SpringSecurity(一)——认证实现

已于 2024-10-11 11:54:17 修改
阅读量578 收藏 6
点赞数 13
分类专栏: SpringSecurity 文章标签: 服务器 运维
于 2024-10-11 11:43:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68074170/article/details/142847080
版权

一、初步理解

SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。

当前系统中SpringSecurity过滤器链中有哪些过滤器及它们的顺序。

核心过滤器:

  • (认证)UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请求
  • ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和 AuthenticationException 
  • (授权)FilterSecurityInterceptor:负责权限校验的过滤器

二、Token(Jwt)登录校验流程

三、具体认证授权细节

下图是UsernamePasswordAuthenticationFilter处理用户名、密码,然后将用户名、密码、权限信息封装到Authentication对象中,再放到SecurityContextHolder中。

Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。

AuthenticationManager接口:定义了认证Authentication的方法

UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的 方法。

UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装 成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

认证

  1. 当用户登录时,前端将用户输入的用户名、密码信息传输到后台,后台用一个类对象将其封装起来,通常使用的是UsernamePasswordAuthenticationToken这个类。
  2. 程序负责验证这个类对象。验证方法是调用Service根据username从数据库中取用户信息到实体类的实例中,比较两者的密码,如果密码正确就成功登陆,同时把包含着用户的用户名、密码、所具有的权限等信息(用户id、昵称、是否管理员)的类对象放到SecurityContextHolder(安全上下文容器,类似Session)中去。
  3. 用户访问一个资源的时候,首先判断是否是受限资源。如果是的话还要判断当前是否未登录,没有的话就跳到登录页面。
  4. 如果用户已经登录,访问一个受限资源的时候,程序要根据url去数据库中取出该资源所对应的所有可以访问的角色,然后拿着当前用户的所有角色一一对比,判断用户是否可以访问(这里就是和权限相关)。

授权

  1. 在SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。当前用户是否拥有访问当前资源所需的权限。
  2. 所以我们在项目中只需要把当前登录用户的权限信息也存入Authentication。然后设置我们的资源所需要的权限即可。

自定义登录认证接口:①调用ProviderManager的方法进行认证;②如果认证通过生成jwt;③把用户信息存入redis中

自定义权限信息查询:在UserDetailsService这个实现类中去查询数据库

四、自定义权限查询

修改UsernamePasswordAuthenticationFilter上图最右边的授权部分。

 1.自定义登陆接口

@RestController
@RequestMapping("/user")
public class UserController {

    @Autowired
    private UserService userService;

    @PostMapping("/login")
    public R login(@RequestBody User user) {
        String jwt = userService.login(user);
        if (StringUtils.hasLength(jwt)) {
            return R.ok().message("登陆成功").data("token", jwt);
        }
        return R.error().message("登陆失败");
    }
}

 2.配置数据库校验登录用户

从之前的分析我们可以知道,我们可以自定义一个UserDetailsService,让SpringSecurity使用我们的 UserDetailsService。我们自己的UserDetailsService可以从数据库中查询用户名和密码。

创建一个类实现UserDetailsService接口,重写loadUserByUsername方法

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
     @Autowired
     private UserMapper userMapper;

     @Override
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

         //查询用户信息
         QueryWrapper<User> queryWrapper=new QueryWrapper<>();
         queryWrapper.eq("user_name",username);
         User user = userMapper.selectOne(queryWrapper);

         //如果没有查询到用户,就抛出异常
         if(Objects.isNull(user)){
             throw  new RuntimeException("用户名或密码错误");
         }

         //TODO 查询用户对应的权限信息
         细节见SpringSecurity(二)——授权实现
         //如果有,把数据封装成UserDetails对象返回
         return new LoginUser(user);
    }
}

五、Jwt认证过滤器(自定义过滤器)

(1)在接口中我们通过AuthenticationManager的authenticate方法来进行用户认证,所以需要在 SecurityConfig中配置把AuthenticationManager注入容器

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig{
    /**
     * 登录时需要调用AuthenticationManager.authenticate执行一次校验
     */
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
        return config.getAuthenticationManager();
    }
}

 (2)登录的业务逻辑层实现类

第一次登录,生成jwt存入redis

@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    public String login(User user) {
        //1.封装Authentication对象 ,密码校验,自动完成
        UsernamePasswordAuthenticationToken authentication =
                new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());

        //2.进行校验
        Authentication authenticate = authenticationManager.authenticate(authentication);

        //3.如果authenticate为空
        if (Objects.isNull(authenticate)) {
            throw new RuntimeException("登录失败"); //TODO 登录失败
        }

        //4.得到用户信息
        LoginUser loginUser = (LoginUser) authenticate.getPrincipal();

        //生成jwt,使用fastjson的方法,把对象转成字符串
        String loginUserString = JSON.toJSONString(loginUser);
        //调用JWT工具类,生成jwt令牌
        String jwt = JwtUtils.createJWT(loginUserString, null);

        //5.把生成的jwt存到redis
        String tokenKey = "token_" + jwt;
        stringRedisTemplate.opsForValue().set(tokenKey, jwt, JwtUtils.JWT_TTL / 1000);
        Map<String, Object> map = new HashMap<>();
        map.put("token", jwt);
        map.put("username", loginUser.getUsername());

        return jwt;
    }
}

(3)jwt认证校验过滤器

我们需要自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的 userid。 使用userid去redis中获取对应的LoginUser对象。

然后封装Authentication对象存入SecurityContextHolder

/**
 * token验证过滤器   //每一个servlet请求,只会执行一次
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Autowired
    private LoginFailureHandler loginFailureHandler;

    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
                                    FilterChain filterChain)
            throws ServletException, IOException {

        try {
            //1.获取当前请求的url地址
            String url = request.getRequestURI();
            //如果当前请求不是登录请求,则需要进行token验证
            if (!url.equals("/user/login")) {
                //2.验证token
                this.validateToken(request);
            }
        } catch (AuthenticationException e) {
            System.out.println(e);
            loginFailureHandler.onAuthenticationFailure(request, response, e);
        }

        //3.登录请求不需要验证token
        doFilter(request, response, filterChain);

    }

    /**
     * 验证token
     */
    private void validateToken(HttpServletRequest request) throws AuthenticationException {
        //1.获取token
        String token = request.getHeader("Authorization");
        //如果请求头部没有获取到token,则从请求的参数中进行获取
        if (ObjectUtils.isEmpty(token)) {
            token = request.getParameter("Authorization");
        }
        if (ObjectUtils.isEmpty(token)) {
            throw new CustomerAuthenticationException("token不存在");
        }

        //2.redis进行校验
        String redisStr = stringRedisTemplate.opsForValue().get("token_" + token);
        if(ObjectUtils.isEmpty(redisStr)) {
            throw new CustomerAuthenticationException("token已过期");
        }

        //3.解析token
        Claims claims = null;
        try {
            claims = JwtUtils.parseJWT(token);
        } catch (Exception e) {
            throw new CustomerAuthenticationException("token解析失败");
        }

        //4.获取到用户信息
        String loginUserString = claims.getSubject();
        //把字符串转成loginUser对象
        LoginUser loginUser = JSON.parseObject(loginUserString, LoginUser.class);
        //创建身份验证对象
        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());

        //5.设置到Spring Security上下文
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);
    }
}

(4)把jwt过滤器注册到springsecurity过滤器链中

放在UsernamePasswordAuthenticationFilter前面

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig{

    //自定义jwt校验过滤器
    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        //配置关闭csrf机制
        http.csrf(csrf -> csrf.disable());

        //登陆失败处理器
        http.formLogin(configurer -> {
            configurer.failureHandler(loginFailureHandler);
        });

        http.sessionManagement(configurer ->
                // STATELESS(无状态): 表示应用程序是无状态的,不会创建会话。
                configurer.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        );

        //请求拦截方式
        http.authorizeHttpRequests(auth -> auth
                .requestMatchers("/user/login").permitAll()
                .anyRequest().authenticated()
        );

        //!!!!!注册jwt过滤器!!!!!!!
        http.addFilterBefore(jwtAuthenticationTokenFilter,      
                             UsernamePasswordAuthenticationFilter.class);

        //异常处理器
        http.exceptionHandling(configurer -> {
            configurer.accessDeniedHandler(customerAccessDeniedHandler);
            configurer.authenticationEntryPoint(anonymousAuthenticationHandler);
        });

        return http.build();   //允许跨域
    }

    /**
     * 登录时需要调用AuthenticationManager.authenticate执行一次校验
     */
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
        return config.getAuthenticationManager();
    }
}
每天进步一......
关注
专栏目录
Spring Security——实现自定义的认证提供者
程序员阿皓的博客
05-03 216
首先,创建一个类来实现接口,并覆盖 authenticate() 和 supports() 方法来定义自定义的认证逻辑。@Component@Autowired@Override// 自定义认证逻辑,例如调用UserService来验证用户信息if (user!= null) {// 如果认证成功,返回一个包含用户信息和权限的Authentication对象} else {@Override。
SpringSecurity认证与鉴权框架SpringSecurity——认证
低调做人,低调编码,神码都是浮云
06-22 909
认证与鉴权框架SpringSecurity——认证
SpringSecurity之权限方案——用户认证
ybb_ymm的专栏
04-14 620
前面我们讲解了一些关于SpringSecurity的基础知识及基本原理。我们今天看一下如何通过SpringSecurity实现一个简单的web权限认证方案!
Spring Security——认证、授权的工作原理
Guizy
07-22 3710
目录 一、Spring Security 原理 二、Spring Security认证流程 (源码跟踪) 1、AuthenticationProvider 2、UserDetailsService 3、PasswordEncoder 三、Spring Security授权流程 (源码跟踪) 1、授权决策 一、Spring Security 原理 跳转到目录 是基于过滤器链来拦截用户发送的请求; Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对
SpringSecurity认证——设置用户名与密码
初栀的博客
09-11 2472
一、第一种:配置文件 spring.security.user.name=admin spring.security.user.password=123456 二、第二种:配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth)
SpringSecurity框架——认证流程介绍,实战代码
zzztimes的博客
03-17 730
SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。因为是过滤器链的工作形式,所以Security的工作流程是环环相扣的。自定义UsernamePasswordAuthenticationFilter第一个过滤器继承AbstractAuthenticationProcessingFilter类,重写attemptAuthentication()方法,通常这里会在这里对验证码,请求方法类型等进行合法性校验,最后的返回值是Authenticati......
SpringBoot集成Spring Security——认证流程
qq_37497275的博客
05-26 882
文章目录一、认证流程二、多个请求共享认证信息三、获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security认证流程,这样才能理解为什么要这样写...
SpringBoot集成Spring Security——【认证流程】
ITxiaobaibai的博客
11-13 2011
Spring Security——认证流程
SpringSecurity——Web权限方案用户认证方式之一(设置用户名密码)
程序员阿皓的博客
04-29 250
SpringSecurity——Web权限方案用户认证方式之一(设置用户名密码)
SpringSecurity系列——认证(Authentication)架构day2-3(源于官网5.7.2版本)
qq_51553982的博客
07-20 877
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档AbstractAuthenticationProcessingFilter用作验证用户凭据的基本过滤器。从HttpServletRequest创建一个身份验证以进行身份​​验证。创建的Authentication类型取决于。...
SpringSecurity实战入门——认证
GSON的博客
06-19 406
Spring 家族中的一个安全管理框架。相比与另外一个安全框架,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行和。而认证和授权也是SpringSecurity作为安全框架的核心功能。
SpringSecurity系列——简单自定义登录流程day1-3
qq_51553982的博客
06-19 1085
SpringSecurity的原理其实是个过滤器链,其内部包含了各式各样功能各异的过滤器,通过这些过滤器,对消息进行拦截、放行、处理操作 这里你可以看到filters中的共计16个过滤器了 2.编写yaml 3.编写entity,mapper User UserMapper 4.自定义登录表单对象实现UserDetails接口 5.自定义UserDetailsServiceImpl实现UserDetailsService 6.修改数据库密码 添加{noop}表示明文存储 访问 使用数据库中的用户
Spring Security 6.x 系列(5)—— Servlet 认证体系结构介绍
热门推荐
gmHappy
11-25 1万+
安全上下文持有者,存储当前认证用户的。:安全上下文,包含当期认证用户的(认证信息),从中获取。:认证信息,用户提供的用于身份认证的凭据的输入。:授予主体的权限(即角色、作用域等)。:认证管理器,是一个接口,定义过滤器执行身份认证的API。:提供者管理器,是的默认实现。: 认证提供者,由选择,用于执行特定类型的身份认证。: 认证入口点,处理认证过程中的认证异常,比如:重定向登录页面:抽象认证处理过滤器,一个Filter抽象类,是身份验证的基础。
SpringSecurity基础——快速入门
程序无言
09-26 956
一. 初始SpringSecurity 1. 简介 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 2. 主要jar包 spring-security-core.jar: 核心包 spring-security-web.jar: web工程必备,包含过滤器 spring-security-config.jar: 用于解析xml配置文件 spring-security-tagli
深入理解Web浏览器与服务器的连接过程
apple_64847327的博客
10-01 949
在互联网的世界里,我们每天都在浏览网页,但你是否想过,当你在浏览器中输入一个网址时,背后发生了什么?
scp 通过中间机器进行远程拷贝
choumin的专栏
10-08 285
scp 通过中间机器进行远程拷贝的方法
10.10 QT服务器与客户端
最新发布
qq_73941453的博客
10-10 158
【代码】10.10 QT服务器与客户端。
运用MinIO技术服务器实现文件上传——在Linux系统上安装和启动(一)
h123372868的博客
10-07 852
随着大数据时代的到来,数据存储的需求日益增大,如何有效地存储和管理大规模的非结构化数据成为许多企业和开发者面临的挑战。MinIO 作为一个高性能、分布式对象存储系统,致力于为用户提供简单、快速、可扩展的存储解决方案。它的设计与 Amazon S3 兼容,用户可以无缝切换到 AWS 生态系统,并充分利用 S3 提供的丰富功能。MinIO 是基于 Go 语言开发的,因而其执行效率极高,并且可以灵活地支持各种非结构化数据的存储,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值