spring security的简单介绍

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量334 收藏 1
点赞数
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wmg_fly/article/details/114870560
版权

前言

搜索了网上的很多资料,主要参考的是这篇,推荐给大家。
https://www.cnblogs.com/xifengxiaoma/p/11106220.html

这个很早就写了,但是觉得写的不好就一直没发。今天看到有人问相关问题了,想了想,可以先放出来,后续如果要修改的话再继续。

spring security 用来做登录认证和授权的。
在这里插入图片描述

如上图,简单的讲就是 请求 经过一系列的 filter , 到达api接口, 然后返回接口处理后的结果 。

其中,绿色的部门UsernamePasswordAuthenticationFilter 和 BasicAuthenticationFilter这些是可配置是否生效的,其它的不可以控制。

配置文件概览

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {


    @Autowired
    private CustomUserDetailService userDetailsService;

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        //使用自定义登录身份认证组件
        auth.authenticationProvider(jwtAuthenticationProvider());

        //user: admin  password: admin
        auth.inMemoryAuthentication()
                .withUser("admin").roles("admin").password("$2a$10$zitnDs8T9qWXn4XjstH/PuOigjid.YMWDeyuONypBLZwwBDuHWlhe");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 禁用 csrf, 由于使用的是JWT,我们这里不需要csrf
        http.cors().and().csrf().disable()
                //基于token,所以不需要session,也是默认配置
                //.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                .authorizeRequests()
                // 跨域预检请求
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                // 登录URL
                .antMatchers("/signIn").permitAll()
                .antMatchers("/signUp").permitAll()
                // swagger
                .antMatchers("/swagger**/**").permitAll()
                .antMatchers("/webjars/**").permitAll()
                .antMatchers("/v3/**").permitAll()
                // 其他所有请求需要身份认证
                .anyRequest().authenticated();
                //不重写登录认证的话,可以直接
                //.adn().formLogin();
                //同理,开启中间的filter
                //.and().httpBasic();
                
        // 开启登录认证流程过滤器
        http.addFilterBefore(jwtLoginFilter(), UsernamePasswordAuthenticationFilter.class);
        // 访问控制时登录状态检查过滤器
        //http.addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
        // 退出登录处理器
        http.logout().logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler());

    }

    @Bean
    @Override
    public AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    JwtLoginFilter jwtLoginFilter() throws Exception {
        JwtLoginFilter jwtLoginFilter = new JwtLoginFilter();
        jwtLoginFilter.setAuthenticationManager(authenticationManager());
        return jwtLoginFilter;
    }

    @Bean
    JwtAuthenticationProvider jwtAuthenticationProvider() throws Exception {
        JwtAuthenticationProvider jwtAuthenticationProvider = new JwtAuthenticationProvider();
        jwtAuthenticationProvider.setUserDetailsService(userDetailsService);
        jwtAuthenticationProvider.setPasswordEncoder(passwordEncoder());
        return jwtAuthenticationProvider;
    }

    @Bean
    JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
        JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
        return jwtAuthenticationFilter;
    }
}

登录认证有两种处理方式,一种是采用拦截登录接口的方式,
另一种是 在controller里面直接认证,然后将认证结果放入SecurityContext。

先讲下第一种方式:
理清下流程:filter 拦截接口 --> provider 验证信息是否正确 (调用retrieveUser方法去获取存储的信息) --> 返回校验结果。

UsernamePasswordAuthenticationFilter 是第一步的默认实现,拦截 /login 接口,获取name,password参数并封装成AuthenticationToken去进行下一步校验的。
如果使用默认的login接口,可以直接继承UsernamePasswordAuthenticationFilter类,并重写里面的attemptAuthentication方法。
如果使用其他接口,需要继承它的父类AbstractAuthenticationProcessingFilter类,照着写就可以的。

一. 新建JwtLoginFilter类

public class JwtLoginFilter extends AbstractAuthenticationProcessingFilter {

    private static final Logger LOGGER = LoggerFactory.getLogger(JwtLoginFilter.class);

    public JwtLoginFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = request.getParameter("username");
            String password = request.getParameter("password");
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            //这里是继承的UsernamePasswordAuthenticationToken
            JwtAuthenticationToken authRequest = new JwtAuthenticationToken(username, password);

            authRequest.setDetails(authenticationDetailsSource.buildDetails(request));

            return getAuthenticationManager().authenticate(authRequest);
        }

    }

    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        SecurityContextHolder.clearContext();
        if (LOGGER.isDebugEnabled()) {
            LOGGER.debug("Authentication request failed: " + failed.toString(), failed);
        }

        getRememberMeServices().loginFail(request, response);

        CustomizeResponse customizeResponse = new CustomizeResponse();
        customizeResponse.setCode(ResponseConstants.CODE_401);
        customizeResponse.setMessage(ResponseConstants.MSG_401);
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(JSON.toJSONString(customizeResponse));
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
                                            Authentication authResult) throws IOException, ServletException {
        // 存储登录认证信息到上下文
        SecurityContextHolder.getContext().setAuthentication(authResult);
        // 记住我服务
        getRememberMeServices().loginSuccess(request, response, authResult);
        // 触发事件监听器
        if (eventPublisher != null) {
            eventPublisher.publishEvent(new InteractiveAuthenticationSuccessEvent(authResult, this.getClass()));
        }

        //生成token,返回
        String jwtToken = JwtTokenUtils.generateToken(authResult);

        CustomizeResponse customizeResponse = new CustomizeResponse();
        customizeResponse.setCode(ResponseConstants.CODE_200);
        customizeResponse.setMessage(ResponseConstants.MSG_200);
        customizeResponse.setData(jwtToken);
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(JSON.toJSONString(customizeResponse));
    }


    /**
     * json形式的post请求,需要从流中读取参数 。获取请求Body
     * @param request
     * @return
     */
    public String getBody(HttpServletRequest request) {
        StringBuilder sb = new StringBuilder();
        InputStream inputStream = null;
        BufferedReader reader = null;
        try {
            inputStream = request.getInputStream();
            reader = new BufferedReader(new InputStreamReader(inputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return sb.toString();
    }
}

public class JwtAuthenticationToken extends UsernamePasswordAuthenticationToken {

    private static final long serialVersionUID = 7303024501909676990L;

    private String token;

    public JwtAuthenticationToken(Object principal, Object credentials){
        super(principal, credentials);
    }

    public JwtAuthenticationToken(Object principal, Object credentials, String token){
        super(principal, credentials);
        this.token = token;
    }

    public JwtAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities, String token) {
        super(principal, credentials, authorities);
        this.token = token;
    }

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }
}

第一步其实就只是通过filter拦截接口,获取参数并封装,然后调用后面的认证方法。
第二步是比较复杂的,可以看到第一步attemptAuthentication方法最后调用了authenticate方法。每个provider通过supports来表明自己是支持哪种校验的。

DaoAuthenticationProvider 是第二步的默认实现,我们可以点进它继承的AbstractUserDetailsAuthenticationProvider进去查看 authenticate 方法的具体流程,同时也可以在父类里搜到它的supports,很明显是支持我们第一步封装的JwtAuthenticationToken的。

    public boolean supports(Class<?> authentication) {
        return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
    }

我们这里直接继承DaoAuthenticationProvider去进行重写,不继承父类了。差别在于,父类只提供了抽象方法 retrieveUser, 而子类有实现,是调用UserDetailsService().loadUserByUsername() 方法,这个我们放到第三步去介绍。

在认证方法 authenticate 里面,流程是

  1. 获取user (这里包括通过retrieveUser去获取用户信息)
  2. 2.1 preAuthenticationChecks.check() 默认实现是检查账号是否有效,过期,锁定
    2.2 additionalAuthenticationChecks 这里进行密码检查 这两步如果报错会重试一次
  3. postAuthenticationChecks.check 这里默认实现是检查密码是否过期。

二. 新建JwtAuthenticationProvider类 这里我就只重写了additionalAuthenticationChecks方法

public class JwtAuthenticationProvider extends DaoAuthenticationProvider {

    private static final Logger LOGGER = LoggerFactory.getLogger(JwtLoginFilter.class);

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        if (authentication.getCredentials() == null) {
            LOGGER.debug("Authentication failed: no credentials provided");
            throw new BadCredentialsException(messages.getMessage("additionalAuthenticationChecks.badCredentials", "Bad credentials"));
        }

        // 验证密码是否匹配
        String password = authentication.getCredentials().toString();
        //再次加密后与数据库的进行比对
        password = SM4Util.encryptCbcDataTimes(password, null, null);
        if(!password.equals(userDetails.getPassword())){
            LOGGER.debug("Authentication failed: password does not match stored value");
            throw new BadCredentialsException(messages.getMessage("additionalAuthenticationChecks.badCredentials", "Bad credentials"));
        }
    }
}

ps: 获取用户信息,即实现loadUserByUsername方法,往上翻到配置项的代码处,我们在注解bean,jwtAuthenticationProvider类的时候,向里面注入了一个我们自定义的userDetailsService,示例代码如下:

@Service
public class CustomUserDetailService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Autowired
    private UserRoleMapper userRoleMapper;

    @Override
    public UserDetails loadUserByUsername(String loginName) throws UsernameNotFoundException {
        UserDAO userDAO = userMapper.queryUserByLoginName(loginName);
        if(null == userDAO){
            throw new UsernameNotFoundException("User " + loginName + " was not found");
        }

        // 2. 设置角色
        List<String> roles = userRoleMapper.queryUserRole(userDAO.getUserId());
        Collection<GrantedAuthority> grantedAuthorities = AuthorityUtils.createAuthorityList(roles.toArray(new String[0]));
        //Collection<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        //GrantedAuthority grantedAuthority = new SimpleGrantedAuthority("admin");
        //grantedAuthorities.add(grantedAuthority);
        return new User(userDAO.getUserName(), userDAO.getPassword(), grantedAuthorities);
    }
}

第三步,返回结果。这个也是在前面第一步filter里面重写了的。成功或失败分别进行一些处理并放回。

这样第一种方式,拦截请求就结束了。第二种直接调请求接口的,思想同这个是一样的,就不赘述了。至于登录以外的其它请求,则可以新建filter,获取request里面的携带的之前登录认证返回的token,后续进行相应处理即可。

一般般玩
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity基础——权限管理
Java圈全能架构师的博客
01-28 506
一、基础 官网地址:spring.io/projects/spring-security Spring Security是一个功能强大,可高度定制的认证与授权的框架;重点处理认证和授权2个功能 1.1)认证 就是判断一个用户身份是否合法的过程,用户访问系统资源时系统要求验证用户的身份信息,根据认证的结果来进行后一步的操作;认证是为了保证系统的隐私数据与资源; 1.2)授权 授权是用户通过认证后,根据用户的权益来控制用户可以访问资源的过程;授权是为了更细粒度地对隐私数据进行划分,授权是发生在认证通
SpringSecurity的作用
m0_56277423的博客
05-30 1508
/ 返回自定义的登录页面视图名称并创建一个名为login.html的视图文件,作为自定义登录页面。
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 2574
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
Spring Security + JWT 使用
shpunishment的博客
07-11 801
在这之前,可以先了解下Spring Security 使用和RBAC 权限控制及结合 Spring Security 部分实现 本文使用的数据库模型都来自RBAC 权限控制及结合 Spring Security 部分实现中的RBAC0章节,不同的是,上文中使用的是Cookie和Session;本文使用JWT Token。 表结构 表 字段 用户表 user id,nickname,username,password,enable 角色表 role id,role_name 菜单表 m
Spring Security】基本功能介绍
m0_45406092的博客
03-24 5491
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired VerifyCodeFilter verifyCodeFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(verifyCode
spring security简介与使用
fcclzydouble的博客
04-08 2161
spring security spring security使用目的:验证,授权,攻击防护。 原理:创建大量的filter和interceptor来进行请求的验证和拦截,以此来达到安全的效果。 新建一个springboot项目 创建一个springboot项目,添加一个/helloController @RestController public class HelloController { @RequestMapping("/hello") public String h
详解Spring Security 简单配置
08-30
在本篇文章中,我们详细介绍Spring Security简单配置,包括开发环境、配置 Spring MVC + Spring Securityspring-mvc-servlet.xml 配置和 Spring Security 配置。通过这些配置,我们可以实现基本的安全功能,...
Spring Security 强制退出指定用户的方法
08-27
在本篇文章中,我们将介绍如何使用 Spring Security 强制退出指定用户。 首先,让我们来看看应用场景。假设我们有一个社区,最近有人发文章带上小广告,严重影响社区氛围。这时,我们需要对这些用户采取措施,例如...
详解spring security 配置多个AuthenticationProvider
08-30
本文将详细介绍如何在 Spring Security 中配置多个 AuthenticationProvider。 首先,让我们了解 Spring Security 的大体架构。Spring Security 由一堆 Filter 实现,包括 LogoutFilter、...
grpc-spring-security-demo:基于Spring Boot的gRPC服务器,具有受Spring Security保护的gRPC端点
01-31
gRPC Spring Security演示 该项目演示了如何使用Spring Security的基于方法的安全性机制来保护gRPC服务。 这是一个用Java编写并基于Spring Boot构建的gRPC服务器。 它使用gRPC拦截器与Spring Security集成,并支持两...
Spring security 官网说明文档(英文版)
10-28
Spring security 官网说明文档(英文版)
spring security(一):springsecurity 功能
lyzchengxuyuan的博客
05-14 729
Spring Security 是一个非常流行和强大的框架,它提供了许多内置的安全功能,例如认证、授权、密码管理和会话。
Spring-Security的使用以及其作用
zcjbiubiubiu的博客
03-15 2034
Spring-Security Spring中提供安全认证服务的框架 认证:验证用户密码是否正确的过程 授权:对用户能访问的资源进行控制 步骤: 1.导Pom.xml包 <!--spring-Security 架包--> <dependency> <groupId>org.springframework.security</groupId> ...
Spring Security
LIUCHANGSHUO的博客
06-25 1319
通过以上核心原理,Spring Security实现了一个灵活、可扩展的安全框架,可以帮助开发者快速构建安全的应用程序,并提供了丰富的配置选项和扩展点,以满足不同应用场景下的安全需求。3. 支持多种认证方式:Spring Security支持多种认证方式,包括基本身份认证、OAuth认证、LDAP认证等,可以根据应用程序的需求选择合适的认证方式。2. 完善的认证和授权机制:Spring Security提供了灵活的认证和授权机制,可以通过配置文件或编程方式来定义安全策略,满足各种应用程序的安全需求。
Spring Security】1.Spring Security介绍 & 功能介绍
qq_39921135的博客
04-08 360
*官方文档:**https://docs.spring.io/spring-security/reference/index.html官网解释:Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架。它为保护命令式和反应式应用程序提供了一流的支持,是保护基于 Spring 的应用程序的事实标准。身份认证(authentication)授权(authorization)防御常见攻击(protection against common attacks)身份认证。
SpringSecurity的基本使用
希冀
10-21 163
文章目录简介历史 简介 SpringSecurity是一个基于Spring框架的,提供了一套Web应用安全性的完整解决方案的框架。 安全方面的两个主要区域是“认证”和“授权”,一般来说,Web应用的安全性包含用户认证和用户授权两个部分,这也是SpringSecurity框架的重要核心功能。 历史 ...
今日谈谈我对Springsecurity的理解
qq_40783525的博客
05-10 1129
Springsecurity主要作用是安全访问控制,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 其中核心功能有:应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分 如果您当前系统是一个单体应用开发且需要用户认证、和权限管理,Springsecurity简单配置就可以完成,大大的减少编码量。 基本概念: 1.什么是认证? 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝等,下边拿微信来
SpringSecurity详解
我认不到你的博客
06-08 2791
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。...
Spring Boot 整合 Spring Security简单
09-07
以下是一个简单的示例代码,演示了如何在Spring Boot项目中使用Spring Security。 首先,我们需要在`pom.xml`中添加Spring Security的依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值