springboot模板项目搭建:Security登录授权过滤器

最新推荐文章于 2023-08-07 18:40:00 发布
最新推荐文章于 2023-08-07 18:40:00 发布
阅读量917 收藏 3
点赞数
分类专栏: Java实战记录 后台 文章标签: springboot Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang1393214887/article/details/121470415
版权

 项目完整步骤:

使用idea创建springboot项目_杨咩咩-CSDN博客创建一个以后都可以使用的springboot后台项目,放入git中托管,后期创建别的项目时,直接拖下来,修改完项目名和包名时直接使用https://blog.csdn.net/yang1393214887/article/details/1213713441、创建SecurityConfig.java配置类

包名:package com.xxxx.server.config.security;

如果创建的类,无选择包名的步骤,可以先修改包显示方式,拖动到需要的位置,让后再改回去。点击项目结构右上角的齿轮:

package com.xxxx.server.config.security;

import com.xxxx.server.config.security.component.JwtAuthencationTokenFilter;
import com.xxxx.server.config.security.component.RestAuthorizationEntryPoint;
import com.xxxx.server.config.security.component.RestfulAccessDeniedHandler;
import com.xxxx.server.pojo.User;
import com.xxxx.server.service.IUserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * Security配置类
 * @author: yangxf
 * @createDate: 2021/11/22
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private IUserService userService;
    @Autowired
    private RestAuthorizationEntryPoint restAuthorizationEntryPoint;
    @Autowired
    private RestfulAccessDeniedHandler restfulAccessDeniedHandler;

    /**
     * 返回
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

    /**
     * 配置
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception{
        // 使用Jwt不需要csrf,所以关闭
        http.csrf()
                .disable()
                // 基于token,不需要session
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 允许登录访问
                .antMatchers("/login", "/logout")
                .permitAll()
                // 除了上面,所有请求都要认证
                .anyRequest()
                .authenticated()
                .and()
                .headers()
                .cacheControl();
        // 添加JWT 登录授权拦截器(过滤器)
        http.addFilterBefore(jwtAuthencationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
        // 添加自定义未授权和未登录结果返回
        http.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthorizationEntryPoint);
    }

    /**
     * 重写UserDetailsService根据用户名获取用户的方法
     * @return
     */
    @Override
    @Bean
    public UserDetailsService userDetailsService(){
        return username -> {
            User user = userService.getUserByUserName(username);
            if (user != null) {
                return user;
            }
            return null;
        };
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public JwtAuthencationTokenFilter jwtAuthencationTokenFilter(){
        return new JwtAuthencationTokenFilter();
    }
}

2、创建JWT登录授权过滤器类JwtAuthencationTokenFilter.java

package com.xxxx.server.config.security.component;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * JWT登录授权过滤器
 * @author: yangxf
 * @createDate: 2021/11/22
 */
public class JwtAuthencationTokenFilter extends OncePerRequestFilter {
    @Value("${jwt.tokenHeader}")
    private String tokenHeader;
    @Value("${jwt.tokenHead}")
    private String tokenHead;
    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String authHeader = request.getHeader(tokenHeader);
        //存在token
        if (authHeader!=null && authHeader.startsWith(tokenHead)){
            String authToken = authHeader.substring(tokenHead.length());
            String username = jwtTokenUtil.getUserNameFromToken(authToken);
            // token存在用户名但未登录
            if (username!=null && SecurityContextHolder.getContext().getAuthentication()==null){
                // 登录
                UserDetails userDetails = userDetailsService.loadUserByUsername(username);
                // 验证token是否有效,重新设置用户对象
                if (jwtTokenUtil.validateToken(authToken,userDetails)){
                    UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authenticationToken);
                }
            }
        }
        filterChain.doFilter(request,response);
    }
}

3、创建当未登录或者token失效时访问接口时,自定义的返回结果的类RestAuthorizationEntryPoint.java

package com.xxxx.server.config.security.component;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.xxxx.server.pojo.RespBean;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 当未登录或者token失效时访问接口时,自定义的返回结果
 * @author: yangxf
 * @createDate: 2021/11/23
 */
@Component
public class RestAuthorizationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        PrintWriter out = httpServletResponse.getWriter();
        RespBean bean = RespBean.error("未登录或登录失效,请重新登录!");
        bean.setCode(401);
        out.write(new ObjectMapper().writeValueAsString(bean));
        out.flush();
        out.close();
    }
}

4、创建类:当访问接口没有权限时,自定义返回结果RestfulAccessDeniedHandler.java

package com.xxxx.server.config.security.component;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.xxxx.server.pojo.RespBean;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 当访问接口没有权限时,自定义返回结果
 * @author: yangxf
 * @createDate: 2021/11/23
 */
@Component
public class RestfulAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        PrintWriter out = httpServletResponse.getWriter();
        RespBean bean = RespBean.error("无权限,请联系管理员!");
        bean.setCode(403);
        out.write(new ObjectMapper().writeValueAsString(bean));
        out.flush();
        out.close();
    }
}

杨咩咩yang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 登录密码验证过程(UsernamePasswordAuthenticationFilter)
Qurite的博客
03-20 2万+
Spring-Security主要是一个由一堆Filter组成的过滤器链,每个Filter做自己的事情。今天我跟一下登录的密码认证过程,主要是UsernamePasswordAuthenticationFilter这个类 1.web.xml中配置security <filter> <filter-name>springSecurityFilterChain...
SpringBoot集成SpringSecurity(六)实现登录验证码
xinshengdelei的专栏
03-31 448
登录验证码 有很多种实现形式,如自定义类UsernamePasswordAuthenticationFilter(默认的用户认证过滤器)、在UsernamePasswordAuthenticationFilter前添加验证码拦截器等。 下面通过第二种实现,在UsernamePasswordAuthenticationFilter前添加验证码拦截器,如果验证码不通过,那么不继续后面的认证。 验证码实现接口 通过hutool插件实现图片验证码,并将验证码写入到session中,key为verifycod
SpringSecurity单点登录3
m0_64714024的博客
07-08 2639
续:Spring Security实现单点登录2_寒風冷度夜雨的博客-CSDN博客一.Spring Security+Jwt此前,在处理登录业务的时候,当登录成功时,返回的字符串并不是jwt数据,那么我们就应该将返回的内容改为必要的jwt数据: 在控制器中,我们为了前端同事能够得到一个统一的返回对象,并不是返回各种类型的对象,那么我们就需要创建一个统一管理返回值对象的类,返回的是一个JSON格式的字符串. 同时,我们还需要在这个类中使用固定的状态码,来表示我们当前返回的是成功或者失败.因此,还需要创
创建Spring Security Filter Chain
m13012606980的专栏
10-09 699
springSecurityFilterChain方法块中参数的初始化 讲解基于 spring-security 4.1.0.RELEASE 和 spring-security-oauth2-2.3.5.RELEASE 版本 通过了解springSecurityFilterChain()这个方法的逻辑来详细了解 Spring Security 过滤器链的创建流程。方法里有两个变量webSecurityConfigurers和webSecurity。都是在WebSecurityConfiguration被sp
学习java认证授权之JWT之拦截器和过滤器01
m0_62472302的博客
03-03 928
学习java认证授权之JWT之拦截器和过滤器01
springboot-06-security security的页面模板(06).zip
最新发布
05-16
`HttpSecurity`配置对象允许我们定制这个链,添加或移除过滤器,比如`UsernamePasswordAuthenticationFilter`用于处理登录请求,`CSRFFilter`防止CSRF攻击,`LogoutFilter`处理退出登录操作。 4. **异常处理**:当...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
项目结合了SpringBoot、SpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个方面,而SpringBoot则简化了Spring的配置过程,使得搭建和运行应用程序更加便捷。本项目提供的完整源码和数据库将帮助...
springboot整合security例子
12-13
SpringBootSecurity的整合是Java开发中常见的安全框架配置,尤其在构建Web应用程序时。Spring Security是一个强大且...它将为你提供一个基础模板,方便你在实际项目中快速搭建安全的Web应用,并专注于实现业务逻辑。
使用gradle的SpringBoot项目搭建的社区网站.zip
09-29
这涉及到用户认证和授权SpringBoot提供了Spring Security来实现这些功能。我们可以通过自定义过滤器和配置类来控制权限。 此外,社区网站通常需要前后端分离的设计,我们可以使用Thymeleaf或Mustache等模板引擎来...
授权过滤器—MVC中使用授权过滤器实现JWT权限认证
weixin_43163153的博客
08-07 373
一、什么是过滤器过滤器定义: ​ 过滤器与中间件很相似,过滤器(Filters)可在管道(pipeline)特定阶段(particular stage)前或后执行操作,可以将过滤器视为拦截器(interceptors)。在.NET MVC开发中,权限验证是非常重要的一部分。通过使用授权过滤器可以很方便地实现权限验证功能。这篇主要分享授权过滤器的使用。 二、过滤器的种类: ​ 过滤...
JWT+SpringSecurity登陆和授权功能
weixin_43515246的博客
06-14 409
Lombok是一个Java库,能自动插入编辑器并构建工具,简化Java开发。通过添加注解的方式,不需要为类编写getter或eques方法,同时可以自动化日志变量。@Setter 注解在类或字段,注解在类时为所有字段生成setter方法,注解在字段上时只为该字段生成setter方法。@Getter 使用方法同上,区别在于生成的是getter方法。@ToString 注解在类,添加toString方法。@EqualsAndHashCode 注解在类,生成hashCode和equals方法。
【深入浅出Spring Security(五)】自定义过滤器进行前后端登录认证
qq_63691275的博客
06-04 4071
自定义登录认证可以去继承 UsernamePasswordAuthenticationFilter 过滤器重写 attemptAuthentication 方法进行自定义,然后再在自定义的 SecurityConfig 配置类里面去将它配置到 Spring 容器中,注意实例化它后一定要给它内部属性 AuthenticationManager 进行初始化赋值,不然交给Spring容器管理的时候会报错;最后添加到过滤器链中。
springboot + spring security验证token进行用户认证
justlpf的专栏
05-19 7232
参考文章:springboot + spring security验证token进行用户认证
java SpringBoot登录验证token拦截器
前方的路在刚开始
07-05 7366
springBoot拦截器定义,以及token获取,单点登录设定,全局异常定义。
登录验证Jwt令牌,过滤器,拦截器
qx020814的博客
04-22 538
jwt令牌有三个部分,第一部分是令牌名,然后数据名,最后加密数据。前两个使用了64个字母代替加密,第三个用算法对前两个就行加密,只有jwt解密算法才能解。后端用一个拦截器,login放过,直接去验证登录,其他的路径就验证jwt令牌,没有或者不合法全部拦截下来,返回前端错误提示。登录成功后返回一个加密jwt,前端保存到本地,每次使用add,del,sel时,将数据放在请求头中传到后端。如果客户没登陆的情况下访问非login页面,就会强行跳转到登录页面。拦截器:(拦截器会有一个跨域问题,得设置一下)
SpringSecurity原理(四)——过滤器
trayvontang的博客
05-07 1147
概述 前面的文章中我们已经基本了解了怎样使用Spring Security的基本的认证(Authentication)和授权(Authority) 但是,我们还不清楚Spring Security到底是怎样执行这些流程。 这篇文章,我们就以SpringBoot为例,来梳理一下Spring Security从启动到执行这些流程的过程。 前置知识 我们知道Spring Security是通过Filter的方式来完成它的核心流程。但是: Spring Security到底拥有哪些Filter? 这些Filter
spring-boot登陆过滤功能
weixin_34025051的博客
12-20 654
先简单说一下我们工程的架构:前端工程是采用react,后端工程采用spring-cloud,里面分为zuul工程和其他功能模块。zuul工程除了提供后端的路由转发,还可以做全局的过滤器,所以我选择在这个工程里面写登陆校验功能。 session配置 这里使用redis存储session信息。下载依赖,在pom.xml里面加入 <dep...
SpringBoot快速整合SpringSecurity,新手都会的详细步骤
IT学习小镇
03-21 1642
Spring Security是一个基于Spring框架的安全性框架,提供了一组轻量级的API和工具,用于实现身份验证、授权、防止攻击等常见的安全性功能。它支持各种身份验证方式,例如基本身份验证、表单身份验证、OAuth2.0和OpenID Connect等。Spring Security还提供了许多可配置选项,允许开发人员根据应用程序的需求进行定制。Spring Security已经成为了Java企业级应用程序中使用最广泛的安全框架之一。
SpringBoot实战:集成Spring Security实现单点登录与JWT权限管理
2. 配置Spring Security:设置认证和授权规则,包括定义用户服务、密码编码器、登录处理器、访问决策管理器等。 3. 实现JWT相关服务:创建JWT生成和验证服务,确保Token的有效期管理和刷新逻辑。 4. 定义过滤器链...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值