记录一下Springboot项目的Security,配置

于 2025-04-16 17:06:12 发布
阅读量773 收藏 6
点赞数 14
CC 4.0 BY-SA版权
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjl30804/article/details/147280844

如果你不想让Springboot的接口裸奔,就要给接口鉴权,Springboot2提供了一个security,需要在

POM文件里引入,

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
</dependency>

注意,一旦设置了spring-boot-starter-security,一定要对应的配置Bean,如下:

@Configuration
public class SecurityConfig {

    private final JwtFilter jwtFilter;

    public SecurityConfig(JwtFilter jwtFilter) {
        this.jwtFilter = jwtFilter;
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeHttpRequests(authorize -> authorize
                        .requestMatchers("/v20241012/query_token/**","/v20241012/stat/**", "/v20241012/monitor/**", "/v20241012/merge").permitAll() // 允许公共端点
                        .anyRequest().authenticated() // 其他所有请求需要认证
                )
                .sessionManagement(session -> session
                        .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 设置为无状态会话
                )
                .addFilterAfter(jwtFilter, UsernamePasswordAuthenticationFilter.class); // 添加 JWT 过滤器

        return http.build();
    }

} 就像代码里展示的,需要对哪些接口做放开操作,特别说明的是,要先调用接口query_token,对身份进行验证。作为配套,还需要一个Filter,这里是JwtFilter,它是一个server端拦截器,对每个请求做拦截,代码如下:

@Component
public class JwtFilter extends OncePerRequestFilter {

    @Autowired
    private UserDetailsService userDetailsService;


    LoadingCache<String, UserDetails> cache = CacheBuilder.newBuilder()
            .maximumSize(1000)
            .expireAfterWrite(10, TimeUnit.MINUTES) // 写入后过期时间
            .build(
                    new CacheLoader<String, UserDetails>() {
                        @Override
                        public UserDetails load(String key) throws Exception {
                            // 当缓存未命中时,这里的 load() 方法会被调用
                            //TODO 这里应该需要查询自己的数据库表,而不是访问springboot的表
                            return userDetailsService.loadUserByUsername(key);
                        }
                    });
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String authorizationHeader = request.getHeader("Authorization");

        if (authorizationHeader == null || !authorizationHeader.startsWith("Bearer ")) {
            filterChain.doFilter(request, response);
            return;
        }

        String token = authorizationHeader.substring(7);
        try {
            Claims claims = JwtUtil.validateToken(token);
            String username = claims.getSubject();

            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = cache.get(username);
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
//                authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);

            }
        }  catch (Exception e) {
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            response.getWriter().write("JWT token validation failed");
            return;
        }

        filterChain.doFilter(request, response);
    }
}

代码也非常简单,从缓存(LocalCache)里查找对比请求里带过来的token,不能直接访问数据库,因为会给数据库带来很高的访问压力。这里用的Guava的Cache,里面除了设置过期时间,还要设置一个回调,如果cache没有命中的时候,从UserDetailsService里调用loadUserByUsername获得值并设置到cache里,请注意,这个UserDetailsService是Springboot Security包下的一个接口,需要用户自己去实现这个接口,我这里的实现如下:

@Service
public class CustomUserDetailsService implements UserDetailsService {
    private final UserInfoMapper userInfoMapper;

    public CustomUserDetailsService(UserInfoMapper userInfoMapper) {
        this.userInfoMapper = userInfoMapper;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名加载用户信息
        // 这里可以从数据库或其他数据源获取用户信息
        // 示例代码:
        LambdaQueryWrapper<UserInfo> lambdaQueryWrapper = new LambdaQueryWrapper<>();
        lambdaQueryWrapper.eq(UserInfo::getUsername, username);
        UserInfo one = userInfoMapper.selectOne(lambdaQueryWrapper);
        if (one!=null) {
            return org.springframework.security.core.userdetails.User
                    .withUsername(username)
                    .password(one.getSecret()) // 密码编码器
                    .authorities("ROLE_USER")
                    .build();
        } else {
            throw new UsernameNotFoundException("User not found");
        }
    }
}

如此,你的基于Springboot框架的Web接口就有了安全防护。另外,你需要在你的CRUD接口里得到

docker中搭建nacos并将springboot项目配置文件转移到nacos中
心比天高,仗剑走天涯,保持热爱,奔赴向梦想!
09-25 1413
网上搜索docker中搭建nacos发现文章不是很好理解,正好最近在搭建nacos练手。记录一下整个搭建过程。`文章最后附上了一些过程中遇到的问题,大家可以按需要查看。`
第三章 SpringBoot项目构建 - 整合Spring Security入门
最新发布
想做一个小孩的杨先生的博客
09-11 756
Spring Security 是一个强大的框架,用于保护基于 Spring 的应用程序。它提供了全面的认证和授权功能,使得安全机制与应用逻辑相分离。以下是 Spring Security 的基本使用指南,包括如何集成 Spring Security、定义用户角色和权限、以及自定义安全配置。在 Java 生态中,目前有 Spring Security 和 Apache Shiro 两个安全框架,可以完成认证和授权的功能。
SpringSecurity 3配置文件
03-19
NULL 博文链接:https://zhaobohao.iteye.com/blog/701238
spring-security配置文件
klsdjfaf的博客
05-25 2718
spring-security配置文件 spring-security.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-in...
Spring security 配置文件(自用)
qq_42458198的博客
10-31 1321
Spring security 配置文件(自用) Maven 坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEA
spring-security.xml配置文件(自用)
c_2333的博客
08-15 639
代码】spring-security.xml配置文件(自用)
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringBoot 项目管理系统
05-03
4. **删除项目**:移除不再需要的项目记录,确保数据的整洁性。 **前端界面** 虽然描述中提到编辑界面可能存在一些多余的输入框,但这并不影响系统的正常运行。前端界面通常采用诸如 Thymeleaf、FreeMarker 或者 ...
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip
12-20
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip 这是一款基于SpringBoot+SpringSecurity的RBAC权限管理系统。原本只想着做成基于SpringSecurity的权限管理系统,但随着功能的增加感觉有些刹...
apache shiro 如何升级_(八) SpringBoot起飞之路-整合Shiro详细教程(MyBatis、Thymeleaf)
weixin_39622710的博客
11-25 536
注:如果觉得不清楚,可以去看我博客或者最下面扫,看清晰的版本,知乎上传时图片可能被压缩了兴趣的朋友可以去了解一下前几篇,你的赞就是对我最大的支持,感谢大家!(一) SpringBoot起飞之路-HelloWorld(二) SpringBoot起飞之路-入门原理分析(三) SpringBoot起飞之路-YAML配置小结(入门必知必会)(四) SpringBoot起飞之路-静态资源处理(五) Spri...
Spring Security配置
qq_46005551的博客
03-27 2571
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
一文搞懂SpringSecurityspring-security配置文件详解,史上最全
zeng的博客
10-14 5108
一、认证和授权概念 1.、在生产环境下我们如果不登录系统是否能对业务进行操作? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 2、是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。 二、Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spr
Spring Boot配置 Spring Security
Code · Cloud · Think · Repeat
08-02 4523
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
spring security详解
hwt_211博客
11-25 1420
spring security配置 首先,先把项目的整体结构以及整体配置贴出来,后面介绍中会将其中的功能模块一个一个的细讲解,稍安勿躁,一步一步的往下看: 本例使用springMVC+spring security进行测试,需要导入的jar包:       项目基本结构:     环境搭建,主要是三个配置文件:web.xml, applicationContext.xml,
SpringBoot学习(五)-Spring Security配置与应用
小孔靠得住的博客
01-06 1678
Spring Security是一个基于Java的开源框架,用于在Java应用程序中提供身份验证和授权功能。它是Spring框架的一部分,可以与Spring应用程序集成,为应用程序提供安全性。
Spring Security配置详细
2401_83447580的博客
08-29 1978
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,专为基于Spring的应用程序设计。本教程将指导你如何在一个简单的Spring Boot应用程序中集成Spring Security,以实现基本的用户认证和授权功能。
Spring Security框架配置及使用
m0_72106802的博客
09-08 663
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。Spring Security框架是目前认证和授权的主流应用框架,用以划分用户管理员权限,自身也提供BCrypt算法用于密码的加密处理,并且这种算法更加安全。
初识spring security (一),一文弄懂默认配置
冬阳
08-21 986
spirng security 从基本入门到原理讲解,不在只会使用,完全不知道里面是如何实现的,为后续的扩展做更好的准备;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cjl30804

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值