SpringBoot和SpringCloud 使用 spring security 认证框架详解

最新推荐文章于 2025-03-25 09:49:34 发布
最新推荐文章于 2025-03-25 09:49:34 发布
阅读量1.3k 收藏 5
点赞数 1
分类专栏: Java 文章标签: spring java 后端 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Drug_/article/details/122380810
版权

上目录结构

//权限管理模块
// 1. 创建一个权限管理的子模块

//2. 引入相关依赖
//    <dependencies>
//<!--        自定义的模块 安全框架 security-->
//        <dependency>
//            <groupId>com.schoolWeb</groupId>
//            <artifactId>spring_security</artifactId>
//            <version>0.0.1-SNAPSHOT</version>
//        </dependency>
//        <dependency>
//            <groupId>com.alibaba</groupId>
//            <artifactId>fastjson</artifactId>
//        </dependency>
//    </dependencies>

//3. 创建一个 权限管理的模块 编写相对应的权限代码 代码比较固定 分享到git 上了
//主要是 菜单管理 角色管理 分配权限 等常用功能

//4. 创建一个 spring_security模块 放在了 common模块里了 他是公共的   代码比较固定 分享到git 上了
// Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能
// 本质就是过滤器  filter
// 用于 用户认证 和用户授权 两部分
// 如果是基于Session 那么 Spring Security 会对cookie里的sessionid进行解析认证
// 如果是token 则会解析token 然后将当前请求加入到Spring Security 管理的权限信息里去
// 这个玩意 帮我们 取值 放值  帮我们 管理 token 或者 session  不需要我们 自己再去具体实现

// 如果系统的模块众多 每个模块都需要认证 用户根据用户密码进行认证 然后获取一系列的权限 并已用户名为key
// 权限为value的形式存入redis里 根据用户的header头部里的token, Spring Security 解析token 这样判断是否有请求权限

//5. 引入spring_security 的相关依赖
//   <dependencies>
//<!--        自定义的工具类-->
//        <dependency>
//            <groupId>com.schoolWeb</groupId>
//            <artifactId>common_utils</artifactId>
//            <version>0.0.1-SNAPSHOT</version>
//        </dependency>
//        <!-- Spring Security依赖 -->
//        <dependency>
//            <groupId>org.springframework.boot</groupId>
//            <artifactId>spring-boot-starter-security</artifactId>
//        </dependency>
//
//        <dependency>
//            <groupId>io.jsonwebtoken</groupId>
//            <artifactId>jjwt</artifactId>
//        </dependency>
//    </dependencies>

//6. 整合  spring security 框架 具体实现类

//7. 需要一个md5 和ResponseUtil 工具类  md5自行查找 

public class ResponseUtil {

    public static void out(HttpServletResponse response, R r) {
        ObjectMapper mapper = new ObjectMapper();
        response.setStatus(HttpStatus.OK.value());
        response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
        try {
            mapper.writeValue(response.getWriter(), r);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}
//8. 需要配置核心配置类的退出地址  TokenWebSecurityConfig.java

@Configuration
@EnableWebSecurity   //开启权限控制
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {

    private UserDetailsService userDetailsService;  // 自定义查询数据库 认证密码
    private TokenManager tokenManager;   //token 工具
    private DefaultPasswordEncoder defaultPasswordEncoder;  // 密码处理
    private RedisTemplate redisTemplate;  //  redis 处理

    @Autowired
    public TokenWebSecurityConfig(UserDetailsService userDetailsService, DefaultPasswordEncoder defaultPasswordEncoder,
                                  TokenManager tokenManager, RedisTemplate redisTemplate) {
        this.userDetailsService = userDetailsService;
        this.defaultPasswordEncoder = defaultPasswordEncoder;
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    /**
     * 配置设置
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.exceptionHandling()
                .authenticationEntryPoint(new UnauthorizedEntryPoint())
                .and().csrf().disable()
                .authorizeRequests()
                .anyRequest().authenticated()
                .and().logout()
                .logoutUrl("/admin/acl/index/logout")  // 设置退出地址 可随意设置
                .addLogoutHandler(new TokenLogoutHandler(tokenManager,redisTemplate)).and()
                .addFilter(new TokenLoginFilter(authenticationManager(), tokenManager, redisTemplate))
                .addFilter(new TokenAuthenticationFilter(authenticationManager(), tokenManager, redisTemplate)).httpBasic();
    }
    /**
     * 配置哪些请求不拦截  这个注意一下  要不 登录退出路径 有可能报错 404
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/api/**",
                "/swagger-resources/**", "/webjars/**", "/v2/**", "/swagger-ui.html/**"
        );
//        web.ignoring().antMatchers("/*/**"
//        );
    }

    /**
     * 密码处理
     * @param auth
     * @throws Exception
     */
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(defaultPasswordEncoder);
    }



//9. 实现 security提供的UserDetails 接口   SecurityUser.java

package com.school.security.entity;

import lombok.Data;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.util.StringUtils;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

/**
 * <p>
 * 安全认证用户详情信息
 * </p>
 *  相关实体类
 * @author qy
 * @since 2019-11-08
 */
@Data
@Slf4j
public class SecurityUser implements UserDetails {

    //当前登录用户
    private transient User currentUserInfo;

    //当前权限
    private List<String> permissionValueList;

    public SecurityUser() {
    }

    public SecurityUser(User user) {
        if (user != null) {
            this.currentUserInfo = user;
        }
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        for(String permissionValue : permissionValueList) {
            if(StringUtils.isEmpty(permissionValue)) continue;
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(permissionValue);
            authorities.add(authority);
        }

        return authorities;
    }

    @Override
    public String getPassword() {
        return currentUserInfo.getPassword();
    }

    @Override
    public String getUsername() {
        return currentUserInfo.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

//10. 登录校验认证过滤器  配置登录地址   TokenLoginFilter.java

/**
 * <p>
 * 登录过滤器,继承UsernamePasswordAuthenticationFilter,对用户名密码进行登录校验
 * </p>
 *  认证过滤器
 * @author qy
 * @since 2019-11-08
 */
public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {

    private AuthenticationManager authenticationManager;
    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;

    public TokenLoginFilter(AuthenticationManager authenticationManager, TokenManager tokenManager, RedisTemplate redisTemplate) {
        this.authenticationManager = authenticationManager;
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
        this.setPostOnly(false);
        //这是登录地址 这个可以随便配置
        this.setRequiresAuthenticationRequestMatcher(
                new AntPathRequestMatcher("/admin/acl/login","POST"));
    }

    //得到 用户密码
    @Override
    public Authentication attemptAuthentication(HttpServletRequest req, HttpServletResponse res)
            throws AuthenticationException {
        try {
            User user = new ObjectMapper().readValue(req.getInputStream(), User.class);

            return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(), user.getPassword(), new ArrayList<>()));
        } catch (IOException e) {
            throw new RuntimeException(e);
        }

    }

    /**
     * 登录成功  执行这个
     * @param req
     * @param res
     * @param chain
     * @param auth
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void successfulAuthentication(HttpServletRequest req, HttpServletResponse res, FilterChain chain,
                                            Authentication auth) throws IOException, ServletException {
        SecurityUser user = (SecurityUser) auth.getPrincipal();
        //生成token 值
        String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());
        //根据用户名 把需要的 权限 放到 redis里
        redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(), user.getPermissionValueList());

        ResponseUtil.out(res, R.ok().data("token", token));
    }

    /**
     * 登录失败  执行这个
     * @param request
     * @param response
     * @param e
     * @throws IOException
     * @throws ServletException
     */
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
                                              AuthenticationException e) throws IOException, ServletException {
        ResponseUtil.out(response, R.error());
    }
}

//11. 授权过滤器
//12. 配置好  spring security 框架后 把这个 模块引入到某个的模块下( 就是步骤2 那个依赖)
// 比如 你 创建的 权限管理模块(acl) 这个模块下 都是权限授权和配置的操作
// 就可以引入到这个模块下 在这个模块具体使用spring security 下的功能


//13. 需要创建一个查询登录和用户权限的实现类 这个类 需要实现 spring security  下的 UserDetailsService 的接口
//  具体实现查询验证 用户登录 得到数据
// 注: 使用这种框架 思想为 :面向接口发开 或者 面向 spring security 开发
// 帮我们 实现了 验证 和授权登录 我们只需要 修改配置文件和 查询数据库数据 验证成功就行了


@Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Autowired
    private PermissionService permissionService;

    /***
     * 根据账号获取用户信息
     * @param username:
     * @return: org.springframework.security.core.userdetails.UserDetails
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库中取出用户信息
        User user = userService.selectByUsername(username);

        // 判断用户是否存在
        if (null == user){
            //throw new UsernameNotFoundException("用户名不存在!");
        }
        // 返回UserDetails实现类
        com.school.security.entity.User curUser = new com.school.security.entity.User();
        BeanUtils.copyProperties(user,curUser);

       //获取权限
        List<String> authorities = permissionService.selectPermissionValueByUserId(user.getId());
        SecurityUser securityUser = new SecurityUser(curUser);
        securityUser.setPermissionValueList(authorities);
        return securityUser;
    }

}


// 使用了这个security 框架 实现登录后 自己开发的 登录 就无需再用了

github地址 

javaUtils/spring_security at main · Json870422471/javaUtils · GitHub

【AI大模型】SpringBoot整合Spring AI 核心组件使用详解
congge
05-05 8556
SpringBoot整合Spring AI 核心组件使用详解
基于springcloud一套可落地实施的安全认证框架整合
热门推荐
congge
05-23 1万+
前言 现如今,微服务盛行,主流的微服务可落地实施的治理方案目前市面使用比较多的主要有2种,一种是基于dubbo的,辅助其他的技术栈组合,另一种是基于springcloud的(或者springcloud-alibaba),结合在实际工作项目中的使用总结,分享一套结合springcloud的可落地实施的安全认证框架整合 框架技术栈 springcloud + spring-security,拆分开来就是,eureka + gateway + spring-security + redis eureka :
Spring Cloud 之 Spring-Security
小尾寒羊的博客
07-31 4168
一、什么是SpringSecurity Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)AOP(面向切面编程)功能,为应用系...
Spring Security SpringCloud Security 有什么区别?
极客星云-CSDN博客
11-12 7285
Spring Security SpringCloud Security 有什么区别?
Spring Cloud Security:OAuth2 鉴权与零信任安全架构实践
最新发布
weixin_46619605的博客
03-25 1589
Spring Cloud Security:OAuth2 鉴权与零信任安全架构实践
springcloud集成Spring Security
youxmm的博客
07-21 3938
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储验证。存在严重的安全风险,因为密码可以很容易地被窃取滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
SpringCloud使用Security认证框架
qwczf的博客
03-07 752
springcloud
springcloud-eureka集群-整合security安全验证框架
wgxaszc8的博客
01-29 9301
1、继之前的eureka服务中心项目添加依赖 org.springframework.boot spring-boot-starter-actuator org.springframework.boot spring-boot-starter-security 2、修改application.yml配置 server: port: 8
一文详解SpringSpringBootSpringcloud三者的区别
f5465245的博客
03-11 9247
最近学到了springboot,我是看的动力节点王鹤老师的视频,今天这篇博客,主要说说springspringbootspringcloud这三者都是干嘛的? 视频资源:https://www.bilibili.com/video/BV1XQ4y1m7ex 架构 > 解偶 开发框架 spring IOC AOP Ioc :控制反转 原来我们都是自己一步步操作,现在交给容器了!我们需要什么就去拿就可以了 Aop :切面(...
基于springboot+springcloud+maven的在线考试系统.zip
05-29
《构建基于SpringBoot+SpringCloud的在线考试系统详解》 在现代互联网开发中,SpringBootSpringCloud已经成为Java开发者构建微服务架构的重要工具。本文将深入探讨如何利用这两个框架搭建一个功能完善的在线考试...
SpringBootSpringCloud实现微服务架构详解
包括SpringIOPlatform、SpringBootSpringFramework、SpringCloud等,以及Spring家族中的其他成员,如Spring XD、Spring Data、Spring Batch、Spring SecuritySpring Integration、Spring Social、Spring AMQP、...
基于SpringBootSpringCloud实现微服务架构学习(一).docx
06-30
#### 三、Spring顶级框架详解 ##### 3.1 Spring IO Platform Spring IO Platform是一个统一的版本管理平台,它定义了所有Spring项目的版本依赖关系。通过它,开发者可以方便地管理项目中不同Spring组件之间的版本...
Spring Cloud 系列文章之八:Spring Cloud Security 在微服务架构中的应用
阿里渣渣java研发组-群主
06-08 547
Spring Cloud SecuritySpring Security 的扩展,专注于为微服务架构提供安全解决方案。它集成了 OAuth2 JWT 等标准,为微服务提供安全保护,支持服务间的安全通信单点登录(SSO)。
基于Springboot+SpringCloud+Spring Security OAuth2.0搭建的博客系统
陈橙橙
03-19 1229
前言 看过这样一段话《2022值得深思的一段话》 1.在同一辆列车上,有人感染,有人安全,这是机体免疫力 2.同样的隔离,有人一年不愁吃穿,有人一星期就经济拮据,这是财务免疫力 3.同样隔离在家,有人读书学习,空中课程很自律,有人打麻将玩游戏,混混沌沌过日子,这是价值免疫力 4.一样的灾难,有人阳光向上,勇往直前有人怨天尤人,甚至仇恨社会,这是心理免疫力。 这样灾难,是个大浪淘沙的过程,对所有人的体质、阅历、认知、人性、良知、勇气、思想、道德、灵魂、理想、价值观等都是长筛选。 所以战胜意外不幸,所要做的
使用SpringCloudSecurity进行安全认证
AI天才研究院
01-28 1026
1.背景介绍 1. 背景介绍 随着互联网的发展,安全性变得越来越重要。Spring Cloud Security 是一个基于 Spring Security 的安全框架,它提供了一系列的安全认证授权功能,帮助开发者快速构建安全的应用系统。在本文中,我们将深入了解 Spring Cloud Security 的核心概念、算法原理、最佳实践以及实际应用场景。 2. 核心概念与联系 Sprin...
SpringCloud - Spring Cloud 之 Security服务安全机制(二十)
MinggeQingchun的博客
07-07 2404
微服务的Rest服务都是基于http请求的,因此很有可能暴露在公网上,任何人都可能调用访问,如果Rest服务有一些私密信息,就会导致信息的泄露,因此我们需要给微服务增加安全机制。如:Spring SecuritySpring SecuritySpring Resource 社区的一个安全组件, Spring SecurityJavaEE 企业开发提供了全面的安全防护。Spring Security 采用“安全层”的概念,使每一层都尽可能安全,连续的安全层可以达到全面的防护Spring Seeur
Spring Cloud(十二):Spring Cloud Security
Men-DD
11-23 4103
设置用户名密码(内存、UserDetailsService、WebSecurityConfigurerAdapter、基于DB) 自定义登录页面 登录认证流程 自定义成功失败 会话管理 会话控制 会话超时 会话并发控制 集群session 安全会话cookie RememberMe 退出登录 CSRF 用户授权 web授权 访问控制的url匹配 内置的访问控制 自定义403处理 基于表达式的访问控制 方法授权 JSR-250注解 @Secured注解 支持表达式的注解 授权原理 授权流程 实现原理 主线源码
整合Spring Cloud Security
Pastxu的小屋
05-03 1933
为什么需要OAuth2.0? 编码永远都是为了解决生产中的问题,想要理解为什么需要OAuth2,当然要从实际生活出发。 举个例子:小区的业主点了一份外卖,但是小区的门禁系统不给外卖人员进入,此时想要外卖员进入只能业主下来开门或者告知门禁的密码。 密码告知外卖员岂不是每次都能凭密码进入小区了,这明显造成了安全隐患。 那么有没有一种方案:既能不泄露密码,也能让外卖小哥进入呢? 于是此时就想到了一个授权机制,分为以下几个步骤: 门禁系统中新增一个授权按钮,外卖小哥只需要点击授权按钮呼叫对应业主..
springcloud 入门(10) Spring Security 安全与权限
做一个有思想的技术人
12-24 4470
spring security
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Json____

您的鼓励是我创作的动力~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值