带你掌握springboot集成SpringSecurity认证授权
mhr18 2024-12-03 11:42 14 浏览 0 评论
前言:
Spring Security 是 Spring 家族中的一个框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,系统的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。
认证:验证当前访问系统的是不是本系统的用户,用户认证一般要求用户提供用户名和密码,或者手机号和验证码等形式。
授权:经过认证后判断当前用户是否有权限执行某个操作。在系统中,会对用户校色权限管理,不同的用户具有的权限是不同的。一般系统也是基于角色权限管理(RBAC),会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。
一:登录流程
- 前端登录页面会携带用户名和密码调用后端登录接口
- 后端对用户名和密码进行数据库校验,校验成功后,会根据当前用户信息生成一个token
- 将token响应给前端,
- 之后前端访问系统资源都需要请求头携带token访问后端
- 后端获取请求头token进行解析,解析用户信息。
- 校验用户是否有权限访问相关资源,有则访问资源响应给前端
二:Spring Security登录流程
介绍Spring Security几个组件
1.过滤器链
- SecurityContextPersistenceFilter:维护安全上下文,确保线程间的安全信息传递。
- UsernamePasswordAuthenticationFilter:负责处理基于表单的登录请求,收集用户名和密码,调用AuthenticationManager进行验证。
- ConcurrentSessionFilter:管理并发会话,避免同一账号多处登录。
- ExceptionTranslationFilter:捕获并处理认证或授权失败的异常。
- FilterSecurityInterceptor:执行访问决策,依据用户权限判断是否允许访问特定资源。
2. 认证管理器
AuthenticationManager负责处理认证请求,它接受一个Authentication对象(包含用户凭证),并返回一个经过完全填充的(已验证的或未经验证的)Authentication对象。对于基于用户名和密码的登录,Spring Security提供了DaoAuthenticationProvider,它使用UserDetailsService来检索用户信息。
3. 用户详情服务
UserDetailsService接口定义了一个方法loadUserByUsername(String username),用于根据用户名加载用户信息。开发者需要实现这个接口,通常从数据库中查询用户信息。返回的是UserDetails对象,它包含用户的用户名、密码(通常是加密的)、权限等安全相关信息。
4. 用户详情
UserDetails表示用户安全信息的核心接口,包含用户名、密码、账号是否过期、凭证是否过期、账号是否锁定以及赋予用户的权限集合。一个典型的实现org.springframework.security.core.userdetails.User。
登录流程的简化步骤:
- 用户提交登录表单,表单中通常包含用户名和密码。
- 客户端发送请求到服务器,请求到达UsernamePasswordAuthenticationFilter过滤器。
- UsernamePasswordAuthenticationFilter过滤器会尝试从请求中提取用户名和密码,并构造一个UsernamePasswordAuthenticationToken对象,并转发给AuthenticationManager。
- AuthenticationManager接口的实现(通常是ProviderManager)会根据配置的AuthenticationProviders来验证这个Authentication对象。
- 实现UserDetailsService的服务来加载用户详情(UserDetails)使用PasswordEncoder比较提交的密码与数据库中存储的密码,验证密码是否正确。
- 如果验证成功,AuthenticationManager会返回一个包含用户详情的Authentication对象,否则抛出认证失败异常。
- 在成功验证后,SecurityContextHolder会更新安全上下文,存储认证信息。
- 最后,用户会被重定向到登录成功页面或获取认证后的资源。
认证失败时抛出异常:由ExceptionTranslationFilter捕获并处理,可能重定向到登录页面显示错误消息,或响应HTTP 401 Unauthorized。
访问控制:用户携带令牌访问受保护资源时,FilterSecurityInterceptor基于用户的角色和权限进行访问决策,决定是否允许访问。
代码演示;
注意:这里演示没有引入redis,用户信息都在内存操作。
1.相关依赖
<dependencies>
<!--web-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--security-->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--测试使用-->
<dependency>
<groupId>org.projectlombok</groupId>
<artifactId>lombok</artifactId>
</dependency>
<!--测试使用-->
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.8.8</version>
</dependency>
</dependencies>2.登录认证
登录:
- 自定义登录接口:调用 AuthenticationManager的方法进行认证,如果认证通过生成 jwt,把用户信息存入 redis 中(常规做法,这里我用内存)。
//登录接口
public interface ILoginService {
/** 登录 */
Result login(User user);
/** 退出登录 */
Result loginOut();
}@Service
public class LoginServiceImpl implements ILoginService {
@Autowired
private AuthenticationManager authenticationManager;
private static Map<String, Object> cache = new HashMap();
//登录
@Override
public Result login(User user) {
/** 用户名和密码的认证请求,并通过AuthenticationManager进行用户认证。 */
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
user.getUsername(),
user.getPassword());
Authentication authenticate = authenticationManager.authenticate(authenticationToken);
// 判空
if (Objects.isNull(authenticate)) {
throw new RuntimeException("用户名或密码有误");
}
//从认证成功的Authentication对象中获取principal,转换为LoginUser类型,进而得到用户账号userName。
LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
String userName= loginUser.getUser().getUsername();
// 通过 hutool-Jwt工具类 使用 userName生成token
HashMap<String, Object> payload = new HashMap<>();
payload.put("name", userName);
String token = JWTUtil.createToken(payload, "123456".getBytes());
// 将token存入内存(这一步常规做法存redis)
CacheUser.CACHE.put(name, loginUser);
// 将token响应给前端
HashMap<String, Object> map = new HashMap<>();
map.put("token", token);
return new Result(200, "登录成功", map);
}
//退出登录
@Override
public Result loginOut() {
// 从存储权限的集合SecurityContextHolder内将获取到Authentication对象。里面包含已认证的用户信息,权限集合等。
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
// 从 获取到的对象内 取出 已认证的主体
LoginUser loginUser = (LoginUser) authentication.getPrincipal();
// 从被认证的主体内取出用户名
String userName= loginUser.getUser().getUsername();
// 根据键为用户名userAccount删除对应的用户信息
cache.remove(userName);
return new Result(200, "退出成功", "");
}
}- 自定义 CustomUserDetailsService,这个实现类中去查询数据库(常规做法,这里我用内存)。
基础实体:
//登录用户
@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {
private User user;
public LoginUser(User user) {
this.user = user;
}
// 存储Security所需要的权限信息的集合
private List<GrantedAuthority> authorities;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return null;
}
@Override
public String getPassword() {
return user.getPassword();
}
@Override
public String getUsername() {
return user.getUsername();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
//用户
@Data
public class User {
//用户名
private String username;
//密码
private String password;
}实现UserDetailsService 接口:
@Service
public class CustomUserDetailsService implements UserDetailsService {
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 使用用户名获取用户全部信息(这一步常规做法,查数据库)
User user = new User();
user.setUsername(username);
user.setPassword("$2a$10$GL84UYDv2.kQgREcw6wNQ.0eQWIAOno.gNnoI7UUSpYT6JdJ1QH2i");
// 查询不到用户信息则抛出异常
if (Objects.isNull(user)) {
throw new RuntimeException("用户名或密码有误");
}
//(这一步常规做法,查权限添加到 LoginUser)
return new LoginUser(user);
}
}校验:
- 定义 Jwt 认证过滤器,获取 token,解析 token 获取用户信息,从 redis 中获取用户信息(常规做法,这里我用内存),存入 SecurityContextHolder。
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
// 从请求头获取token
String token = request.getHeader("token");
// 检查获取到的token是否为空或空白字符串
if (!StringUtils.hasText(token)) {
// 如果token为空,则直接放行请求到下一个过滤器,不做进一步处理并结束当前方法,不继续执行下面代码。
filterChain.doFilter(request, response);
return;
}
// 解析token
String userName;
try {
userName = (String) JWTUtil.parseToken(token).getPayloads().get("name");
} catch (Exception e) {
e.printStackTrace();
throw new RuntimeException("token非法");
}
// 从内存获取用户(这一步常规做法从redis中获取用户信息)
LoginUser loginUser = CacheUser.CACHE.get(userName);
if (Objects.isNull(loginUser)) {
throw new RuntimeException("用户未登录");
}
//将用户信息存入 SecurityConText
//UsernamePasswordAuthenticationToken 存储用户名 密码 权限的集合
UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
loginUser, null, loginUser.getAuthorities());
//SecurityContextHolder是Spring Security用来存储当前线程安全的认证信息的容器。
//将用户名 密码 权限的集合存入SecurityContextHolder
SecurityContextHolder.getContext().setAuthentication(authenticationToken);
//放行
filterChain.doFilter(request, response);
}
}3.配置类:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
@Override
protected void configure(HttpSecurity http) throws Exception {
//后端测试要关闭csrf()
http.csrf().disable()
//不通过session获取SecurityContext
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
// 登录接口公开访问
.antMatchers("/sys/login").anonymous()
// 除上面公开的接口外,所有的请求都需要鉴定认证
.anyRequest().authenticated()
.and()
// 添加 过滤器
.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
// 允许跨域
http.cors();
}
/**
* AuthenticationManager 认证
*/
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
//密码加密
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
}测试:
@RequestMapping("/sys")
@RestController
public class UserController {
@Resource
private ILoginService loginService;
@PostMapping("/login")
public Result login(@RequestBody User user){
return loginService.login(user);
}
@PostMapping("/logout")
public Result logout(){
return new Result(200,"成功");
}
}执行结果:
登录:
登出:
权限这边的测试大家可以自己演示一遍,博主这里就不演示了,将改点告诉大家
- 在登录用户实体加上权限字段
@Data
@NoArgsConstructor
public class LoginUser implements UserDetails {
private User user;
// 存储权限信息
private List<String> permissions;
public LoginUser(User user, List<String> permissions) {
this.user = user;
this.permissions = permissions;
}
// 存储 Security 所需要的权限信息的集合
@JSONField(serialize = false)
private List<GrantedAuthority> authorities;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
if (authorities != null) {
return authorities;
}
// 将 permissions 内字符串类型的权限信息转换为 GrantedAuthority 对象存入 authorities
authorities = permissions.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
return authorities;
}
}- 查询数据库这一步,通过之后查询权限
@Service
public class CustomUserDetailsService implements UserDetailsService {
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 使用用户名获取用户全部信息
User user = new User();
user.setUsername(username);
user.setPassword("$2a$10$GL84UYDv2.kQgREcw6wNQ.0eQWIAOno.gNnoI7UUSpYT6JdJ1QH2i");
// 查询不到用户信息则抛出异常
if (Objects.isNull(user)) {
throw new RuntimeException("用户名或密码有误");
}
// TODO 在授权时返回此处。 根据用户查询权限信息,再添加到 LoginUser 中。
return new LoginUser(user,"权限");
}
}相关推荐
- 【推荐】一个开源免费、AI 驱动的智能数据管理系统,支持多数据库
-
如果您对源码&技术感兴趣,请点赞+收藏+转发+关注,大家的支持是我分享最大的动力!!!.前言在当今数据驱动的时代,高效、智能地管理数据已成为企业和个人不可或缺的能力。为了满足这一需求,我们推出了这款开...
- Pure Storage推出统一数据管理云平台及新闪存阵列
-
PureStorage公司今日推出企业数据云(EnterpriseDataCloud),称其为组织在混合环境中存储、管理和使用数据方式的全面架构升级。该公司表示,EDC使组织能够在本地、云端和混...
- 对Java学习的10条建议(对java课程的建议)
-
不少Java的初学者一开始都是信心满满准备迎接挑战,但是经过一段时间的学习之后,多少都会碰到各种挫败,以下北风网就总结一些对于初学者非常有用的建议,希望能够给他们解决现实中的问题。Java编程的准备:...
- SQLShift 重大更新:Oracle→PostgreSQL 存储过程转换功能上线!
-
官网:https://sqlshift.cn/6月,SQLShift迎来重大版本更新!作为国内首个支持Oracle->OceanBase存储过程智能转换的工具,SQLShift在过去一...
- JDK21有没有什么稳定、简单又强势的特性?
-
佳未阿里云开发者2025年03月05日08:30浙江阿里妹导读这篇文章主要介绍了Java虚拟线程的发展及其在AJDK中的实现和优化。阅前声明:本文介绍的内容基于AJDK21.0.5[1]以及以上...
- 「松勤软件测试」网站总出现404 bug?总结8个原因,不信解决不了
-
在进行网站测试的时候,有没有碰到过网站崩溃,打不开,出现404错误等各种现象,如果你碰到了,那么恭喜你,你的网站出问题了,是什么原因导致网站出问题呢,根据松勤软件测试的总结如下:01数据库中的表空间不...
- Java面试题及答案最全总结(2025版)
-
大家好,我是Java面试陪考员最近很多小伙伴在忙着找工作,给大家整理了一份非常全面的Java面试题及答案。涉及的内容非常全面,包含:Spring、MySQL、JVM、Redis、Linux、Sprin...
- 数据库日常运维工作内容(数据库日常运维 工作内容)
-
#数据库日常运维工作包括哪些内容?#数据库日常运维工作是一个涵盖多个层面的综合性任务,以下是详细的分类和内容说明:一、数据库运维核心工作监控与告警性能监控:实时监控CPU、内存、I/O、连接数、锁等待...
- 分布式之系统底层原理(上)(底层分布式技术)
-
作者:allanpan,腾讯IEG高级后台工程师导言分布式事务是分布式系统必不可少的组成部分,基本上只要实现一个分布式系统就逃不开对分布式事务的支持。本文从分布式事务这个概念切入,尝试对分布式事务...
- oracle 死锁了怎么办?kill 进程 直接上干货
-
1、查看死锁是否存在selectusername,lockwait,status,machine,programfromv$sessionwheresidin(selectsession...
- SpringBoot 各种分页查询方式详解(全网最全)
-
一、分页查询基础概念与原理1.1什么是分页查询分页查询是指将大量数据分割成多个小块(页)进行展示的技术,它是现代Web应用中必不可少的功能。想象一下你去图书馆找书,如果所有书都堆在一张桌子上,你很难...
- 《战场兄弟》全事件攻略 一般事件合同事件红装及隐藏职业攻略
-
《战场兄弟》全事件攻略,一般事件合同事件红装及隐藏职业攻略。《战场兄弟》事件奖励,事件条件。《战场兄弟》是OverhypeStudios制作发行的一款由xcom和桌游为灵感来源,以中世纪、低魔奇幻为...
- LoadRunner(loadrunner录制不到脚本)
-
一、核心组件与工作流程LoadRunner性能测试工具-并发测试-正版软件下载-使用教程-价格-官方代理商的架构围绕三大核心组件构建,形成完整测试闭环:VirtualUserGenerator(...
- Redis数据类型介绍(redis 数据类型)
-
介绍Redis支持五种数据类型:String(字符串),Hash(哈希),List(列表),Set(集合)及Zset(sortedset:有序集合)。1、字符串类型概述1.1、数据类型Redis支持...
- RMAN备份监控及优化总结(rman备份原理)
-
今天主要介绍一下如何对RMAN备份监控及优化,这里就不讲rman备份的一些原理了,仅供参考。一、监控RMAN备份1、确定备份源与备份设备的最大速度从磁盘读的速度和磁带写的带度、备份的速度不可能超出这两...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- oracle位图索引 (63)
- oracle批量插入数据 (62)
- oracle事务隔离级别 (53)
- oracle 空为0 (50)
- oracle主从同步 (55)
- oracle 乐观锁 (51)
- redis 命令 (78)
- php redis (88)
- redis 存储 (66)
- redis 锁 (69)
- 启动 redis (66)
- redis 时间 (56)
- redis 删除 (67)
- redis内存 (57)
- redis并发 (52)
- redis 主从 (69)
- redis 订阅 (51)
- redis 登录 (54)
- redis 面试 (58)
- 阿里 redis (59)
- redis 搭建 (53)
- redis的缓存 (55)
- lua redis (58)
- redis 连接池 (61)
- redis 限流 (51)