若依登录认证

已于 2023-10-26 10:50:28 修改
阅读量367 收藏 1
点赞数 2
文章标签: java 开发语言 spring boot 后端
于 2023-10-26 10:47:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wlf_csdn/article/details/134050612
版权

若依登录认证(后端)

0. SpringSecurity知识点

若项目中加入了SpringSecurity的依赖,会默认对项目的方法都提供保护。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

启动程序的时候,会自动弹出登录认证页面

在这里插入图片描述
这个过程的大致流程如图所示,弹窗认证功能是由UsernamePasswordAuthenticationFilter过滤器提供的

在这里插入图片描述

SpringSecurity有很多过滤器,但是核心的过滤器主要有三个:

  • UsernamePasswordAuthenticationFilter:用户名密码认证过滤器。

​ 负责处理在登陆页面填写了用户名密码后的登陆请求。

  • ExceptionTranslationFilter:异常转换过滤器。

​ 处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException。

  • FilterSecurityInterceptor:负责权限校验的过滤器。

SpringSecurity的基础认证流程

在这里插入图片描述

这是默认的认证流程,这个过程中UsernamePasswordAuthenticationFilter会调用上述的认证界面对用户进行用户名和密码的认证,并且InMemoryUserDetailsManager是在内存中进行相关操作的,这两点和实际开发不太符合。

我们可以自定义login接口,在这个方法中手动调用AuthenticationManager的authenticate方法。由于默认的loadUserByUsername是对内存操作的,我们可以改写该方法,查询数据库中用户名及密码等相关信息

自定义的认证流程

在这里插入图片描述

1. 认证

登录校验

自定义登录接口 login,在这个方法中手动调用AuthenticationManager的authenticate方法对用户进行认证。

/**
	自定义登录接口 login
		在这个方法中手动调用AuthenticationManager的authenticate方法对用户进行认证
*/
loginService.login(loginBody.getUsername(), loginBody.getPassword(), loginBody.getCode(),loginBody.getUuid());

若验证码校验通过并且用户名和密码前置校验通过后,会调用AuthenticationManager的authenticate方法进行用户认证

@Resource
private AuthenticationManager authenticationManager;

// TODO 验证码校验 登录前置校验
 
...
    
try{
        /*
            封装Authentication对象
            把用户的用户名和密码传入,方便后续authenticationManager(该对象的authenticate传入的对象是Authentication authentication)就行认证
        */    
        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(username, password);
        //存储Authentication对象  ThreadLocal 存数据
        AuthenticationContextHolder.setContext(authenticationToken);
        // 该方法会去调用UserDetailsServiceImpl.loadUserByUsername(自定义的loadUserByUsername方法)
        authentication = authenticationManager.authenticate(authenticationToken);
}
catch()
    ...
    //TODO 异常捕捉
finally
{
    /**
      * ThreadLocal确保了每个线程使用一个认证对象,不用每次使用都传递 Authentication 认证对象了,但是在本次线程完必须清除数据,
      * (因为spring使用的线程池,请求完不会销毁线程,回到线程池由下一个请求继续使用,防止携带'前世'数据,本次请求完需销毁)
     */
    //ThreadLocal 销毁
    AuthenticationContextHolder.clearContext();
}

数据库校验

​ 未重写的loadUserByUsername是对内存进行处理,重写后的loadUserByUsername可以根据自身的业务逻辑进行编写,先获取数据库中该用户名的相关信息,再对密码的有效性校验,最后返回UserDetails对象

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询 该用户的用户信息、部门信息、角色信息
        SysUser user = userService.selectUserByUserName(username);
        //抛出的ServiceException由GlobalExceptionHandler中的handleServiceException捕捉
        if (StringUtils.isNull(user))
        {
            log.info("登录用户:{} 不存在.", username);
            throw new ServiceException(MessageUtils.message("user.not.exists"));
        }
        else if (UserStatus.DELETED.getCode().equals(user.getDelFlag()))
        {
            log.info("登录用户:{} 已被删除.", username);
            throw new ServiceException(MessageUtils.message("user.password.delete"));
        }
        else if (UserStatus.DISABLE.getCode().equals(user.getStatus()))
        {
            log.info("登录用户:{} 已被停用.", username);
            throw new ServiceException(MessageUtils.message("user.blocked"));
        }
        //校验用户密码的正确性
        passwordService.validate(user);

        //返回UserDetails对象
        return createLoginUser(user);
    }

在这里插入图片描述

    public void validate(SysUser user)
    {
        //获取用户登入时 填写的用户名和密码
        Authentication usernamePasswordAuthenticationToken = AuthenticationContextHolder.getContext();
        String username = usernamePasswordAuthenticationToken.getName();
        String password = usernamePasswordAuthenticationToken.getCredentials().toString();

        //记录用户登录次数
        Integer retryCount = redisCache.getCacheObject(getCacheKey(username));

        if (retryCount == null)
        {
            retryCount = 0;
        }

        if (retryCount >= Integer.valueOf(maxRetryCount).intValue())
        {
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL,
                    MessageUtils.message("user.password.retry.limit.exceed", maxRetryCount, lockTime)));
            throw new UserPasswordRetryLimitExceedException(maxRetryCount, lockTime);
        }
        //密码和用户名 不匹配 (user是数据库获取的,密码是加密过的)
        if (!matches(user, password))
        {
            retryCount = retryCount + 1;
            AsyncManager.me().execute(AsyncFactory.recordLogininfor(username, Constants.LOGIN_FAIL,
                    MessageUtils.message("user.password.retry.limit.count", retryCount)));
            //密码不正确 登录次数+1
            redisCache.setCacheObject(getCacheKey(username), retryCount, lockTime, TimeUnit.MINUTES);
            throw new UserPasswordNotMatchException();
        }
        else
        {   //用户名和密码匹配 清空redis中的缓存
            clearLoginRecordCache(username);
        }
    }

jwt认证过滤器

​ login方法完成了上述用户名和密码的验证后,生成token再把这个token返回给客户端,并该用户token作为key,其权限相关信息作为vaule存放再redis中。前端请求数据时携带token能够快速进行身份验证。

public String login(String username, String password, String code, String uuid)
{
    //TODO 登录认证
    ....
    //获取当前登录用户的信息
    LoginUser loginUser = (LoginUser) authentication.getPrincipal();
    // 生成token
    return tokenService.createToken(loginUser);
}        

    public String createToken(LoginUser loginUser)
    {
        //生成uuid作为token
        String token = IdUtils.fastUUID();
        loginUser.setToken(token);
        //设置用户代理信息
        setUserAgent(loginUser);
        //更新redis中的信息 以token作为key loginUser作为value
        refreshToken(loginUser);

        //{"login_user_key":uuid} jwt编码生成返回给前端的token
        Map<String, Object> claims = new HashMap<>();
        claims.put(Constants.LOGIN_USER_KEY, token);
        return createToken(claims);
    }

​ 当用户登录成功后,redis保存了token(uuid):loginUser这样的键值对信息,当前端携带token发送请求时,需要在SecurityConfig设置过滤器(即在UsernamePasswordAuthenticationFilter过滤器对用户信息认证前验证token的有效性

SecurityConfig

/**
 * token认证过滤器
*/
@Autowired
private JwtAuthenticationTokenFilter authenticationTokenFilter;

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception
{
	//TODO ...其他设置
    // 添加JWT filter  把JwtAuthenticationTokenFilter对象添加在UsernamePasswordAuthenticationFilter过滤器前
    httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
}

JwtAuthenticationTokenFilter

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException
    {
        //解析token 获取
        LoginUser loginUser = tokenService.getLoginUser(request);
        if (StringUtils.isNotNull(loginUser) && StringUtils.isNull(SecurityUtils.getAuthentication()))
        {
            //验证令牌有效期 相差不足20分钟,自动刷新缓存
            tokenService.verifyToken(loginUser);
            //存入SecurityContextHolder  loginUser.getAuthorities()获取权限信息
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
            authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            // 放入Authentication对象 
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }
        //放行
        //(如果没有token)未登录状态的时候 放行会被后面的security拦截下来进行登录相关操作(后面的过滤器会对其进行处理)
        chain.doFilter(request, response);
    }

退出登录

​ 退出登录同样在SecurityConfig中配置

SecurityConfig

/**
  * 退出处理类
*/
@Autowired
private LogoutSuccessHandlerImpl logoutSuccessHandler;

@Override
protected void configure(HttpSecurity httpSecurity) throws Exception
{
	//TODO ...其他设置
    // 添加Logout filter
    httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
}
wlf_csdn
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
若依-登录验证过程
yunmeikeji的博客
03-10 1383
若依-登录验证过程
登录验证
qq_36371848的博客
07-29 159
登录页面js 读写cookie function writeCookie(name,value,hours){ var expire = ''; if(hours!=null){ expire = new Date((new Date()).getTime()+hours*360000); expire = '; expires'+expire.toGMTString(); } document.cookie = name + '=' +escape(value) +expire; } fu
若依知识点分享(登录验证码)
最新发布
weixin_68580848的博客
04-26 1320
本次对于若依验证码功能的分享到这里就结束了,如果还没有下载若依但是对若依有兴趣的小伙伴可以参考若依(ruoyi)框架初识进行学习。希望本次分享对小伙伴们有所帮助,如有不足之处还请各位多多指点,不吝赐教。感激不尽,感激不尽。。。最后祝各位小伙伴多财多亿。
【前端必备技能java若依框架认证(登录注册)模块梳理】
leleshuo
02-04 2098
必备技能java系列梳理的文章并不涉及造轮子,以若依框架为基础,分析微服务Spring Cloud的能力,并理清微服务在业务处理上搭建的应用层架构,不会追问技术实践的底层细节,目标是可以让有后端经验的非java相关的程序员可以使用Spring Cloud搭建属于自己的后端服务。
若依框架:前端登录组件与图像验证码
席木木的博客
01-01 5972
若依框架:前端登录组件与图像验证码|用户登录逻辑,涉及初始页面组件Login.vue的初始渲染逻辑,以及图像验证码实现逻辑、用户登录逻辑的解析,并对其中的前后端交互逻辑,后端相关注解使用、图像验证码实现细节、Redis缓存工具使用等,前端的Cookie操作、Vuex全局状态管理和Axios二次封装相关的内容进行探讨。
若依启动后登陆报错,用户名或者密码错误
m0_65663283的博客
10-12 1583
若报这个错误说明你在执行sql语句的时候报错了,sys_user表里没有数据,你重新把表删除,然后执行下sql语句就行。数据库表里面要有这个数据。
若依框架支持LDAP认证
01-31
若依框架支持LDAP认证版本是比较老版本,使用新版本可以参照博客修改 相关实现博客:https://blog.csdn.net/shawshank_bingo/article/details/128818128?spm=1001.2014.3001.5501
集成cas实现单点登录认证.zip
12-19
集成cas实现单点登录认证.zip
.net实现网站用户登录认证
10-23
本文给大家介绍的是.net实现网站用户登录认证的方法和实例,都非常的简单实用,需要的小伙伴可以参考下。
django rest framework 实现用户登录认证详解
09-18
主要介绍了django rest framework 实现用户登录认证详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringMVC拦截器实现登录认证
09-01
主要介绍了SpringMVC拦截器实现登录认证的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
若依框架登录过程解读
qq_56823707的博客
03-01 1704
若依框架登录过程解读
若依管理系统——前后端分离版(二)登陆接口分析及SpringSecurity的登陆认证流程
DreamsArchitects的博客
05-12 6323
目录一、登陆流程分析1. 图片验证码接口/captchaImage2.登陆验证接口/login2.1 校验图片验证码2.1 查询用户信息2.3查询用户的权限信息2.4 生成令牌token3.登录二、在请求头中携带token信息请求后台接口1. 获得请求头2.获取请求头中的认证信息3.解析jwt令牌,获取缓存中的用户信息 一、登陆流程分析 1. 图片验证码接口/captchaImage 在登陆之前会有一个请求图片验证码的接口/captchaImage,页面获得图片验证码,后台接口生成一个图片和UUID,并将
若依框架解读(微服务版)—— 4.认证,登出(Gateway网关)
hwp_ing的博客
11-21 2271
我们进入授权中心,这里其他的解析解析token的步骤与上一篇文章中的生成token是逆操作,也比较简单。此处的两个注解是获取nacos当中的白名单,我们打开nacos,进入网关配置可查看相关的值。前端的css啥的前后端分离情况都是放在nginx当中的,不会经过网关。我们在请求刚到第一个断点时,打第二个断点,在点击左下角的三角形,会直接进入鉴权服务工程。登出比较简单,获取前端传来的token,删除了redis当中的用户信息。因为白名单当中配置了logou接口,因此请求会从网关服务进入鉴权服务。
若依源码解析:RuoYi-Vue登录和鉴权的实现
字节叔叔
05-15 5869
若依(RuoYi)是一款基于 Spring Boot 和 Vue.js 的开源权限管理系统,若依登录和鉴权的实现还包含验证码的生成与校验,这是为了增加系统的安全性,防止恶意攻击和暴力破解等行为。验证码生成前端页面:登录页面中的验证码显示区域,通常位于 Vue.js 的 src/views 目录下。验证码 API:后端应用的验证码接口。该接口接收请求并生成验证码图片,并将验证码字符保存在 Redis 或者内存中。
shiro实现简单的登录验证以及权限管理
qq_38743559的博客
05-21 204
专注打代码的时候你会发现时间过的很快,好处就是会觉得时间过的很快,一会儿就下班了 哈哈哈哈 今天学习使用了shiro 给各位和我一样的新手分下一下 如何简单时间登录验证功能 1、新建springBoot项目并连接数据库 a.创建user表 b、根据user表在项目里写创建如下文件 MD5Utils.java是我用的加密方式 R.java是消息返回工具类 UserController.java @RestController @RequestMapping("/user") public class Us
若依RuoYi框架浅析 基础篇⑥——authenticate密码加密校验
小康师兄
02-17 7286
若依RuoYi框架浅析 基础篇⑥——authenticate密码加密校验
若依后端分离密码修改成功,登录提示用户名或密码不正确。
猿小白的博客
07-04 5276
这是因为若依框架在密码校验过程中会对密码长度进行校验,如果你输入密码长度小于设置的阈值或大于设置的阈值,那么就会提示:用户名或密码不正确。找到框架目录下的文件:RuoYi-Vue\ruoyi-common\src\main\java\com\ruoyi\common\constant\UserConstants.java 将密码长度限制,改成你需要的限制范围即可解决此问题。............
从零搭建若依(Ruoyi-Vue)管理系统(13)--登录和鉴权的实现
Gang-bb的博客
07-16 7361
文章目录1. 新建相关数据表3. 登录和鉴权处理逻辑3.1 状态码3.2 新增登录用户信息类3.3 UserDetailsServiceImpl3.3 token认证过滤器 JwtAuthenticationTokenFilter3.4 跨域过滤器配置3.5 退出处理类3.6. 注入Spring Security配置文件3.7 用户权限处理service SysPermissionService4. 登录接口实现4.1 新增用户接口4.2 生成验证码接口4.3 登录接口 本章结束后对应的节选代码文件:
若依spring 登录思路
07-27
6. 处理登录成功/失败:根据认证结果,可以在登录成功或失败时执行相应的操作。例如,重定向到主页或错误页面。 通过以上步骤,你可以实现基本的Spring登录功能。当然,在实际应用中,还可以根据需求进行一些定制化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值