匹配器PasswordEncoder进行匹配,如果密码一致,则将用户相关的权限信息一并封装到Authentication认证对象中;

  • 认证过滤器将Authentication认证过滤器放到认证上下文,方便请求从上下文获取认证信息;

    1.1 自定义认证过滤器

    UsernamePasswordAuthentionFilter过滤器继承了模板认证过滤器AbstractAuthenticationProcessingFilter抽象类,我们也可仿照实现:

  • public class MyUserNamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    /**
     * 设置构造,传入自定义登录url地址
     * @param defaultFilterProcessesUrl
     */
    public MyUserNamePasswordAuthenticationFilter(String defaultFilterProcessesUrl) {
        super(defaultFilterProcessesUrl);
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
        //判断请求方法必须是post提交,且提交的数据的内容必须是application/json格式的数据
        if (!request.getMethod().equals("POST") ||
                ! (request.getContentType().equalsIgnoreCase(MediaType.APPLICATION_JSON_VALUE) || request.getContentType().equalsIgnoreCase(MediaType.APPLICATION_JSON_UTF8_VALUE))) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        }
        //获取请求参数
        //获取reqeust请求对象的发送过来的数据流
        ServletInputStream in = request.getInputStream();
        //将数据流中的数据反序列化成Map
        HashMap<String,String> loginInfo = new ObjectMapper().readValue(in, HashMap.class);
        String username = loginInfo.get(USER_NAME);
        username = (username != null) ? username : "";
        username = username.trim();
        String password = loginInfo.get(PASSWORD);
        password = (password != null) ? password : "";
        //将用户名和密码信息封装到认证票据对象下
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
        // Allow subclasses to set the "details" property
		//setDetails(request, authRequest);
        //调用认证管理器认证指定的票据对象
        return this.getAuthenticationManager().authenticate(authRequest);
    }

    /**
     * 认证成功处理方法
     * @param request
     * @param response
     * @param chain
     * @param authResult
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest request,
                                            HttpServletResponse response,
                                            FilterChain chain,
                                            Authentication authResult) throws IOException, ServletException {
        response.getWriter().write("login success 666.....");
    }

    /**
     * 认证失败处理方法
     * @param request
     * @param response
     * @param failed
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request,
                                              HttpServletResponse response,
                                              AuthenticationException failed) throws IOException, ServletException {
        response.getWriter().write("login failue 999");
    }
}

    自己定义后要注入对应的bean

  • 1.2 注入对应的bean

  • @Service("userDetailsService")
public class MyUserDetailServiceImpl implements UserDetailsService {

    @Autowired
    private TbUserMapper tbUserMapper;
    /**
     * 使用security当用户认证时,会自动将用户的名称注入到该方法中
     * 然后我们可以自己写逻辑取加载用户的信息,然后组装成UserDetails认证对象
     * @param userName
     * @return 用户的基础信息,包含密码和权限集合,security底层会自动比对前端输入的明文密码
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        //1.根据用户名称获取用户的账户信息
        TbUser dbUser=tbUserMapper.findUserInfoByName(userName);
        //判断该用户是否存在
        if (dbUser==null) {
            throw new UsernameNotFoundException("用户名输入错误!");
        }
        //2.组装UserDetails对象
        //获取当前用户对应的权限集合(自动将以逗号间隔的权限字符串封装到权限集合中)
        List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList(dbUser.getRoles());
        /*
            参数1:账户
            参数2:密码
            参数3:权限集合
         */
        User user = new User(dbUser.getUsername(), dbUser.getPassword(), list);
        return user;
    }
}

    1.3 定义SecurityConfig类

    配置默认认证过滤器,保证自定义的认证过滤器要在默认的认证过滤器之前;

     /**
     * 配置授权策略
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();//禁用跨站请求伪造
  		http.authorizeRequests()//对资源进行认证处理
    	.antMatchers("/authentication/form").permitAll()//登录路径无需拦截
    	.anyRequest().authenticated();  //除了上述资源外,其它资源,只有 认证通过后,才能有权访问
     	http
          		//坑-过滤器要添加在默认过滤器之前,否则,登录失效
                .addFilterBefore(myUserNamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
    }

    @Bean
    public MyUserNamePasswordAuthenticationFilter myUserNamePasswordAuthenticationFilter() throws Exception {
      	//设置默认登录路径
        MyUserNamePasswordAuthenticationFilter myUserNamePasswordAuthenticationFilter =
                new MyUserNamePasswordAuthenticationFilter("/authentication/form");
        myUserNamePasswordAuthenticationFilter.setAuthenticationManager(authenticationManagerBean());
        return myUserNamePasswordAuthenticationFilter;
    }

Bailey395
关注
  • 18
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
spring boot3.x结合spring security最新版实现jwt登录验证
集成spring security
04-10
来自https://github.com/FrameReserve/TrainingBoot/releases/tag/0.0.3 Spring Boot (三)集成spring security。 Blog: http://blog.csdn.net/a286352250/article/details/53156461
Spring Security6.x的登录验证
xiamua_123的博客
09-01 506
版本为:SpringBoot3.1.2, Spring Security 6.1.2。
Spring Boot 3】的安全防线:整合 【Spring Security 6】
qq_44005305的博客
05-29 661
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
Spring Security+JWT实现认证授权
weixin_44196561的博客
03-29 5099
目录 一、登录校验流程 3、 整合JWT大致流程 前端响应类 JWT工具类 重写UserDetailsService的方法 重写登录接口 认证过滤器 授权基本流程 封装权限信息 RBAC权限模型 自定义失败处理 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、登录校验流程 1、Spring Security 完整流程 SpringSecurity的原理其实就是一个过滤器链,内部包含了提供
Spring Security 保护 Web 应用的安全
王卫东 博客
12-19 768
本文介绍Spring Security保护Web应用的安全。 在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全...
集成Spring Security
你的指尖有改变世界的力量
10-20 281
简单说了下怎么集成spring security
Spring集成SpringSecurity
WUQING233的博客
05-17 836
Spring集成SpringSecuritySpringSecurity简介SpringSecurity特征1.引入starter到maven依赖2.实体类3.Serice层4.SecurityConfig配置类4.1 继承WebSecurityConfigurerAdapter4.2 重写configure方法(WebSecurity) 忽略静态资源的访问4.3 重写configure方法(AuthenticationManagerBuilder)实现认证自定义认证规则4.4 重写configure方法(
springboot+spring security+JWT+mybatisplus
10-08
本项目以"springboot+spring security+JWT+mybatisplus"为核心技术栈,旨在提供一个完整的解决方案,涵盖了用户认证、权限管理、日志记录以及数据库操作等多个重要环节。下面将详细阐述这些技术及其在项目中的应用。...
yoma:一个小而美的低代码全栈开发平台,一键生成纵向api接口+前端页面代码+在线接口文档,节省50%的前布局开发的工作量。基于springboot + mybatis + spring security技术栈
03-13
平台适用于企业信息化,政务,中小型互联网等项目平台采用前逐步分离架构,基于如下流行的开源框架,易上手+适当后期维护初步: : spring boot + jwt + spring security + mybatis + swagger + spring数据redis + ...
SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法
08-19
主要介绍了SpringBoot集成Spring SecurityJWT令牌实现登录和鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring整合security4.2完整实例
08-08
spring4.3.18 整合security4.2.7 springdata 完整项目实例
基于SpringBoot+Shiro+Redis+Jwt+Thymeleaf+MyBatis 开发的后台用户、角色+源代码+文档
11-28
Apache Shiro和Spring-Security为权限授权层,redis进行缓存。 Geek-Framework主要定位于微应用的开发,已内置后台系统的基础功能,用户管理、角色管理、权限管理、会员管理、日志管理等;前台已经实现用户登录,...
Spring Boot+Vue前后端分离项目练习01之网盘项目的搭建
03-01
考虑到用户认证授权,可以使用Spring SecurityJWT(JSON Web Tokens)进行身份验证,确保只有授权的用户才能访问特定资源。 11. **文件存储**: 针对网盘系统,需要考虑文件的存储策略,可以使用本地存储、云...
基于SpringBoot+ElementUI超市客户管理系统
最新发布
06-19
这可以通过Spring SecurityJWT令牌进行实现,确保系统的安全性。 【错误处理与日志记录】 为了保证系统的稳定运行,需要对异常进行有效处理,并记录日志。SpringBoot提供了丰富的错误处理机制,同时可以结合...
springsecurity 的学习授权认证
健康平安的活着的专栏
07-25 425
springSecurity 1.1 SpringSecurity的概念作用 Springsecurity 基于 Spring 框架,提供了一整套 完整的安全性Web 应用解决方案框架。主要有用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security重要核心功能。 1.用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程.
Spring Security简单集成
19:30的博客
01-05 221
写在前面 在本人刚工作时,如果需要写用户登录模块,我都是使用 session 来完成的。到后面,学习了JWT,然后每次请求携带token字符串,后端解析token字符串,获取用户的一些登录信息。现在,开始学习spring security! 下面的内容,都是根据黑马程序员网站的免费视频进行学习,衷心感谢黑马程序员,哈哈,不多说自己去看视频 2天快速入门Spring Security OAuth2.0认证授权 使用SpringBoot 集成 Spring Security Flyway 简单了解可以看之前
springsecurity+oauth2+jwt demo
10-26
Spring Security是一个强大的安全框架,可以用于保护Spring应用程序中的资源和用户身份验证。OAuth2是一种开放标准,用于对第三方应用程序进行安全授权JWT(JSON Web Token)是一种用于认证授权的开放标准。 Spring Security OAuth2 JWT Demo是一个示例应用程序,演示了如何使用Spring Security,OAuth2和JWT进行身份验证和授权。这个示例应用程序包括以下功能: 1. 用户注册和登录:用户可以通过注册页面创建新的账户,并使用已注册的账户登录到应用程序。 2. 资源保护:应用程序中的某些资源需要进行身份验证,只有经过身份验证的用户才能访问这些资源。 3. OAuth2授权:通过使用OAuth2,应用程序可以允许用户使用第三方应用程序进行身份验证和授权。 4. JWT签发和验证:当用户成功进行身份验证后,应用程序会生成一个JWT,用于在后续的请求中进行身份验证和授权。 5. 客户端凭证管理:应用程序支持管理和授权第三方应用程序的客户端凭证,以控制他们对资源的访问权限。 这个示例应用程序可以帮助开发人员理解和使用Spring Security,OAuth2和JWT来保护他们的应用程序并进行身份验证和授权。通过了解和熟悉这些技术,开发人员可以更好地保护他们的应用程序并提供更安全的用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值