前后端分离项目springsecurity实现用户登录认证快速使用

目录

1、引入依赖

2、创建类继承WebSecurityConfigurerAdapter

(1)重写里面的configure(HttpSecurity http)方法

(2)重写AuthenticationManager authenticationManagerBean()

(3)密码加密工具

3、继承UserDetails

4、登录方法

5、是怎么完成登录的

(1)根据用户名查询用户

(2)密码对比

6、注册用户加密密码

7、登录过滤器

8、认证失败处理器


ps:该文章适合未系统学习springsecurity快速使用,可以直接cv使用,只有部分源码讲解,个人觉得先会用了再深究原理

1、引入依赖

        <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId><version>2.6.13</version></dependency>

引入springsecurity依赖后,该依赖会自动生成默认登陆页面和登录名(user)和密码(控制台)

我们使用这个用户名和密码登陆后才可以对资源进行访问

因为项目是前后端分离项目,因此并不需要它默认生成的登录页面和默认用户名密码吗,需要查询数据库进行登录

2、创建类继承WebSecurityConfigurerAdapter

我们创建一个配置类SecurityConfig(使用@Configuration标记)并且继承WebSecurityConfigurerAdapter类,重写里面的几个配置方法即可对springsecurity进行配置

(1)重写里面的configure(HttpSecurity http)方法

跟进configure(HttpSecurity http)查看源码中的方法做了什么

我们可以看到源码中的该方法中默认对所有的请求进行拦截,并且默认生成表单登录页面,并且使用基本认证。

我们只需要重写该方法就可以自己进行配置了

.csrf().disable()
.cors()        csrf建议关闭,cors前后端分离项目建议打开
.mvcMatchers("/admin/login").anonymous()   对这个接口可以匿名访问,也就是不需要认证
.mvcMatchers("/admin/save").permitAll()    对这个接口也不做认证
.mvcMatchers("/user/save").authenticated()  对这个接口需要认证才能访问

这个.mvcMatchers的参数也可以是数组形式

.addFilterBefore(tokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)

添加过滤器,这里的tokenAuthenticationFilter是我自己定义的,这个意思将自定义的这个过滤器放在UsernamePasswordAuthenticationFilter.class这个过滤器之前,这个过滤器是springsecurity提供的认证过滤器,像我们的这个tokenAuthenticationFilter是需要在认证之前进行的

.exceptionHandling()
.authenticationEntryPoint(authenticationEntryPoint);

这个是添加了一个认证异常处理器authenticationEntryPoint,authenticationEntryPoint也是我们自定义的,就是当用户未经过认证时返回的结果,通常当未登录访问接口时返回给前端的异常信息就在这里定义

这样我们就大致完成了这个方法中登录认证功能的一些配置

(2)重写AuthenticationManager authenticationManagerBean()

我们需要使用他里面的方法进行登录认证,并使用@Bean标注到spring容器中

@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();
}

(3)密码加密工具

@Bean
public PasswordEncoder passwordEncoder(){return new BCryptPasswordEncoder();
}

使用这个进行密码加密,springsecurity提供了很多密码加密方法,用这个就可以,可以点进去查看PasswordEncoder这个方法,这是个接口,实现了很多加密方法

然后这样我们就大致完成了这个类的配置

如果有swagger等静态资源配置,可以重写这个方法

/*** 配置哪些请求不拦截* 排除swagger相关请求* @param web* @throws Exception*/
@Override
public void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers("/favicon.ico","/swagger-resources/**", "/webjars/**", "/v2/**", "/swagger-ui.html/**", "/doc.html");
}
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate TokenAuthenticationFilter tokenAuthenticationFilter;@Autowiredprivate AuthenticationEntryPointImpl authenticationEntryPoint;/* @Autowiredprivate UserDetailsService userDetailsService;*/@Override@Beanpublic AuthenticationManager authenticationManagerBean() throws Exception {return super.authenticationManagerBean();}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.csrf().disable().cors().and().authorizeRequests().mvcMatchers("/admin/login").anonymous().mvcMatchers("/admin/save").permitAll().mvcMatchers("/wx/user/login").permitAll().mvcMatchers("/wx/user/save").permitAll().anyRequest().authenticated().and().addFilterBefore(tokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class).exceptionHandling().authenticationEntryPoint(authenticationEntryPoint);}@Beanpublic PasswordEncoder passwordEncoder(){return new BCryptPasswordEncoder();}/*** 配置哪些请求不拦截* 排除swagger相关请求* @param web* @throws Exception*/@Overridepublic void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers("/favicon.ico","/swagger-resources/**", "/webjars/**", "/v2/**", "/swagger-ui.html/**", "/doc.html");}}

防止报错还有这个自定义的登录拦截器跟认证失败处理器也整上

@Component
public class TokenAuthenticationFilter extends OncePerRequestFilter {@Autowiredprivate StringRedisTemplate redisTemplate;@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {String token = request.getHeader("token");if (ObjectUtils.isEmpty(token)){filterChain.doFilter(request,response);return;}Claims claims = null;try {claims = JwtUtil.parseJWT(token);} catch (Exception e) {e.printStackTrace();Map<String, String> errMsg = new HashMap<>();errMsg.put("code","200");errMsg.put("msg","访问失败,请重新登录");response.setContentType("text/json;charset=utf-8");response.getWriter().print(errMsg.toString());return;}Integer userId = Integer.valueOf(claims.getSubject());UserContext.setUser(userId);String userAdmin = redisTemplate.opsForValue().get("userId" + userId);AdminLogin adminLogin = JSONUtil.toBean(userAdmin, AdminLogin.class);UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(adminLogin.getUsername(), adminLogin.getUsername(), null);
//        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(null, null, null);SecurityContextHolder.getContext().setAuthentication(authenticationToken);filterChain.doFilter(request,response);}
}
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint, Serializable
{private static final long serialVersionUID = -8970718410437077606L;@Overridepublic void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e)throws IOException{Map<String, String> errMsg = new HashMap<>();response.setContentType("text/json;charset=utf-8");errMsg.put("code","200");errMsg.put("msg","访问失败,该资源受到保护...");response.getWriter().print(errMsg.toString());}
}

等会再说这两个配置

3、继承UserDetails

用我们的登录的用户类继承UserDetails,我这里是Admin

@Data
@AllArgsConstructor
@NoArgsConstructor
public class AdminLogin implements UserDetails {private Admin admin;@Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {return null;}@Overridepublic String getPassword() {return admin.getPassword();}@Overridepublic String getUsername() {return admin.getUsername();}@Overridepublic boolean isAccountNonExpired() {return true;}@Overridepublic boolean isAccountNonLocked() {return true;}@Overridepublic boolean isCredentialsNonExpired() {return true;}@Overridepublic boolean isEnabled() {return true;}
}

我们得重写里面的几个方法,并且把我们的用户类给整进来

Collection<? extends GrantedAuthority> getAuthorities()

这个是权限,我们返回null就行了,这会登录用不到

public String getPassword() {return admin.getPassword();}

这个方法是获取密码,也就是security会从这里获取登录的密码,我们就把我们的用户类的密码让他返回

public String getUsername() { return admin.getUsername();}

这个是获取用户名的方法,也就是security会从这里获取登录的用户名,我们就把我们的用户类的用户名让他返回

@Override
public boolean isAccountNonExpired() {return true;
}@Override
public boolean isAccountNonLocked() {return true;
}@Override
public boolean isCredentialsNonExpired() {return true;
}@Override
public boolean isEnabled() {return true;
}

这几个都是账号相关的,什么账号是否被锁定、是否启用在这里返回结果,我们返回true,如果返回false就登录不了了

4、登录方法

@Service
public class AdminLoginServiceImpl implements AdminLoginService {@Autowiredprivate AuthenticationManager authenticationManager;//管理员登录@Overridepublic Result adminLogin(LoginDto loginDto) {UsernamePasswordAuthenticationToken authenticationToken = newUsernamePasswordAuthenticationToken(loginDto.getUsername(), loginDto.getPassword());Authentication authenticate = authenticationManager.authenticate(authenticationToken);AdminLogin adminLogin = (AdminLogin) authenticate.getPrincipal();String jwt = JwtUtil.createJWT(String.valueOf(adminLogin.getAdmin().getId()));//用户信息redisTemplate.opsForValue().set("userId"+adminLogin.getAdmin().getId(), JSONUtil.toJsonStr(adminLogin));return Result.success(jwt);}
}

登录的方法就是调用

Authentication authenticate = authenticationManager.authenticate(authenticationToken);

它里面需要接受的参数类型必须是Authentication类型的

这就是为啥在配置的时候将

AuthenticationManager authenticationManagerBean()这个使用@Bean标记

 UsernamePasswordAuthenticationToken authenticationToken = new
                UsernamePasswordAuthenticationToken(loginDto.getUsername(),loginDto.getPassword());

这个类就可以将我们的用户名和密码封装成继承了Authentication类型的类然后用于登录

UsernamePasswordAuthenticationToken()他的参数是

Object principal, Object credentials

这就分别是用户名和登陆凭证也就是密码

然后登陆成功后返回一个Authentication类型,然后.getPrincipal()这个方法就可以获取登录的用户信息。

5、是怎么完成登录的

这时候我们来看登录流程图(图是盗的)

当我们调用Authentication authenticate = authenticationManager.authenticate(authenticationToken);这个方法的时候做了什么?

我们关注两步就可以了

第一个就是根据用户名查询用户,第二个就是进行密码比对

(1)根据用户名查询用户

因为在执行认证的方法后,会调用DaoAuthencationProvider中的UserDetailService对象中的loadUserByUsername这个方法,如果基于springsecurity的默认配置,这个方法就是实现了UserDetailService这个接口的InMemoryUserDetailsManager这个方法中的loadUserByUsername

我们可以看到进行登录时候调用了loadUserByUsername的方法,这个方法是在

UserDetailsService中写的,看方法名也知道是根据用户名查找用户

因为我们要查的是数据库中的用户数据,我们就可以也可以实现UserDetailService并且重写里面的loadUserByUsername方法   根据数据库查询出用户信息并返回继承了UserDetail的AdminLogin 类

@Service
public class AdminDetailsServiceImpl implements UserDetailsService {@Autowiredprivate AdminService adminService;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {//根据用户名查询数据库中的用户LambdaQueryWrapper<Admin> wrapper = new LambdaQueryWrapper<>();wrapper.eq(Admin::getUsername,username);Admin admin = adminService.getOne(wrapper);//如果根据用户名查找不到用户if (ObjectUtils.isEmpty(admin)){throw new TxdException(208,"用户不存在");}//返回adminLoginAdminLogin adminLogin = new AdminLogin(admin);return adminLogin;}
}

如果能查到用户就返回,然后进行下一步密码对比,如果用户不存在就抛异常

(2)密码对比

这个springsecurity都已经写好了,我们看看源码就行,找到那个我们自定义的security的配置类

ctrl点进BCryptPasswordEncoder加密方式

里面的boolean matches(CharSequence rawPassword, String encodedPassword)这个方法就是密码对比,它里面又会执行BCrypt.checkpw(rawPassword.toString(), encodedPassword)这个方法。总之就是将前端传来的密码进行加密后与数据库的进行对比

为啥不能将数据库的密码解析后对比传来的明文密码呢?因为他这个加密之后是不可逆的

然后到这登录基本就完事了

新问题,数据库中还没加密后的用户数据怎么办?

6、注册用户加密密码

将前端传来的密码使用security配置类中的加密方式加密后就行

7、登录过滤器

在前面配置的时候已经整过代码了,在这里获取token并校验,校验完之后获取里面的用户id,根据用户id获取redis里面的数据,并将用户信息使用UsernamePasswordAuthenticationToken 封装并且放入SecurityContextHolder.getContext().setAuthentication(authenticationToken);中

@Component
public class TokenAuthenticationFilter extends OncePerRequestFilter {@Autowiredprivate StringRedisTemplate redisTemplate;@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {String token = request.getHeader("token");if (ObjectUtils.isEmpty(token)){filterChain.doFilter(request,response);return;}Claims claims = null;try {claims = JwtUtil.parseJWT(token);} catch (Exception e) {e.printStackTrace();Map<String, String> errMsg = new HashMap<>();errMsg.put("code","200");errMsg.put("msg","访问失败,请重新登录");response.setContentType("text/json;charset=utf-8");response.getWriter().print(errMsg.toString());return;}Integer userId = Integer.valueOf(claims.getSubject());UserContext.setUser(userId);String userAdmin = redisTemplate.opsForValue().get("userId" + userId);AdminLogin adminLogin = JSONUtil.toBean(userAdmin, AdminLogin.class);UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(adminLogin.getUsername(), adminLogin.getUsername(), null);
//        UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(null, null, null);SecurityContextHolder.getContext().setAuthentication(authenticationToken);filterChain.doFilter(request,response);}
}

8、认证失败处理器

当用户未认证时访问资源提示的信息

@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint, Serializable
{private static final long serialVersionUID = -8970718410437077606L;@Overridepublic void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e)throws IOException{Map<String, String> errMsg = new HashMap<>();response.setContentType("text/json;charset=utf-8");errMsg.put("code","200");errMsg.put("msg","访问失败,该资源受到保护...");response.getWriter().print(errMsg.toString());}
}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/281769.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

市场复盘总结 20240321

仅用于记录当天的市场情况&#xff0c;用于统计交易策略的适用情况&#xff0c;以便程序回测 短线核心&#xff1a;不参与任何级别的调整&#xff0c;采用龙空龙模式 一支股票 10%的时候可以操作&#xff0c; 90%的时间适合空仓等待 二进三&#xff1a; 进级率中 23% 最常用的…

算法体系-14 第十四 贪心算法(上)

一 、 递归套路解决判断完全二叉树 1.1 描述 1.2 分析 1.3 代码 public static boolean isCBT2(Node head) {return process(head).isCBT;}public static class Info {public boolean isFull;public boolean isCBT;public int height;public Info(boolean full, boolean cbt…

JNDI注入原理及利用IDEA漏洞复现

&#x1f36c; 博主介绍&#x1f468;‍&#x1f393; 博主介绍&#xff1a;大家好&#xff0c;我是 hacker-routing &#xff0c;很高兴认识大家~ ✨主攻领域&#xff1a;【渗透领域】【应急响应】 【Java、PHP】 【VulnHub靶场复现】【面试分析】 &#x1f389;点赞➕评论➕收…

【题目】【网络系统管理】2019年全国职业技能大赛高职组计算机网络应用赛项H卷

极安云科专注职业教育技能竞赛培训4年&#xff0c;包含信息安全管理与评估、网络系统管理、网络搭建等多个赛项及各大CTF模块培训学习服务。本团队基于赛项知识点&#xff0c;提供完整全面的系统性理论教学与技能培训&#xff0c;成立至今持续优化教学资源与讲师结构&#xff0…

ResNet《Deep Residual Learning for Image Recognition》

ResNet论文学习 引言Deep Residual Learning 深度残差学习Residual Learning 残差学习Identity Mapping by Shortcuts 通过捷径来恒等映射网络结构Plain NetworkResidual Network实现细节 实验总结代码复现Building blockBottleneckResnet 18Resnet 34Resnet 50 引言 深度网络…

(vue)新闻列表与图片对应显示,体现选中、移入状态

(vue)新闻列表与图片对应显示&#xff0c;体现选中、移入状态 项目背景&#xff1a;郑州院XX项目首页-新闻展示模块&#xff0c;鼠标移入显示对应图片&#xff0c;且体现选中和移入状态 首次加载&#xff1a; 切换列表后&#xff1a; html: <el-row :gutter"20"…

vue/vite添加地图

最简单的方式&#xff0c;不论vue2、vue3、vite均适用&#xff0c;例如以高德为例&#xff1a; index.html 引入 <scriptsrc"https://webapi.amap.com/maps?v1.4.15&key您的key&pluginAMap.ToolBar,AMap.MouseTool,AMap.DistrictSearch,AMap.ControlBar&quo…

IP代理技术革新:探索数据采集的新路径

引言&#xff1a; 随着全球化进程不断加深&#xff0c;网络数据采集在企业决策和市场分析中扮演着愈发重要的角色。然而&#xff0c;地域限制和IP封锁等问题常常给数据采集工作带来了巨大挑战。亿牛云代理服务凭借其强大的网络覆盖和真实住宅IP资源&#xff0c;成为解决这些问…

ElasticSearch使用(一)

文章目录 一、简介1. 数据类型2. 倒排索引3. Lucene4. ElasticSearch5. Solar VS ElasticSearch 二、ElasticSearch入门1. 简介2. 分词器3. 索引操作4. 文档操作5. ES文档批量操作 二、ElasticSearch的DSL1. 文档映射Mapping2. Index Template3. DSL 一、简介 1. 数据类型 结…

API(时间类)

一、Date类 java.util.Date类 表示特定的瞬间&#xff0c;精确到毫秒。 Date常用方法&#xff1a; public long getTime() 把日期对象转换成对应的时间毫秒值。 public void setTime(long time) 把方法参数给定的毫秒值设…

TikTok账号用什么IP代理比较好?

对于运营TikTok的从业者来说&#xff0c;IP的重要性自然不言而喻。 在其他条件都正常的情况下&#xff0c;拥有一个稳定&#xff0c;纯净的IP&#xff0c;你的视频起始播放量很可能比别人高出不少&#xff0c;而劣质的IP轻则会限流&#xff0c;重则会封号。那么&#xff0c;如何…

实时数仓之实时数仓架构(Doris)

目前比较流行的实时数仓架构有两类,其中一类是以Flink+Doris为核心的实时数仓架构方案;另一类是以湖仓一体架构为核心的实时数仓架构方案。本文针对Flink+Doris架构进行介绍,这套架构的特点是组件涉及相对较少,架构简单,实时性更高,且易于Lambda架构实现,Doris本身可以支…

供应链投毒预警 | 开源供应链投毒202402月报发布啦

概述 悬镜供应链安全情报中心通过持续监测全网主流开源软件仓库&#xff0c;结合程序动静态分析方式对潜在风险的开源组件包进行动态跟踪和捕获&#xff0c;发现大量的开源组件恶意包投毒攻击事件。在2024年2月份&#xff0c;悬镜供应链安全情报中心在NPM官方仓库&#xff08;…

软考高级:软件架构评估-质量属性:可用性概念和例题

作者&#xff1a;明明如月学长&#xff0c; CSDN 博客专家&#xff0c;大厂高级 Java 工程师&#xff0c;《性能优化方法论》作者、《解锁大厂思维&#xff1a;剖析《阿里巴巴Java开发手册》》、《再学经典&#xff1a;《Effective Java》独家解析》专栏作者。 热门文章推荐&am…

Spark Rebalance hint的倾斜的处理(OptimizeSkewInRebalancePartitions)

背景 本文基于Spark 3.5.0 目前公司在做小文件合并的时候用到了 Spark Rebalance 这个算子&#xff0c;这个算子的主要作用是在AQE阶段的最后写文件的阶段进行小文件的合并&#xff0c;使得最后落盘的文件不会太大也不会太小&#xff0c;从而达到小文件合并的作用&#xff0c;…

美食杂志制作秘籍:引领潮流,引领味蕾

美食杂志是一种介绍美食文化、烹饪技巧和美食体验的杂志&#xff0c;通过精美的图片和生动的文字&#xff0c;向读者展示各种美食的魅力。那么&#xff0c;如何制作一本既美观又实用的美食杂志呢&#xff1f; 首先&#xff0c;你需要选择一款适合你的制作软件。比如FLBOOK在线制…

sentinel系统负载自适应流控

系统负载自适应流控 规则配置 规则创建 public class SystemRule extends AbstractRule {private double highestSystemLoad -1;private double highestCpuUsage -1;private double qps -1;private long avgRt -1;private long maxThread -1; }SystemRule类包含了以下几…

Springboot笔记(web开启)-08

有一些日志什么的后续我会补充 1.使用springboot: 创建SpringBoot应用&#xff0c;选中我们需要的模块&#xff1b;SpringBoot已经默认将这些场景配置好了&#xff0c;只需要在配置文件中指定少量配置就可以运行起来自己编写业务代码&#xff1b; 2.SpringBoot对静态资源的映…

c语言基础笔记(1)进制转换以及++a,a++,取地址和解引用

一进制转换 OCT - 八进制 DEC - 十进制 HEX - 十六进制 0520&#xff0c;表示八进制 0x520表示16进制 unsigned 无符号&#xff0c;只有正的 signed 有正有负数 char默认是signed 类型 #include <stdio.h>int main(void) { //字符转换成数字char a 5;int a1 a- 4…

HarmonyOS入门学习

HarmonyOS入门学习 前言快速入门ArkTS组件基础组件Image组件Text组件TextInput 文本输入框Buttonslider 滑动组件 页面布局循环控制ForEach循环创建组件 List自定义组件创建自定义组件Builder 自定义函数 状态管理Prop和LinkProvide和ConsumeObjectLink和Observed ArkUI页面路由…