Spring Security实现代码自动登录(一)

最新推荐文章于 2024-04-12 02:31:14 发布
最新推荐文章于 2024-04-12 02:31:14 发布
阅读量704 收藏 4
点赞数
文章标签: activiti spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhicong1652/article/details/104477584
版权 
由于最近项目需要使用activiti工作流,activiti7中使用SpringSecurity安全框架。但是项目的业务场景是不涉及登录,登录在统一权限系统中。
任务要求是用户访问系统发送请求时带了token,不需要将页面跳转到登录页面进行登录,直接通过请求时的用户信息进行登录Spring Security验证用户信息。
网上大部分资料都是spring security配置资料中都涉及登录页面的的登录,基本上没有这块资料。中间发现很多坑,自己在此记录一下。
自己的项目框架如下:
1.springboot 2.2.1.RELEASE
2.activiti 7.1.0.M1
3.数据库mysql

参考自己之前地址:项目配置链接
一、创建拦截
创建SessionInterceptorConfig和MyInterceptor 两个类
SessionInterceptorConfig代码如下:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class SessionInterceptorConfig implements WebMvcConfigurer {

    @Autowired
    private MyInterceptor sessionInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 配置会话拦截器,不拦截应用登录入口和应用注销入口
        registry.addInterceptor(sessionInterceptor).addPathPatterns("/**")
				.order(Ordered.HIGHEST_PRECEDENCE);
    }
}

MyInterceptor 代码如下

@Component
public class MyInterceptor implements HandlerInterceptor {
	 @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object apiResponsehandler)
            throws Exception {
        		//截取请求header中token,解析用户信息业务代码不做粘贴
                //以下做springSecurity
                //通过token 兑换用户信息 将用户名和密码生成可用的AuthenticationToken 
                //这是SpringSecurity的
                UsernamePasswordAuthenticationToken springSecurityAuthToken = new UsernamePasswordAuthenticationToken(user.getUserLoginName(), user.getUserLoginName());
                //确保request 中有sessionId
                String sessionId = request.getSession().getId();
                logger.info("sessionId=="+sessionId);
                //设置AuthenticationToken 的userDetails主要获取请求中一些参数信息
                //注意该方法request中必须有session信息否则会报错
                springSecurityAuthToken.setDetails(new WebAuthenticationDetails(request));
                //用户信息Token完成SpringSecurity认证获得认证对象
                Authentication authenticatedUser = authenticationManager.authenticate(springSecurityAuthToken);
                //将用户存放到安全框架SecurityContext中
                SecurityContextHolder.getContext().setAuthentication(authenticatedUser);
                //SecurityContext context = SecurityContextHolder.getContext();
                request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());
                Object attribute = request.getAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY);            
                return true;
            } catch (Exception e) {
                e.printStackTrace();  
            }
        }
        return false;
    }
}

只配置这些启动还是有问题,会出现401
二、自定义 Spring Boot Web 安全配置类
创建SecurityConfig类
代码如下:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                .anyRequest().permitAll().and().logout().permitAll()//配置不需要登录验证
                .and().headers().frameOptions().sameOrigin()// 解决  frame because it set 'X-Frame-Options' to 'deny'
                .and().cors() //允许跨域
                .and().csrf().disable() //关闭跨站请求伪造
        ;
    }
    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        AuthenticationManager manager = super.authenticationManagerBean();
        return manager;
    }

    @Bean
    @Override
    protected UserDetailsService userDetailsService(){
        //采用一个自定义的实现UserDetailsService接口的类
        return new MyUserDetailServiceImpl();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth)
            throws Exception {
        auth.authenticationProvider(authenticationProvider());
    }

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider
                = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(userDetailsService());
        authProvider.setPasswordEncoder(encoder());
        return authProvider;
    }
	
	//默认是BCryptPasswordEncoder 加密 但是业务已经不需要再做密码要求,必须采用统一权限系统解密方式不现实,改为NoOpPasswordEncoder 否则报密码方式问题
    @Bean
    public PasswordEncoder encoder() {
        return NoOpPasswordEncoder.getInstance();
    }
}

创建UserDetailsService实现类 (必须)
代码如下:

/**
 *
 * 自定义实现SpringSecurity 中的UserDetailsService接口
 * @author jiaoda
 * @version 1.0
 */
@Service
public class MyUserDetailServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //这里通过用户名查询用户信息
        System.out.println("s==="+s);
       //自己实现代码
        return new MyUserPrincipal(contextUser);
    }
}

创建MyUserPrincipal实现类
代码如下:

/**
 *
 * 自定义实现SpringSecurity 中的UserDetails接口
 * @author jiaozhicong
 * @version 1.0
 */

public class MyUserPrincipal implements UserDetails {

    public ContextUser user;

    public MyUserPrincipal(ContextUser user) {
        this.user = user;
    }


    public ContextUser getUser() {
        return user;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getUserLoginName();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }
	//默认false
	/*
	*必须改为true 否则用户无效
	*/
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    /*
	*必须改为true 否则用户无效
	*/
	//默认false
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    /*
	*必须改为true 否则用户无效
	*/
	//默认false
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    /*
	*必须改为true 否则用户无效
	*/
	//默认false
    @Override
    public boolean isEnabled() {
        return true;
    }
}

到此为止,在启动项目测试不会出现问题。

侯大
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全网最详解Spring Security登录原理(带你看源代码
OuKman的博客
02-15 6869
根据上图所示配置了所有的请求都需要身份认证,那么,此拦截器就会检测当前请求是否经过了绿色过滤器的认证,即检查标记,实际上,这一段配置可以写的非常复杂,比如可以配置某类请求只有VIP用户才允许访问等,这些配置都会被拦截器读取,拦截器会根据这些配置做判断。如果判断通过,那么访问到具体API,如果不过,根据不过的原因,会抛出不同的异常。 比如在当前配置中,配置了所有请求都需要身份认证,那么,如果当前请求没有认证,拦截器就会抛出一个用户没有经过身份认证异常。如果配置文件中配置了当前请求只有VIP用户才能访问,而..
系统登录操作的实现以及Spring Security的使用
Liamcsl的博客
02-27 473
登录操作的实现以及Spring Security的使用 一定要重点注意并且理解代码以及配置文件里的注释!!! 数据库与表结构的创建 关系如下 Spring Security概述 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 (https://projects.spring.io/spring-security/) Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决
Spring Security详细介绍及使用含完整代码(值得珍藏)(1)
最新发布
2401_83739284的博客
04-12 538
代码Spring Security详细介绍及使用含完整代码(值得珍藏)(1)
Spring Security OAuth2 单点登录和登出
热门推荐
shpunishment的博客
05-03 1万+
文章目录1. 单点登录1.1 使用内存保存客户端和用户信息1.1.1 认证中心 auth-server1.1.2 子系统 service-11.1.3 测试1.2 单点登录流程1.2.1 请求授权码,判断未登录,返回登录页1.2.2 登录成功,继续请求授权码,未被资源所有者批准,返回批准页面1.2.3 资源所有者批准,重定向返回授权码1.2.4 客户端获取到授权码,请求Token1.2.5 获取到...
Spring Security自动登录
​​
05-27 575
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应的支持,本文我们就来看下 Spring Security 中如何实现这个功能。 实战代码 首先,要实现记住我这个
Spring Security 登录流程
CHENFU_ZKK的博客
09-26 1615
Spring Security 登录流程
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
主要介绍了Spring Security 自动踢掉前一个登录用户的实现代码,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
spring security实现下次自动登录功能过程解析
08-25
主要介绍了spring security实现记住我下次自动登录功能,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring security实现记住我下次自动登录功能过程详解
08-24
主要介绍了Spring security实现记住我下次自动登录功能过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security学习之rememberMe自动登录实现
08-18
主要给大家介绍了关于Spring Security学习之rememberMe自动登录的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
SpringSecurity Jwt Token 自动刷新的实现
08-19
主要介绍了SpringSecurity Jwt Token 自动刷新的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringSecurity登录流程详解
weixin_43132031的博客
08-04 4812
本文重点解析了SpringSecurity登录过程中的详细流程,以及整体总结
Druid 数据源连接池配置
roydon
11-20 7681
Spring Boot 的配置文件中对 Druid 数据源连接池进行配置 # Druid连接池的配置 spring: datasource: druid: initial-size: 5 #初始化连接大小 min-idle: 5 #最小连接池数量 max-active: 20 #最大连接池数量 max-wait: 60000 #获取连接时最大等待时间,单位毫秒 time-between-eviction-runs-millis: 6
SpringSecurity短信验证码登录
Curtisjia的博客
10-31 2961
短信验证码登录 时下另一种非常常见的网站登录方式为手机短信验证码登录,但Spring Security默认只提供了账号密码的登录认证逻辑,所以要实现手机短信验证码登录认证功能,我们需要模仿Spring Security账号密码登录逻辑代码实现一套自己的认证逻辑。 短信验证码生成 我们先定义一个短信验证码对象SmsCode : public class SmsCode { private String code; private LocalDateTime expireTime;
SpringSecurity实现自动登录
Kk_Chosen1的博客
08-21 719
在日常的上网中,各种网站需要登陆之后才能使用,而频繁的输入用户名和密码也是够令人烦恼的。那么自动登录就解决了这一痛点,就比如登录qq邮箱时就有这一选项。今天正好学到使用spring security可以实现这一功能,因此前来记录一下。简而言之,当用户在第一次登陆之后spring security会生成一个加密的字符串存放在cookie中,同时在数据库中也会存放加密字符串和用户的信息加密字符串。等下一次访问时就会比较cookie与数据库之间的数据,如果一致那么就能免去登录了。
ruoyi-vue第一章 : 学习后台登录模块(SpringSecurity)
过道
01-29 1万+
ruoyi-vue登录模块学习笔记
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
weixin_47083537的博客
04-28 821
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
【已解决】Spring Security 后台直接登录
qq_36154108的博客
06-11 1716
问题: 在 Spring Security 中,无需通过前台 login 页面输入用户名和密码,在后台直接实现登录,获取对应权限。 解决方法 @Autowired protected AuthenticationManager authenticationManager; private void login (HttpServletRequest request, String username, String password) { // 将用户名,密码生成认证可用的Authentic

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值