spring Security 使用

原创 已于 2023-04-17 16:24:59 修改 · 355 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #spring boot

于 2023-04-17 16:18:37 首次发布
该文章详细介绍了如何在SpringBoot应用中集成SpringSecurity进行安全配置,包括禁用CSRF、开启跨域支持、无状态会话以及配置URL权限。同时,文章展示了自定义登录验证实现UserDetailsService,以及使用JWT生成和验证令牌的过程。此外,还提到了权限不足和认证失败的处理策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 ,引入依赖

       <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2 ,配置  Security   

extends WebSecurityConfigurerAdapter 重写 configure(HttpSecurity http)方法

配置http

        http.csrf().disable();
        //开启跨域
        http.cors();
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        http.authorizeRequests()
                .antMatchers(URL_).permitAll()//放行 URL_中路径(URL_中的路径无需认证就可访问)
                .anyRequest().authenticated();

 3自定义登录user password 用户名 密码

实现 implements UserDetailsService 重写里面方法就一个
 // 此类上记得注入到spring容器中 @Service


@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
 //根据username在数据库里查询用户 返回 自定义类 ,其中自定义类实现 UserDetails
//sysUser 为数据库中的user的信息
//list 为用户所拥有的权限信息

 return new LoginUser(sysUser,list);

}
package com.tianxuan.springscecurity.config.security;

import com.fasterxml.jackson.annotation.JsonIgnoreProperties;
import com.tianxuan.springscecurity.entity.SysUser;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.EqualsAndHashCode;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.io.Serializable;
import java.util.Collection;
import java.util.List;
import java.util.stream.Collectors;

/**
 * Created with IntelliJ IDEA.
 * Description:
 * User: WY
 * Date: 2023-04-12
 * Time: 13:03
 */
@Data
@NoArgsConstructor
@AllArgsConstructor
@EqualsAndHashCode
@JsonIgnoreProperties({"enabled","accountNonExpired","username","password"
        , "accountNonLocked", "credentialsNonExpired","authorities"})
public class LoginUser implements UserDetails , Serializable {
    private static final long serialVersionUID = 1L;

    private SysUser sysUser;
    private List<String> rode;


    /**
     *  用户所拥有的权限
     * @return
     */


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> collect = rode.stream()

                .distinct()
                .map(SimpleGrantedAuthority::new).collect(Collectors.toList());

        return collect;
    }

    @Override
    public String getPassword() {
     // 前面传来的密码
        return sysUser.getPassword();
    }

    @Override
    public String getUsername() {
        //前面传来的账户
        return sysUser.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

      配置类中记得注入

/**
 * 密码加密
 * @return
 */
@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

JWT 

package com.tianxuan.springscecurity.config.security;

import cn.hutool.core.util.StrUtil;
import com.tianxuan.springscecurity.utils.JwtUtils;
import io.jsonwebtoken.Claims;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.annotation.Resource;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * Created with IntelliJ IDEA.
 * Description:
 * User: WY
 * Date: 2023-04-12
 * Time: 13:48
 */
@Configuration
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    @Resource
    private RedisTemplate redisTemplate;
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        String token = request.getHeader("token");
        if (StrUtil.isBlank(token)){
            filterChain.doFilter(request,response);
            return;
        }
        // 2、对token进行解析,取出其中的userId
        String userId = null ;
        try {
            Claims claims = JwtUtils.parseJWT(token);
            userId = claims.getId();
        }catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法") ;
        }

        // 3、使用userId从redis中查询对应的LoginUser对象
        LoginUser loginUser = (LoginUser) redisTemplate.opsForValue().get("login:" + userId);

//        SysUser loginUser = JSON.parseObject(String.valueOf(loginUserJson.getSysUser()), SysUser.class);
        if(loginUser != null) {
            // 4、然后将查询到的LoginUser对象的相关信息封装到UsernamePasswordAuthenticationToken对象中,然后将该对象存储到Security的上下文对象中
            UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null , loginUser.getAuthorities()) ;
            SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        }

        // 5、放行
        filterChain.doFilter(request,response);


    }
}

 把jwt放到 UsernamePasswordAuthenticationFilter.class之前(JwtAuthenticationFilter 注入到配置类中)

 http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

实现  implements AccessDeniedHandler  权限信息  全选不足会被拦截到这

@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException)  {

        System.out.println("权限不足》》");
        System.out.print(accessDeniedException.getMessage());
    }

}
实现 implements AuthenticationEntryPoint(认证信息)同上

@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {

        response.setContentType("application/json;charset=UTF-8");

        ServletOutputStream outputStream = response.getOutputStream();
        HashMap<String, Object> map = new HashMap<>();
        map.put("getMessage",authException.getMessage());
        map.put("getLocalizedMessage",authException.getLocalizedMessage());

        outputStream.write(JSON.toJSONBytes(R.fail(map.toString())));
        System.out.println();

        outputStream.write(JSON.toJSONBytes("--------------------"));
        System.out.println();

        outputStream.write(JSON.toJSONBytes(R.fail("用户名密码错误")));
        outputStream.flush();
        outputStream.close();
        System.out.println("认证失败请重新登录》》"+authException.getMessage());
    }

}

配置类中设置 
        //把前面的两个认证全选注入进来
       http
            .exceptionHandling()
            .accessDeniedHandler(accessDeniedHandler)
            .authenticationEntryPoint(authenticationEntryPointImpl);

登录退出

   // 配置类中注入
    /**
       @Bean
       @Override
       public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
        } 
    */


   @Resource
    private AuthenticationManager authenticationManager;

    @PostMapping("/login")
    public R login(SysUser sysUser) {
//  自动找到 UserDetailsService实现的类 判断用户名和密码

        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken
                = new UsernamePasswordAuthenticationToken(sysUser.getUsername(), sysUser.getPassword());
        Authentication authenticate = authenticationManager.authenticate(usernamePasswordAuthenticationToken);

        LoginUser principal = (LoginUser) authenticate.getPrincipal();
        
        String token = JwtUtils.createJWT(principal.getSysUser().getId().toString(), "999", 60 * 60 * 1000 * 24);

        principal.getSysUser().setToken(token);
        String s = JSON.toJSONStringWithDateFormat(principal.getSysUser(), "yyyy-MM-dd", SerializerFeature.WriteDateUseDateFormat);


        redisTemplate.opsForValue().set("login:" + principal.getSysUser().getId(), principal);

        Map<String, Object> map = new HashMap<>();
        map.put("token", token);
        return R.ok(map);
    }

    @GetMapping("/logOut")
    public R logOut() {
        LoginUser loginUser = (LoginUser)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        Integer id = loginUser.getSysUser().getId();
        redisTemplate.delete("login:"+id);


        return R.ok("退出成功");
    }

温暖如初a
关注
Spring Security使用
CASER_HDMI的博客
10-30 998
上面登录认证流程实现了用户会话访问接口,但是SessionId存储在cookie中,这样会导致csrf攻击,所以前端还需要把SessionId存储到其他位置,比如localStorage,在请求时,把它放到Header中,避免csrf攻击,或者直接生成一个新的csrf token,在每次请求时把它放到header或parameter中,在后端服务进行验证。一般来说,filterChain是我们需要重写的,我们的应用是无法直接使用默认filter的配置。数据库查询到的用户对应的密码。请求中的用户名/密码。
Spring SecuritySpring Security 使用案例详细教程
weixin_44814196的博客
11-07 1026
和生成的密码后,可以成功通过身份验证。若请求的资源不存在,Spring Boot 将返回。通过未验证身份直接访问受保护的路径时,Spring Security 会拒绝访问,并返回。的用户,并生成随机密码。该密码只用于开发环境,生产环境应自定义更安全的认证方式。的情况下,Spring Security 默认创建一个用户名为。,可以通过 Java 配置来自定义用户信息。命令行工具模拟 HTTP 请求,验证不同用户权限。无需额外的配置,就可以体验基本的用户认证。注解来模拟不同角色的用户进行权限验证。
Spring Security使用
weixin_42679286的博客
12-01 1688
*** 提供给 security 的用户信息的 service,要复写 loadUserByUsername 方法返回数据库中的用户信息*/@Service@Autoware/*** 加载数据库中的认证的用户的信息:用户名、密码、用户的权限列表* 通过username查询用户的信息,(密码,权限列表等)封装成 UserDetails 返回,交给 security。*/@Overridethrow new UsernameNotFoundException("无效的用户名");
SpringSecurity使用
zuochangping的博客
11-01 1894
SpringSecurity使用,运行原理及源码的查看,还有在不同场景的应用
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security 中,可以使用数据库来存储用户信息,并使用数据库认证来验证用户身份。为了实现数据库认证,需要在 Spring Security 配置文件中配置 authentication-manager 元素,并指定用户服务(user-service...
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
springsecurity使用项目
04-20
这个"springsecurity使用项目"是基于Spring Security 构建的一个实例,旨在帮助开发者理解如何在实际应用中实施权限校验。 首先,让我们从核心概念开始。Spring Security 主要由以下几个组件构成: 1. **过滤器链*...
SpringSecurity使用
weixin_46359814的博客
11-11 277
两个重要的接口 1、UserDetailsService接口: 查询数据库用户名和密码过程。 创建类继承UsernamePasswordAuthenticationFilter,重写三个方法 创建类实现UserDetailsService,编写查询数据过程,返回User对象,这个User对象是安全框架提供的对象 2、PasswordEncoder接口 :用于数据加密接口,返回User对象里面密码加密 web权限方案 (1)认证 (2)授权 设置登录的用户名和密码 第一种方式:通过配置文件 第二种方式:通过配
Spring Security的基本使用
songsong_DBB的博客
10-12 520
1、在web.xml中配置spring security的过滤器代理: filter-class = org.springframework.web.filter.DelegatingFilterProxy, 这个代理会把过滤到请求自动转到 springSecurityFilterChain 这个类里面,这个是spring security的一个处理类 这个过滤器要配置 &lt;filte...
SpringSecurity 简单使用
qq_43560701的博客
01-25 5216
SpringSecurity 简单使用 在 Web 开发中安全是不可忽视的问题(软件安全技术!),现在从 SpringSecurity 和 Shiro 两个框架来学习一下安全框架在 Web 应用中的使用Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based
SpringSecurity使用教程
最新发布
weixin_65019617的博客
12-15 1429
RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用 也是相对易用、通用权限模型。我们可以在自己定义expression包下,创建自己的权限校验方法,然后在@PreAuthorize注解中使用自己的方法。//获取当前用户的权限//判断用户权限集合中是否存在authority在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的 hasAuthority方法。
servlet中文传值乱码_学习JavaWeb这一篇就够了 Servlet (4/8)
weixin_39945523的博客
11-22 389
学习java这一篇就够了,从入门到精通,由浅至深,共8章,此篇为第四章中第2小节。附带安装包下载。配套资料,免费下载链接:https://pan.baidu.com/s/1G1YUANaBvGjzE-c-Z0xUWw 提取码:txnf4.5、Servlet继承体系其实我们不难发现,现有的Servlet它的方法比较多,而且大多需要我们自己来实现,那有没有一种它的实现子类,把大部分方法都是实现了,而我...
spring security使用(一)
lucky_ly的博客
02-05 537
spring securityspring全家桶中负责认证,授权,安全方便的框架,spring security 相对于 apache的授权认证框架——shiro来说会相对复杂些,spring security不仅可以提供单体应用的认证授权,还提供sso oauth2,微服务内的鉴权授权的等能力。
Spring Security使用(一)
weixin_43436745的博客
12-17 284
Spring Security的概述(一) 一、概述 (一)简介 官网地址:SpringSecurity官网 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授
SpringSecurity(一)基本使用
YLXCA的博客
01-13 557
Spring Security核心功能关于安全方面的两个主要区域是认证和授权(或者访问控制),这两点也是Spring Security核心功能用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权:验证谋而用户是否有权限执行某一操作。在一个系统中,不同用户所具有的权限是不同的。本质:就是一堆过滤器链。
Spring Security使用示例与实践
Spring Security使用demo中,通常会涉及以下步骤来配置Spring Security: 1. **添加依赖** 在项目的pom.xml中添加Spring Security依赖。 2. **创建配置类** 创建一个配置类,继承WebSecurityConfigurerAdapter...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值