spring-security封装权限认证自动配置,开箱即用

已于 2022-11-06 08:12:51 修改
阅读量1.2k 收藏 1
点赞数 1
分类专栏: java spring boot spring security 文章标签: spring java 后端
于 2022-02-15 10:02:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wency935486/article/details/122937042
版权

spring-security-auth-starter

spring-security 权限认证自动配置,开箱即用,支持动态续租token过期时间,支持统一API服务接口调用权限认证,支持基于@PreAuthorize注解方式授权认证,支持基于URL路径权限认证。登录接口前端可对密码进行rsa加密(前端公钥加密,后端私钥解密),支持自定义登录接口(微信公众授权/小程序授权可选自定义登录接口)

开源地址

application.yml配置

security:
  config:
    # 是否启用跨域请求配置
    enableCors: false
    # token 请求头名称
    header: Authorization
    # 令牌前缀
    token-start-with: TestBearer
    # 令牌过期时间 此处单位/毫秒 ,默认4小时,可在此网站生成 https://www.convertworld.com/zh-hans/time/milliseconds.html
  #  token-validity-in-seconds: 60000
    token-validity-in-seconds: 14400000
    #  验证码 key(配置key意味着对验证码进行校验)
    #  使用方式:
    #        配置验证缓存前缀key即为 codeKey
    #        生成验证码并生成唯一值例如 uuid 并且 codeKey+uuid 作为redis key缓存验证码
    #        uuid发送给客户端,客户端提交请求携带验证码以及uuid
    #  code-key: code-key
    # 是否踢掉之前已经登录的token
    single-login: false
    # 匿名访问url
    ignoring-urls:
      - /api/ignoringUrls
      - /redissonTest/**
    # token校验访问url
    auth-urls-prefix:
      - /auto/demo
    # 密码加密的私钥, 密码加密传输,前端公钥加密,后端私钥解密
#    rsa-private-key: MIIBUwIBADANBgkqhkiG9w0BAQEFAASCAT0wggE5AgEAAkEA0vfvyTdGJkdbHkB8mp0f3FE0GYP3AYPaJF7jUd1M0XxFSE2ceK3k2kw20YvQ09NJKk+OMjWQl9WitG9pB6tSCQIDAQABAkA2SimBrWC2/wvauBuYqjCFwLvYiRYqZKThUS3MZlebXJiLB+Ue/gUifAAKIg1avttUZsHBHrop4qfJCwAI0+YRAiEA+W3NK/RaXtnRqmoUUkb59zsZUBLpvZgQPfj1MhyHDz0CIQDYhsAhPJ3mgS64NbUZmGWuuNKp5coY2GIj/zYDMJp6vQIgUueLFXv/eZ1ekgz2Oi67MNCk5jeTF2BurZqNLR3MSmUCIFT3Q6uHMtsB9Eha4u7hS31tj1UWE+D+ADzp59MGnoftAiBeHT7gDMuqeJHPL4b+kC+gzV4FGTfhR9q3tTbklZkD2A==
    # 指定des加密密码。登录成功后,token也会跟随用户信息缓存起来,经过des加密,
    des-password: 12345678
    # 启动系统后是否删除登录过的token
    app-run-delete-history-token: false
    # 配置用户密码加密方式
    id-for-encode: bcrypt
    # 权限认证方式,CODE或URL,不管使用哪种方式调调用fetchRolePermissionInfo方法查询权限
    # com.gitee.osinn.boot.securityjwt.service.ISecurityService.fetchRolePermissionInfo()
    # 如果是URL方式调用fetchResourcePermissionAll()方法查询资源路径(UIR)以及资源路径权限编码
    auth-type: CODE
     #  前端传服务名称之属性名称
    service-name: service
    # 前端传服务接口方法名称之属性名称
    service-handler-method: methodName
#    如果是api服务层,前端需要传参数:接口方法名称
#    如果设置为true,需要service-handler-method 指定前端要调用的方法的参数名称
#    这时前端不只是传serviceName 需要调用的服务,还要传 serviceHandlerMethod具体要调用服务下的哪个接口方法
    api-service: true
    # 是否需要动态续租token过期时间
    dynamic-refresh-token: true
    ...

使用方式

  • 在启动类上添加@EnableSecurityJwt注解启用自动配置
  • 在启动类上添加@DisableSecurityJwt注解禁用Spring security自动配置

如果在项目中引入此依赖,不想用内置的加密方法式,可以自行注入自定义加密,注入方式如下

@Bean
public PasswordEncoder passwordEncoder() {
    // CustomizePasswordEncoder则是自定义密码加密方式类
    // CustomizePasswordEncoder.class可以参考 com.gitee.osinn.boot.securityjwt.security.crypto.Md5Sha512PasswordEncoder
    return new CustomizePasswordEncoder();
}

新增用户密码加密

// 新增一个账号
userEntity = new SysUserEntity();
userEntity.setAccount("demo");
userEntity.setNickname("演示");
userEntity.setStatus(StatusEnum.ENABLE);
// idForEncode为配置用户密码加密方式
PasswordEncoder passwordEncoder = PasswordEncoderUtils.getPasswordEncoder(idForEncode);
userEntity.setPassword(passwordEncoder.encode("12345600")); // 密码加密
sysUserMapper.insert(userEntity);

图形验证码

  • 使用内置实现图形验证码,引入依赖
<!-- 图形验证码依赖包 -->
<dependency>
    <groupId>com.github.whvcse</groupId>
    <artifactId>easy-captcha</artifactId>
    <version>${easy-captcha.version}</version>
</dependency>

自定义图形验证码

实现 ISecurityCaptchaCodeService 接口里面的方法即可

权限认证方式

  • 在配置文件中如果不将security.config.auth-type指定为URL,那么使用security默认的 @PreAuthorize注解方式路径授权,例如:@PreAuthorize("hasAuthority('system:sysMenu:details')")
  • 默认为URL,即为基于url路径授权
  • SERVICE方式结合@API注解使用,用于通过服务名称来请求业务接口

关于@API注解

/**
 * 服务API注解,在类上添加此注解
 * <p>
 * 有时候我们调用的接口是通过注解指定服务名称
 * 前端通过指定服务名称调用接口
 * </p>
 *
 * @author wency_cai
 **/
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Component
public @interface API {

    /**
     * 服务名称-应用场景:用于通过服务名称调用接口指定的服务名称
     *
     * @return 服务名称
     */
    String service();

    /**
     * 是否需要认证登录
     *
     * @return true 需要认证登录,false 不需要认证登录
     */
    boolean needLogin() default false;

    /**
     * 接口拥有的权限
     *
     * @return 权限code
     */
    String permission() default "";

    /**
     * 是否需要权限认证
     *
     * @return true 需要认证权限,false 不需要认证权限
     */
    boolean needPermission() default false;
}

IOnlineUserService接口

  • 在需要的地方直接注入
@Autowired
private IOnlineUserService onlineUserService;
  • 接口具有的方法
    /**
     * 登录认证
     *
     * @param authUser
     * @param request
     * @return
     */
    JwtUser auth(AuthUser authUser, HttpServletRequest request);

    /**
     * 退出登录删除token
     *
     * @throws SecurityJwtException 请求头不携带token抛出异常
     */
    void logout() throws SecurityJwtException;

    /**
     * 根据用户id筛选在线的用户(多端登录,多个token对应一个用户)
     *
     * @param filterUserId
     * @return
     */
    List<OnlineUser> fetchOnlineUserAllByUserId(String filterUserId);

    /**
     * 获取当前在线用户
     *
     * @return
     */
    OnlineUser fetchOnlineUserCompleteInfo();

    /**
     * 根据token获取当前在线用户
     *
     * @return
     */
    OnlineUser fetchOnlineUserCompleteInfoByToken(String token);

    /**
     * 根据指定的key查询在线用户
     *
     * @param key
     * @return
     */
    OnlineUser getOne(String key);

    /**
     * 根据前缀删除缓存
     *
     * @param prefixKey
     */
    void deleteCacheByPrefix(String prefixKey);

    /**
     * 删除所有缓存
     */
    void deleteCacheAll();

    /**
     * 获取全部在线用户
     *
     * @return
     */
    List<OnlineUser> fetchOnlineUserAll();

    /**
     * 刷新token缓存过期时间
     */
    void refreshToken();

    /**
     * 根据用户ID删除token
     *
     * @param ids 用户id
     */
    void editUserInfoForciblyLogout(List<Object> ids);
java客栈的小二
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
基于Spring security + Spring Boot + JWT的封装框架快速入门指南
Wyndem的博客
11-03 2158
吐槽 近期做一个小玩意,打算实现前后端分离,那么就要用到符合REST协议的API接口了。如果使用纯API的话,就肯定不希望所有人都可以调用我的接口,所以对于API的安全就要重视了,对于我刚刚学习Spring Boot的人来说。第一就想到用Spring全家桶,百度一搜还真有:spring security就是这个安全组件,在配合JWT实现身份鉴定,这样做服务器就不用存session,也完美解决了分布...
citrus:基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统 ,统一的认证入口、易于扩展的认证权限校验、细粒度的权限与数据范围设计、动态数据源+多数据源事务
04-09
Citrus: 低代码开发脚手架项目简介基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT 的前后分离后台管理系统前端仓库地址:项目特性开箱即用,引入starter依赖后即可启动高效开发,只需要定义实体与库表...
struts2+spring3+hibernate4 + UI 组件(easyui)+代码生成器+共通封装+Spring_security权限
11-27
********************************************************************* 项目中逐步完善的实战框架: (可直接用于项目开发) 架构技术: struts2+spring3+hibernate4 + UI 组件(easyui)+Spring_security权限 配置思想: Convention 零配置(不需要任何配置文件) 优点; [1].代码生成器(单表的增删改查完美生成) 注意:包括JSP页面的生成,代码无需任何修改,功能直接发布使用 [2].查询条件生成器 页面加查询条件,后台不需要写任何逻辑判断,动态拼SQL追加查询条件 [3].常用共通封装 数据字典封装, 邮件发送封装,定时器封装,hibernate+spring jdbc组合使用 [4].完整用户权限封装 权限可直接使用 功能:权限,角色,用户 [5].ehcache缓存机制(永久缓存/临时缓存) 代码生成器界面: A.动态选择需要生成文件(ServiceI\ServiceImpl\Jsp\Action\Entity\Page) B.动态选择JSP模板(行编辑/单页编辑) ********************************************************************* 该文档只是框架说明和代码生成器演示,如果你需要可以联系我。 联系方式:QQ:445654970
SpringSecurity授权
小钟不想敲代码
05-28 5440
SpringSecurity授权
Spring Authorization Server的使用
最新发布
zzy7075的专栏
05-21 349
既然涉及到签名,就涉及到签名算法,对称加密还是非对称加密,那么就需要加密的 密钥或者公私钥对。不存在签名的JWT是不安全的,存在签名的JWT是不可窜改的。,目前已经到了 0.1.2 的版本,不过该项目还是一个实验性的项目,不可在生产环境中使用,此处来使用项目搭建一个简单的授权服务器。没有用户的参与,一般可以用于内部系统之间的访问,或者系统间不需要用户的参与。的创建,这个张三是授权服务器的用户,此处即QQ服务器的用户。此模式下,没有用户的参与,只有客户端和授权服务器之间的参与。
Spring Security——06,授权_封装权限信息
weixin_42858422的博客
04-07 957
我们前面在写UserDetailsServiceImpl的时候说过,在查询出用户后还要获取对应的权限信息,封装到UserDetails中返回。实际上项目中用的都是基于注解的形式配置方式,基于配置方式的主要是用来配置静态资源,而前后端分离,就没有什么静态资源了,所以用的都是注解。在security中,它去获取权限信息的时候,是调用UserDetails接口中的getAuthorities方法。所以我们还需要在后台进行用户权限的判断,判断当前用户是否有相应的权限,必须具有所需权限才能进行相应的操作。
若依封装SpringSecurity+JWT
weixin_45943597的博客
08-19 1711
公司用的是若依管理系统封装SpringBoot,权限使用了SpringSecurity+JWT令牌机制,今天花时间研究了一下若依是如何对Security进行封装的。 登录 1.用户存在性验证 首先将后台清了一下,访问系统登录的页面,发现控制台打印了如下SQL: 16:10:13.119 [http-nio-8082-exec-15] DEBUG c.r.s.m.S.selectUserByUserName - [debug,159] - ==> Preparing: select u.user_i
java权控系统 springboot 开箱即用
07-31
Java权限控制系统基于Spring Boot的实现,提供了开箱即用的功能,极大地简化了开发流程,减少了开发者在基础架构上的投入,让您可以专注于业务逻辑。这个系统整合了MyBatis和Redis,利用它们各自的优势来实现数据...
security-util:Spring安全实用程序
04-29
它通过封装和扩展Spring Security的核心功能,降低了安全开发的门槛,使开发者能够将更多的精力放在业务逻辑上,而不是基础的安全配置。如果你正在使用或计划使用Spring Security,那么这个库无疑会是你的得力助手。
spring-tutorial:该项目包含基本的Spring示例
05-26
- Spring Boot简化了Spring应用程序的创建和配置,它默认包含了许多开箱即用的功能,减少了大量初始化工作。 7. **Spring Data**: - Spring Data提供了一种简单的方式来与各种数据存储进行交互,包括JPA、JDBC...
maku-boot-master.zip
12-14
《构建基于SpringBoot的企业...对于开发者来说,它不仅提供了开箱即用的功能,还能通过自定义扩展满足特定业务需求。对于企业而言,这样的开源平台可以快速构建出符合自身需求的后台系统,降低开发成本,提升项目进度。
项目集成Spring Security
吻得太逼真的博客
05-25 338
Spring Security 一句话概述:一组 filter 过滤器链组成的权限认证。 一、加入依赖 环境:项目采用 Spring Initializr 快速构建 Spring Boot ,版本交由spring-boot-starter-parent管理。 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter...
spring-boot-starter-security的简单使用
python15397的博客
04-03 1万+
spring-boot-starter-security的简单使用
springsecurity认证和授权
qq_45098321的博客
02-22 565
springsecurity
application.yml 配置springsecurity的过滤请求
linsenaa的博客
06-13 1713
第一步 注入 @Autowired private Environment env;
SpringSecurity封装自定义User类的一次实践
Vetoy的博客
04-29 887
本文通过继承UserDetailsService接口并实现loadUserByUsername方法提供自定义登录授权。
Spring Security学习(一)
qq_25447799的博客
04-10 758
1、Spring Security的定义 2、使用Spring Security配置实现权限控制 3、使用注解实现权限控制。 4、在Spring security的使用中,为了对方法进行权限控制,通常采用的三个注。
Spring security 实现前后端分离登录拦截器及用户权限控制
热门推荐
zzq的博客
11-22 1万+
目录 前言 一、准备工作 1.1、设计数据库(我的工程目录中的sql文件夹下有sql文件直接导入即可) 二、代码实现 2.1、数据操作 2.2、自定义登录逻辑 2.2.1、创建自定义UserDetailsService 2.2.2、自定义的密码加密类 2.3、自定义登录验证结果、登出结果、无权访问处理器 2.3.1、自定义登录成功处理器 2.3.2、自定义登录失败处理器 2...
SpringBoot整合Security动态权限案例
hq.zheng的博客
04-19 489
注意:需要实现Security中的UserDetailsService 的loadUserByUsername()方法。注意:User类需要实现Security中的UserDetails的getAuthorities()方法。4)、自定义Security配置案例代码。3)、service案例代码。一、RBAC权限模型表设计。1)、entity案例代码。2)、mapper案例代码。自定义登入密码加密工具类。1)、核心pom依赖。
Spring-Security安全权限管理手册
08-12
Spring-Security安全权限管理手册,架构设计

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值