SpringSecurity(一): Springboot 3.2.1 整合 SpringSecurity 完成认证

已于 2024-01-19 12:22:32 修改
阅读量1.2k 收藏 16
点赞数 12
文章标签: spring boot java 后端
于 2024-01-19 12:17:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhw74101/article/details/135694674
版权

SpringSecurity(一): Springboot 3.2.1 整合 SpringSecurity 完成认证

环境说明:
SpringBoot 3.2.1 、SpringSecurity 6.1.2

认证:校验用户输入的账号信息,通过后,为其颁发“业务token”和“安全token

业务token作用:传输用户编号,并根据编号换取“安全token

步骤

1.导包

<!--springsecurity核心包-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!--用签发业务token包-->
<dependency>
    <groupId>com.auth0</groupId>
    <artifactId>java-jwt</artifactId>
    <version>3.4.0</version>
</dependency>

<!--将java对象在对象和json格式之间转换-->
<dependency>
    <groupId>com.alibaba.fastjson2</groupId>
    <artifactId>fastjson2</artifactId>
    <version>2.0.39</version>
</dependency>

2.自定义扩展用户信息校验规则

目的:将springsecurity默认的登录逻辑迁移到自定义的逻辑上(访问数据库)

/*
实现 UserDetailsService 接口,自定义校验逻辑
@Component让spring知晓自定义的内容
*/
@Component
public class SecurityUserDetailServiceImpl implements UserDetailsService {
    @Autowired
    private ShopUserService shopUserService;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.根据用户名查询用户信息
        QueryWrapper<ShopUser> qw = new QueryWrapper<>();
        qw.eq("user_name",username);
        ShopUser shopUser = shopUserService.getOne(qw);

        //2.TODO 查询该用户的权限列表并整合对象

        return new SecurityUserDetailsImpl(shopUser);
    }
}

/*
	因为Security内部的loadUserByUsername方法需要的返回值必须是UserDetails类型,项目本身提供的用户类型不适用
	按照java多态标准,此类符合UserDetails规范,可以用来返回
*/
@Data
@AllArgsConstructor
@NoArgsConstructor
public class SecurityUserDetailsImpl implements UserDetails {

    private ShopUser shopUser;

    /*
    	获取校验用户的权限列表
    */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    /*
    	获取系统用户的密码信息,用于security后续的密码对比
    */
    @Override
    public String getPassword() {
        return shopUser.getPassword();
    }
 	/*
    	获取系统用户的用户名信息
    */
    @Override
    public String getUsername() {
        return shopUser.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

3.配置security框架

需要配置以下信息:

​ 1.密码解析器

​ 2.认证管理器(提供了用户信息校验逻辑)

​ 3.对security过滤器链定义

@Configuration  //标记此类为一个springboot的配置类
@EnableWebSecurity  //开启security基于web开发的安全机制
public class SecurityConfig {
    @Autowired
    private SecurityUserDetailServiceImpl securityUserDetailService;

    @Autowired
    private SecurityTokenFilter securityTokenFilter;
    /*
    密码加密器,
    	用户表中的用户密码等敏感信息都需要加密存储
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    //2.配置认证管理器,security框架默认不提供
    @Bean
    public AuthenticationManager authenticationManager(){
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
        //设置securityUserDetailService,告知security框架,按照指定的类进行身份校验
        daoAuthenticationProvider.setUserDetailsService(securityUserDetailService);
        ProviderManager pm = new ProviderManager(daoAuthenticationProvider);
        return pm;
    }

    //3.配置springsecurity的放行路径等信息
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{
        //对所有请求按照以下约定进行拦截和放行
        http.authorizeHttpRequests(
            		//requestMatchers 指定匹配路径
            		//permitAll 让security跳过之前通过requestMatchers匹配到的路径,
                auth -> auth.requestMatchers("/shopUser/login").permitAll()
            		//anyRequest 指定除requestMatchers匹配路径之外的其他路径
            		//authenticated 让anyRequest匹配到的所有路径都通过security校验
                        .anyRequest().authenticated()
        );

        //关闭 防止客户端的 csrf(跨站伪造) 攻击行为 的能力
        // 从security过滤器链中撤出 CsrfFilter 
        http.csrf(csrf -> csrf.disable());

        
        //将自定义的token认证过滤器加入到security-filterChian中,并指定其位置
        http.addFilterBefore(securityTokenFilter, UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }
}

4.开放自定义的登录接口

目的:不再使用springsecurity提供的默认登陆页面,完全自定义登录逻辑

@RestController
@RequestMapping("shopUser")
public class ShopUserController{
    @Resource
    private ShopUserService shopUserService;
    @Autowired
    private AuthenticationManager authenticationManager;
    @Autowired
    private JWTUtil jwtUtil;
    @Autowired
    private SecurityInfoService securityInfoService;
    
    
    /**
     * 因为 springsecurity 框架提供的登录页面不适用于当前项目(前后端分离)
     * @param loginPo
     * @return
     */
    @RequestMapping(path = "login",method = RequestMethod.POST)
    public BaseResult login(@RequestBody LoginPo loginPo){
        //1.调用security认证方法
        //1.1 封装 token 对象
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(loginPo.getUserName(),loginPo.getPassword());
        //1.2调用管理器的方法
        //通过认证的用户将会获得 Authentication ,其中存放用户信息
        Authentication authentication = authenticationManager.authenticate(token);
        //1.3判断结果
        // authentication 如果为null,则表示认证失败
        if(Objects.nonNull(authentication)){
            SecurityUserDetailsImpl securityUserDetails = (SecurityUserDetailsImpl)authentication.getPrincipal();
            //将security颁发的后端凭证存入数据库,此处因为暂时不涉及redis,所以json化后存入数据库
            ShopUser shopUser = securityUserDetails.getShopUser();
            securityInfoService.save(new SecurityInfo(shopUser.getId(), JSON.toJSONString(authentication)));
            //认证通过,办法业务token
            HashMap<String, String> serviceToken = jwtUtil.cerateToken(shopUser);
            return BaseResult.ok(serviceToken);
        }
        return BaseResult.error("认证失败");
    }
}

5.对其他请求的控制

思想:通过业务token中携带的用户id,换取安全token

@Component
public class SecurityTokenFilter extends OncePerRequestFilter {

    @Autowired
    private JWTUtil jwtUtil;

    @Autowired
    private SecurityInfoService securityInfoService;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader("token");
        Integer id = null;
        if(token != null && !token.equals("")){
            //校验token合法性
            try{
                //从 otken 中获取指定的 payload
                DecodedJWT decodedJWT = jwtUtil.getToken(token);
                Claim jwtClaim = decodedJWT.getClaim("id");
                id = jwtClaim.asInt();
            }catch (Exception e){
                System.out.println("token 非法!");
                return;
            }
            //去数据库查询当前用户认证时生成的token
            QueryWrapper<SecurityInfo> qw = new QueryWrapper();
            qw.eq(SecurityInfo.COL_UID,id);
            SecurityInfo securityInfo = securityInfoService.getOne(qw);
            String authenticationJson = securityInfo.getAuthenticationJson();
            //将存入数据库的安全token转会后端识别的对象
            Authentication authentication = JSONObject.parseObject(authenticationJson, Authentication.class);
            //将它放入security全局上下文
            SecurityContextHolder.getContext().setAuthentication(authentication);
            //放行,请求会进入下一个过滤器
            filterChain.doFilter(request,response);
        }else{
            filterChain.doFilter(request,response);
        }
    }
}
码老
关注
  • 12
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring security自定义认证登录的全过程记录
08-28
Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的业务需求。本文主要介绍了 Spring Security ...
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
SpringSecurity(二): Springboot 3.2.1 整合 SpringSecurity 完成授权
zhw74101的博客
01-19 587
Override//1.根据用户名查询用户信息//2.TODO 查询该用户的权限列表并整合对象//按照security需求,将本地的 role 置换成 GrantedAuthority//springsecurity需要的权限类型为:SimpleGrantedAuthority//每个角色需要提供 "ROLE_" 前缀,@Data//为了满足security权限校验,提供装在权限的集合并通过getAuthorities返回@Override。
spring security3.2配置---权限管理
u011511684的专栏
07-05 6944
spring securtiy配置、下载,security权限管理,javaweb权限管理
初探 Spring Boot Starter Security:构建更安全的Spring Boot应用
最新发布
fudaihb的博客
05-18 1231
Spring Boot 作为 Java 生态系统下的热门框架,以其简洁和易上手著称。而在构建 Web 应用程序时,安全性始终是开发者必须重视的一个方面。Spring Boot Starter Security 为开发者提供了一个简单但功能强大的安全框架,使得实现身份验证和授权变得相对容易。 本文将带你深入了解如何使用 Spring Boot Starter Security 来构建一个安全的 Spring Boot 应用,包括基本配置、常见用例以及一些技巧和最佳实践。
SpringBoot 3.2.1 + SpringSecurity 3.2.1 + JWT 实现登录鉴权
ICanForYou的博客
01-17 621
文档已验证, 非垃圾文, 欢迎各位大佬斧正.
SpringSpringSecurity基础原理与使用
weixin_42029283的博客
12-12 1960
SpringSecurity基础原理与使用。SpringSecurity默认自动实现过滤器链Bean,该对象负责所有安全性。学习SpringSecurityFilterChain过滤器链的基础流程,理解SpringSecuriy的基础原理。
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 8728
SpringSecurity整合基础
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2791
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
Spring Boot整合Spring Security
null
03-21 970
WebSecurityConfigurerAdapter 自定义Security策略AuthenticationManagerBuilder 自定义认证策略@EnableWebSecurity 开启WebSecurity模式@Override//密码加密//配置用户名、密码,该配置方式下,用户名和密码保存在内存中//密码加密方式这里我们就直接固定写死用户名和密码,实际生产中可以从数据库中获取@Service@Override//设置角色,角色的概念后续介绍。
SpringSecurity 3.0.1.RELEASE.CHM
03-21
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config -...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 中存在的一些问题进 行修 正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行了修正,建议开发 者以这一版本的文档为参考。 ...
struts2.3.8+spring3.2.1+hibernate4.2.0整合环境(纯净版)
03-08
总的来说,"Struts2.3.8+Spring3.2.1+Hibernate4.2.0整合环境(纯净版)"是一个为开发者提供的基础开发平台,它整合Java Web开发中的三个关键框架,帮助开发者快速构建功能丰富的应用。这个环境简化了配置过程,...
SpringBoot3+SpringSecurity整合
qq_40107343的博客
02-09 889
【代码】SpringBoot3+SpringSecurity整合
Spring boot整合Security
weixin_44603464的博客
02-23 1021
Spring Securityspring项目之中的一个安全模块WebSecurityConfigurerAdapter: 自定义Security策略AuthenticationManagerBuilder: 自定义认证策略@EnableWebSecurity: 开启WebSecurity模式Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)
SpringSecurity
m0_74246237的博客
02-01 2047
spring security学习
SpringBoot集成 SpringSecurity安全框架
qq15035899256的博客
03-19 1911
本文是对SpringSecurity的学习,学习了它的两大功能:认证和授权,以及如何使用数据库进行认证,如何使用自定义的登录页面,最后也学习了使用SecurityContext获取认证用户的信息。之后的学习内容将持续更新!!!
SpringBoot整合Security
qq_42292373的博客
11-29 490
文章目录1.基本实现效果的预览2.代码资源3.给用户分配权限4.改写403等其他页面5. 如何知道用户登录失败和成功 1.基本实现效果的预览 2.代码资源 下面代码写的都是核心基本配置,类似页面跳转的controller,还有页面,这里没有书写,详情可以参考,代码地址 链接:https://pan.baidu.com/s/1aCLfh8IXkJuF55YWs-gmbQ 提取码:xyhp 3....
springboot 3.2.1 maven package 报错:无效的标记: --release
01-20
根据提供的引用内容,你可以尝试以下解决方案来解决"无效的标记: --release"错误: 1. 确保你使用的Java版本支持--release标记。--release标记是在Java 9及以上版本中引入的,用于指定编译生成的类文件的目标版本。如果你使用的是Java 8或更低版本,那么--release标记是不可用的。你可以通过运行`java -version`命令来检查你的Java版本。 2. 如果你的Java版本支持--release标记,那么可能是因为你使用的Maven版本不兼容。请确保你正在使用的Maven版本支持--release标记。你可以通过运行`mvn --version`命令来检查你的Maven版本。 3. 如果你的Java和Maven版本都支持--release标记,那么可能是因为你的Maven项目配置中存在错误。请检查你的pom.xml文件,确保你正确地配置了maven-compiler-plugin插件。你可以尝试在pom.xml文件中添加以下配置: ```xml <build> <plugins> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>3.8.1</version> <configuration> <release>11</release> <!-- 根据你的Java版本选择合适的release版本 --> </configuration> </plugin> </plugins> </build> ``` 请注意,上述配置中的release版本号应根据你的Java版本进行相应调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值