Spring Security的前后端分离配置

最新推荐文章于 2024-06-03 10:33:57 发布
最新推荐文章于 2024-06-03 10:33:57 发布
阅读量369 收藏 1
点赞数 1
文章标签: java github spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zbIwke/article/details/131575507
版权

Spring Security的前后端分离配置

博客文章地址

http://www.zhangb.top/detail?id=44&title=Spring%20Security%E7%9A%84%E5%89%8D%E5%90%8E%E7%AB%AF%E5%88%86%E7%A6%BB%E9%85%8D%E7%BD%AE

github项目地址

https://github.com/zhangb-top/SpringSecurity-Discrete

1、前期准备

本次项目采用Mysql + Mybatis Plus + Spring Boot + Spring Security进行开发

  1. 创建数据库表格

    CREATE TABLE tb_user(
	id INT PRIMARY KEY AUTO_INCREMENT,
	username VARCHAR(60) NOT NULL,
	password VARCHAR(255) NOT NULL,
	-- 默认用户角色
	role VARCHAR(20) NOT NULL DEFAULT 'ROLE_user',
	-- 默认只有观看权限
	permissions VARCHAR(20) NOT NULL DEFAULT 'watch'
);

  2. 引入依赖

    <dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>com.mysql</groupId>
        <artifactId>mysql-connector-j</artifactId>
        <scope>runtime</scope>
    </dependency>

    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
        <optional>true</optional>
    </dependency>

    <dependency>
        <groupId>com.baomidou</groupId>
        <artifactId>mybatis-plus-boot-starter</artifactId>
        <version>3.5.3.1</version>
    </dependency>
</dependencies>

  3. 配置数据库信息

    spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql:///db1?useSSL=false&serverTimezone=GMT%2B8
    username: root
    password: 666666

mybatis-plus:
  global-config:
    db-config:
      # 由于我的数据库表格以tb_开头,如果没有表前缀则可以忽略
      table-prefix: tb_
      id-type: auto

  4. 建立实体类User

    @Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    // id
    private Integer id;
    // 用户名
    private String username;
    // 密码
    private String password;
    // 角色
    private String role;
    // 权限
    private String permissions;
}

  5. 配置Mybatis Plus的dao层和server层

    @Mapper
public interface UserDao extends BaseMapper<User> {
}

    public interface UserService extends IService<User> {
}

    @Service
public class UserServiceImpl extends ServiceImpl<UserDao, User> implements UserService,
        UserDetailsService {

    @Autowired
    private UserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 后面完善
    }
}

  6. 设置统一格式的返回值

    @Data
@AllArgsConstructor
public class Result {
    private Integer code;
    private String message;
    private Map<String, Object> data = new HashMap<>();

    public Result(Integer code, String message) {
        this.code = code;
        this.message = message;
    }
}

    public final class Code {
    public static Integer CODE_SUCCESS = 200;
    public static Integer CODE_FAIL = 500;
    public static Integer CODE_NOTFOUND = 403;
    // 可以继续自定义添加......

    private Code() {
    }
}

2、配置登录与注册

  1. 完善UserServiceImpl类中的loadUserByUsername方法,在里面查询数据库

    @Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    QueryWrapper<User> wrapper = new QueryWrapper<>();
    wrapper.eq("username", username);
    User user = userDao.selectOne(wrapper);
    if (user == null) throw new UsernameNotFoundException("用户不存在");

    // 获取用户身份和权限
    List<GrantedAuthority> grantedAuthorities =
        AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRole() + "," + user.getPermissions());
    return new org.springframework.security.core.userdetails.User(username,
                                                                  user.getPassword(), grantedAuthorities);
}

  2. MyAuthenticationEntryPoint:实现AuthenticationEntryPoint接口,自定义未登录的逻辑,这样就可以不必进入默认的登陆页面,直接返回JSON数据即可

    /**
 * 自定义未登录逻辑
 */
@Component
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) 
        throws IOException, ServletException {
        Result data = new Result(Code.CODE_FAIL, "未登录");

        // 设置返回消息类型
        response.setHeader("Content-type", "text/html;charset=UTF-8");
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json;charset=UTF-8");

        // 返回给前端
        response.getWriter().write(new ObjectMapper().writeValueAsString(data));
    }
}

  3. MyAuthenticationProvider:实现AuthenticationProvider接口,重新自定义校验逻辑

    /**
 * 自定义校验逻辑
 */
@Component
public class MyAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private UserServiceImpl userService;

    @Override
    public Authentication authenticate(Authentication authentication) 
        throws AuthenticationException {
        // 获取用户名
        String username = authentication.getName();
        // 获取密码
        String password = (String) authentication.getCredentials();
        UserDetails userDetails = userService.loadUserByUsername(username);

        // todo:对前端密码进行解密,保存在password中
		
        // 这里为什么不采用注入的BCryptPasswordEncoder对象?
        // 如果使用注入的BCryptPasswordEncoder对象,并且该对象配置在SercurityConfig类中,会产生循环依赖
        boolean flag = new BCryptPasswordEncoder().matches(password, userDetails.getPassword());
        if (!flag) throw new BadCredentialsException("密码错误");

        return new 
            UsernamePasswordAuthenticationToken(username, password, userDetails.getAuthorities());
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return true;
    }
}

  4. MyAuthenticationSuccessHandler:实现AuthenticationSuccessHandler接口,自定义登录成功的逻辑

    /**
 * 自定义登录成功逻辑
 */
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                                        Authentication authentication) throws IOException,
            ServletException {
        // todo:登录成功,返回token

        Result data = new Result(Code.CODE_SUCCESS, "登陆成功");

        // 设置返回消息类型
        response.setHeader("Content-type", "text/html;charset=UTF-8");
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json;charset=UTF-8");

        // 返回给前端
        response.getWriter().write(new ObjectMapper().writeValueAsString(data));
    }
}

  5. MyAuthenticationFailureHandler:实现AuthenticationFailureHandler接口,自定义登录失败的逻辑

    /**
 * 自定义登录失败的逻辑
 */
@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                        AuthenticationException exception) throws IOException,
            ServletException {
        // 设置返回消息
        Result data = new Result(Code.CODE_FAIL, exception.getMessage());

        // 设置返回消息类型
        response.setHeader("Content-type", "text/html;charset=UTF-8");
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json;charset=UTF-8");

        // 返回给前端
        response.getWriter().write(new ObjectMapper().writeValueAsString(data));
    }
}

  6. SecurityConfig:Spring Security的配置类,继承WebSecurityConfigurerAdapter

    @Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    // 自定义未登录逻辑
    @Autowired
    private MyAuthenticationEntryPoint entryPoint;

    // 自定义用户登录逻辑
    @Autowired
    private MyAuthenticationProvider authenticationProvider;

    // 自定义登录成功逻辑
    @Autowired
    private MyAuthenticationSuccessHandler successHandler;

    // 自定义登录失败逻辑
    @Autowired
    private MyAuthenticationFailureHandler failureHandler;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 配置自定义的用户登录逻辑
        auth.authenticationProvider(authenticationProvider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 开启跨域 关闭csrf保护(与rest风格冲突)
        http.cors().and().csrf().disable();

        http.authorizeRequests()
                // 登录和注册接口不需要认证
                .antMatchers("/users/login", "/users/register").permitAll()
                // 除了上面的其他的都需要认证
                .anyRequest().authenticated()

                .and()
                .formLogin()
            	// 这里的接口无需在UserController类中编写,Spring Security已经配置完成,只需要起一个名字
                .loginProcessingUrl("/users/login")
                // 自定义登录成功逻辑
                .successHandler(successHandler)
            	// 自定义登录失败逻辑
                .failureHandler(failureHandler)

                .and()
                .exceptionHandling()
                // 自定义未登录
                .authenticationEntryPoint(entryPoint);
    }

    /**
     * 配置加密算法
     *
     * @return BCryptPasswordEncoder
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

  7. 注册接口

    @RequestMapping("/users")
@RestController
public class UserController {

    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    @Autowired
    private UserServiceImpl userService;

    @PostMapping("/register")
    @ResponseBody
    public Result register(@RequestBody User user) {
        // 判断用户名是否重复
        QueryWrapper<User> wrapper = new QueryWrapper<>();
        wrapper.eq("username", user.getUsername());
        User selectUser = userService.getOne(wrapper);
        if (selectUser != null) return new Result(Code.CODE_FAIL, "用户名被占用");

        // 密码加密
        user.setPassword(passwordEncoder.encode(user.getPassword()));
        boolean flag = userService.save(user);
        Integer code = flag ? Code.CODE_SUCCESS : Code.CODE_FAIL;
        String message = flag ? "注册成功" : "注册失败";
        return new Result(code, message);
    }
}

  8. postman进行测试

    • 注册成功
      register
      user_table_1

    • 注册失败
      register_error

    • 登录成功
      login

    • 用户名错误
      username_error

    • 密码错误
      password_error

3、配置无权访问

  1. MyAccessDeniedHandler:实现Spring Security中的AccessDeniedHandler接口,自定义无权访问逻辑

    /**
 * 自定义无权访问
 */
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException,
            ServletException {
        Result data = new Result(Code.CODE_NOTFOUND, "无权访问");

        // 设置返回消息类型
        response.setHeader("Content-type", "text/html;charset=UTF-8");
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json;charset=UTF-8");

        // 返回给前端
        response.getWriter().write(new ObjectMapper().writeValueAsString(data));
    }
}

  2. 在Security配置类中注入MyAccessDeniedHandler对象,同时在configure(HttpSecurity http)方法中,添加异常处理(exceptionHadnling)中的无权访问处理(accessDeniedHandler)

    @Autowired
private MyAccessDeniedHandler accessDeniedHandler;

@Override
protected void configure(HttpSecurity http) throws Exception {
    
    // 省略......
    
    http.exceptionHandling()
        // 设置无权访问处理
        .accessDeniedHandler(accessDeniedHandler);
}

  3. SpringBoot启动类上配置@EnableGlobalMethodSecurity(prePostEnabled = true)

    @SpringBootApplication
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

}

  4. 测试接口

    @RequestMapping("/users")
@RestController
public class UserController {
    @GetMapping("/test")
    // 只有管理员才可以访问
    @PreAuthorize("hasRole('admin')")
    @ResponseBody
    public Result test() {
        return new Result(Code.CODE_SUCCESS, "test");
    }
}

  5. postman测试
    nofound

4、开启csrf保护(REST风格不可开启)

什么是csrf

CSRF(Cross-Site Request Forgery),中文翻译为跨站请求伪造,是一种常见的网络安全攻击方式。它利用了Web应用程序中的漏洞,通过伪装合法用户的请求,使用户在不知情的情况下执行了恶意操作。

攻击者通常会构造一个包含恶意代码的请求,然后诱使受害者在另一个网站上点击了一个看似无害的链接。当受害者登录到目标网站时,他们的浏览器会自动发送之前构造的恶意请求到用户浏览器打开并且认证过的其他网站,而受害者并不知情。由于目标网站无法区分合法请求和攻击者构造的请求,所以它会处理该请求并执行对应的操作,导致攻击成功。

开启csrf保护,Spring Security会针对patch、put、post、delete请求进行保护

@Override
protected void configure(HttpSecurity http) throws Exception {
	// 开启前后端分离式的csrf保护
    http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
}

test

zb-top
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 3346
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
springSecurity实现前后端分离的认证授权管理
qq_50518856的博客
12-09 1159
通过SpringSecurity框架进行前后端分离开发的后端认证授权功能,完整的SpringSecurity配置,进行参考。
SpringBoot-06-Security(前后端分离)
最新发布
m0_74353020的博客
06-03 1571
当然我们每次都会先走一下我们的自己定义的过滤器,我们当时写的是如果都身份令牌没有问题,并且能在redis中查询到,就存放到Security上下文当中,但是我们只是存放了用户名密码,并没有存放身份,这里我们存放一下我们的身份信息//我们的token是存放在请求头中的if(!StringUtils.hasText(token)){//请求头没有就放行return;//解析tokentry{throw new RuntimeException("token非法");//从redis中获取。
SpringSecurity前后端分离
热门推荐
X_lsod的博客
02-13 2万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
SpringSecurity实现前后端分离认证授权
startqbb的博客
04-15 1457
SpringBoot整合SpringSecurity实现前后端分离认证授权
CI/CD:如何使用 GitLab 执行 SpringBoot 前后端分离项目的持续集成与持续交付(持续部署)?
qq_44992559的博客
06-01 1500
GitLab Runner 是开源的且用 Go 编写,它可以作为单个二进制文件运行且没有特定于编程语言的要求。
springbootspringsecurity前后端分离(一个小demo)
08-21
总的来说,这个小demo展示了如何在Spring BootSpring Security的环境中实现前后端分离的安全控制,其中后端负责验证用户身份和授权,前端则根据后端的反馈来决定用户界面的行为。这样的设计模式在现代Web开发中...
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
《Vue Spring Boot前后端分离开发实战》源码Vue+Spring Boot前后端分离开发实战教学课件(PPT)
08-09
在现代Web应用开发中,Vue.js和Spring Boot的结合已经成为了一种常见的前后端分离架构模式。这本《Vue Spring Boot前后端分离开发实战》的源码提供了深入学习和实践这一技术栈的机会。以下是对其中涉及知识点的详细...
SpringBoot+SpringSecurity+Mybatis+Vue前后端分离的宿舍管理系统源码.zip
05-18
SpringBoot+SpringSecurity+Mybatis+Vue前后端分离的宿舍管理系统 启动后端 导入sql文件 使用ide导入项目dorm-admin-server 更新maven 修改application.yml 运行DormAdminServerApplication.java 启动前端 导入项目...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
08-28
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法 SpringBoot+Vue前后端分离项目中,如何使用SpringSecurity来处理权限问题是许多开发者面临的挑战。本文将从整体架构、数据库设计、权限...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
Springboot +spring security前后端分离时的security处理方案(一)
weixin_40991408的博客
05-31 940
Springboot +spring security前后端分离时的security处理方案(一)
前后端分离项目SpringBoot+SpringSecurity 图片验证码登录功能的实现(详细)
qq_62923382的博客
01-28 4700
前后端分离项目基础登录流程前后端分离项目中无法使用session,所以使用jwt生成token令牌作为客户端进行请求的一个标识,当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。springsecurity + 基础不带验证码登录功能的实现。
spring security前后端分离,设置rememberMe后通过cookie自动登录(二)
Meditation_Crazy
10-08 1404
前言 使用前后端分离,前面已经实现了登录时把remember-me存到数据库,同时返回到前端。 但是测试关闭浏览器,再次直接调接口,发现提示未登录。 在调试的过程中看到有这个方法: 然后在它里面加断点,再次测试,发现携带cookie自动登录的过程中,会跑它里面的方法。所以算是找对对方了。 接下来就是查找为什么没有成功。 调试 在测试过程中,发现登录时候,也会跑这个方法:this.processAutoLoginCookie(cookieTokens, request, response)。但是在登录和自动
Spring Security 6 配置方法,废弃 WebSecurityConfigurerAdapter
markvivv随笔
03-26 1万+
Spring Security 5.7.0-M2中,Spring就废弃了WebSecurityConfigurerAdapter,因为Spring官方鼓励用户转向基于组件的安全配置。本文整理了一下新的配置方法。在下面的例子中,我们使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法来定义我们的授权规则,从而遵循最佳实践。
(十三)springboot实战——springboot前后端分离方式项目集成spring securtity安全框架
厉害哥哥的博客
02-06 1946
Spring Security 是一款强大且高度可定制的认证和访问控制框架,它是为了保护基于Spring的应用程序提供安全性支持。Spring Security 提供了全面的安全服务,主要针对企业级应用程序的需求。其核心组件主要包含:Authentication(认证)、Authorization(授权)、Principal(主体)、Granted Authority(授予的权限)、Security Context(安全上下文),可提供方法级别的权限认证。其底层主要通过Filter拦截器实现,关于其实现原理
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
weixin_42907150的博客
01-16 739
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种.
最新Springboot3.1.1+SpringSecurity6.1.1+JWT+Vue/React前后端分离项目
facebook47的博客
07-10 719
ems-admin(easy manage system)是一套极简的后台管理系统, 基于SpringBoot3.1.1、SpringSecurity6.1.1、Mybatis-plus3.5.3.1、Mysql8.0、 JWT、Vue2.6/Rea、element-ui进行开发, 只提供最基础的登录、权限管理功能与日志功能,所有的业务功能, 都可以根据自己的需求在此之上构建。本项目虽然采用了前后端分离的设计,但整个项目是放在一起的,项目里面的web目录存放前端代码。权限管理的细粒度到了按钮级别(前端控制)
springsecurity 前后端分离
08-23
对于使用Spring Security实现前后端分离的方案,可以采用以下步骤: 1. 后端配置: - 在Spring Boot项目中,引入Spring Security相关的依赖。 - 创建一个继承自`WebSecurityConfigurerAdapter`的配置类,用于配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值