项目练习:SpringBoot整合SpringSecurity

原创 已于 2025-02-08 12:06:53 修改 · 857 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot

于 2025-01-29 21:30:58 首次发布

文章目录

一、理论知识铺垫

1、一般性的登陆鉴权的流程

在这里插入图片描述

2、SpringSecurity的本质

过滤链
在这里插入图片描述

3、SpringSecurity的基本登陆流程原理

在这里插入图片描述

二、个性化SpringSecurity功能开发

1、自定义Security认证功能

自定义UserDetailsService,实现Security连接数据库,进行身份认证

  • 创建user表
  • 集成mybatis,实现数据库查询功能
  • 创建LoginUser(它是UserDetails的实现类)
  • 在UserDetailsService实现类中去查询数据库,替换默认的InMemoryUserDetailsManager
  • 向SpringBoot容器中注入BCryptPasswordEncoder类
    这个类的作用,不仅是认证的时候matches密码,在注册账号的时候,也要encode密码,存入数据库

2、开发登陆接口

自定义登录接口,替换默认登录页

  • 创建controller接口,创建service层,在service层中调用authenticationManager.authenticate,触发UserDetailsService的查询数据库认证逻辑。
  • 在SecurityConfig中,新增配置,注入AuthenticationManager,配置filterChain,放行login请求
  • controller中调用service
  • 生成一个随机的uuid,拼接固定的前缀,用于生成jwt和redis中的key
  • 把用户信息存入redis中
  • 创建jwt返回给前端
  • 可以发现,用户信息没有放入token发给前端,更加安全。

3、其它接口校验

这一块,是用于用户登陆后,访问其它需要认证的接口时,携带token参数,通过token来认证用户信息的步骤。
所以,这种校验是在每个接口前就要进行的,这种时候,我们应该要想到拦截器和过滤器来实现这个功能。
security本质是一连串的过滤器组成的过滤器链,所以,这个功能放在过滤器中实现。

定义Jwt认证过滤器

  • 创建过滤器JwtAuthenticationTokenFilter,继承OncePerRequestFilter
  • 从request的header中获取token
  • 解析token获取其中userKey
  • 通过userKey,从Redis中获取用户信息
  • 验证登陆的loginUser是否超时,并刷新Redis数据
  • 创建authenticationToken,存入SecurityContextHolder中

4、退出登陆

清除Redis中的token,清除SecurityContextHolder中的用户认证信息
注意,这块无需开发controller接口,直接在SecurityConfig增加一个退出的请求地址即可。

  • 修改SecurityConfig配置,指定logout请求地址以及LogoutSuccessHandler,负责退出具体操作。
    handler的方式,就要额外处理一下给浏览器的数据写回
    相对来讲,写controller接口,貌似方便一些。

5、认证功能相关表

1~4步骤的开发都是关于security的认证功能,涉及到的表就一个sys_user表即可。

SET FOREIGN_KEY_CHECKS=0;

-- ----------------------------
-- Table structure for sys_user
-- ----------------------------
DROP TABLE IF EXISTS `sys_user`;
CREATE TABLE `sys_user` (
  `user_id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '用户ID',
  `dept_id` bigint(20) DEFAULT NULL COMMENT '部门ID',
  `user_name` varchar(30) NOT NULL COMMENT '用户账号',
  `nick_name` varchar(30) NOT NULL COMMENT '用户昵称',
  `user_type` varchar(2) DEFAULT '00' COMMENT '用户类型(00系统用户)',
  `email` varchar(50) DEFAULT '' COMMENT '用户邮箱',
  `phonenumber` varchar(11) DEFAULT '' COMMENT '手机号码',
  `sex` char(1) DEFAULT '0' COMMENT '用户性别(0男 1女 2未知)',
  `avatar` varchar(100) DEFAULT '' COMMENT '头像地址',
  `password` varchar(100) DEFAULT '' COMMENT '密码',
  `status` char(1) DEFAULT '0' COMMENT '帐号状态(0正常 1停用)',
  `del_flag` char(1) DEFAULT '0' COMMENT '删除标志(0代表存在 2代表删除)',
  `login_ip` varchar(128) DEFAULT '' COMMENT '最后登录IP',
  `login_date` datetime DEFAULT NULL COMMENT '最后登录时间',
  `create_by` varchar(64) DEFAULT '' COMMENT '创建者',
  `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  `update_by` varchar(64) DEFAULT '' COMMENT '更新者',
  `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  `remark` varchar(500) DEFAULT NULL COMMENT '备注',
  PRIMARY KEY (`user_id`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf8 COMMENT='用户信息表';

-- ----------------------------
-- Records of sys_user
-- ----------------------------
INSERT INTO `sys_user` VALUES ('1', '103', 'admin', '若依', '00', 'ry@163.com', '15888888888', '1', '', '$2a$10$7JB720yubVSZvUI0rEqK/.VqGOZTH.ulu33dHOiBE8ByOhJIrdAu2', '0', '0', '127.0.0.1', '2025-01-20 15:57:58', 'admin', '2024-12-16 10:35:31', '', '2025-01-20 15:57:58', '管理员');
INSERT INTO `sys_user` VALUES ('2', '105', 'ry', '若依', '00', 'ry@qq.com', '15666666666', '1', '', '$2a$10$7JB720yubVSZvUI0rEqK/.VqGOZTH.ulu33dHOiBE8ByOhJIrdAu2', '0', '0', '127.0.0.1', '2025-01-11 09:46:43', 'admin', '2024-12-16 10:35:31', '', '2025-01-11 09:46:43', '测试员');
INSERT INTO `sys_user` VALUES ('5', '105', 'test', '测试', '00', '', '', '0', '', '$2a$10$B6aytqjmXyw10PEDdwTjC.S0UT/dGjdMIsKqiVzMJ.ktP.iMgMQ5G', '0', '0', '', null, 'ry', '2024-12-20 19:29:40', '', null, null);

6、鉴权功能

定义:不同的用户,使用的功能不同,对数据的操作权限不同。

一般有两部分
1、前端根据用户权限,隐藏菜单或按钮。
2、后端的接口权限控制,数据权限控制。

1、功能设计

一般的后台管理系统,都分为这几个部分:目录、菜单、按钮
目录:就是指包含自菜单的菜单,可以展开的菜单,点击菜单,主页面不会切换。
菜单:菜单就是没有子菜单的菜单,点击菜单,主页面会切换。
按钮:页面上的增删改查、导出、上传等按钮
可以根据自己业务的需求,进行适当的扩展。

2、表设计

用户表:sys_user
部门表:sys_dept
角色表:sys_role
用户角色表:sys_user_role
角色权限表:sys_role_menu
权限表:sys_menu,权限表相对来讲设计最复杂。
因为,菜单之间存在父子关系,所以,要设计parent_id,保存每条数据的关联关系。
然后,菜单权限,我这里是设计成3层,目录,菜单,按钮
在这里插入图片描述在这里插入图片描述

RBAC:是基于角色的权限设计模型
所以,我们可以用用户直接关联角色,也可以用部门关联角色
根据自己的需要,进行相关设计。

这块的查询逻辑要分三块:
1、admin角色,直接返回所有权限,不用查询数据库。
2、没有绑定角色的user,直接根据userId查权限。
3、绑定多个roleId的user,根据roleIds,循环遍历查询权限。
mybatis实现表与表之间一对一和一对多的关系,用association和collection实现。
如下:
SysUser和SysDept是一对一
SysUser和roles是一对多

    <resultMap type="SysUser" id="SysUserResult">
        <id     property="userId"       column="user_id"      />
        <association property="dept"    javaType="SysDept"         resultMap="deptResult" />
        <collection  property="roles"   javaType="java.util.List"  resultMap="RoleResult" />
    </resultMap>

在这里插入图片描述

3、Security实现

1、从数据库查询出菜单权限数据,存入用户信息中。
2、通过@EnableMethodSecurity+@PreAuthorize注解给接口标识所需权限,在用户请求接口时,比对权限。

spring-security-config.jar
5.5.x用:@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
5.7.x用:@EnableMethodSecurity(prePostEnabled = true, securedEnabled = true)

7、自定义失败处理

主要包括两部分:认证失败处理,授权失败处理

在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationfilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。

如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint对象的方法去进行异常处理。
如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理。

所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可。

8、跨域配置

实现WebMvcConfigurer接口,并注入一个CorsFilter即可。

参考:SpringSecurity(前后端分离)(三更)

Spring Security 有什么用?附使用教程
qq_42631788的博客
08-29 924
类在 Spring Boot 应用程序中是配置和管理安全性的核心部分。它定义了应用程序的安全策略,确保未认证的用户无法访问受保护的资源,同时允许你灵活地配置身份验证和授权的方式。配置一旦生效,它会在应用程序的生命周期中持续为请求提供安全保护。
Spring Boot中集成Spring Security 专题
2401_86940371的博客
10-10 2086
当然,Spring Security明确的设计可以处理这种常见需求,但是作为替代你应该使用项目的域对象的安全能力来实现这个目标。例如在默认的安全配置中authorizeRequests(),formLogin()、httpBasic()这三个方法返回的分别是ExpressionUrlAuthorizationConfigurer、FormLoginConfigurer、HttpBasicConfigurer,他们都是SecurityConfigurer接口的实现类,分别代表的是不同类型的安全配置器。
SpringBoot集成SpringSecurity
最新发布
2403_87486006的博客
08-27 1650
在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8407
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
Spring Boot整合Spring Security
沐雨橙风ιε的博客
11-05 1188
Spring Security入门教程,springboot整合Spring Security
Spring Boot 整合 Spring Security
hutao8896的博客
05-30 1123
Spring Boot 整合 Spring Security
SpringBoot整合SpringSecurity+JWT(三更草堂)
hwp_ing的博客
08-11 3411
b站学习三更草堂springsecurity的笔记相关代码.我这就不废话了,估计各位也不想了解太深.这里我整合springboot,直接提供视频里demo.clone下来应该可以直接跑起来.稍微改一下就可以加入到自己的项目里.具体代码实现原理可以去看视频.这里默认读者对jwt与security都有一点点概念demo地址。.........
SpringBoot+SpringSecurity+JWT权限管理练习项目
01-16
**SpringBoot+SpringSecurity+JWT权限管理练习项目详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其对于企业级应用来说更是如此。本项目SpringBoot为基础,结合SpringSecurity进行权限控制,并...
学习SpringBoot使用SpringSecurity(一)_表单登录、角色认证以及SpringSecurity导致CSS样式丢失问题
DreamsArchitects的博客
11-09 990
文章目录一、 环境准备导入依赖创建数据库准备页面index.htmlhome.htmlyml配置文件实体类数据访问层业务层业务层实现类二、UserDetailsService三、WebSecurityConfigBug CSS样式丢失 一、 环境准备 用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 用户授权指的是验证某个用户是否有权限执行某个操作。 spring security的主要核心功能为 认证和授权,所有的权限架构也是基于这两个核心功能去实现的。  “认证”,是为
Java Demo集成项目SpringBoot示例详解
项目以“集成”为核心理念,通过将多个独立的Java Demo模块整合到一个统一的代码仓库中,帮助初学者、中级开发者以及希望深入理解SpringBoot及其他Java主流框架应用方式的技术人员快速上手并掌握实际开发中的关键...
学生心理咨询评估系统开发:SpringBoot与Vue整合实践
SpringBoot是目前Java企业级应用开发中非常流行的一个框架,它与Spring生态系统中的其他工具和库(如Spring MVC、Spring Data、Spring Security等)无缝集成,支持RESTful API的开发,是构建微服务架构应用的理想...
Spring Boot整合Spring Security
qq_47823201的博客
11-20 643
学习目标: Spring Security 应用级别的安全主要包含两个主要部分,即登录认证(Authentication)和访问授权(Authorization),首先用户登录的时候传入登录信息,登录验证器完成登录认证并将登录认证好的信息存储到请求上下文,然后再进行其他操作,如在进行接口访问、方法调用时,权限认证器从上下文中获取登录认证信息,然后根据认证信息获取权限信息,通过权限信息和特定的授权策略决定是否授权。 pring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能
Spring Boot中使用Spring Security进行安全控制
小飞侠的博客
11-25 243
准备工作 首先,构建一个简单的Web工程,以用于后续添加安全控制,也可以用之前Chapter3-1-2做为基础工程。若对如何使用Spring Boot构建Web应用,可以先阅读《Spring Boot开发Web应用》一文。 Web层实现请求映射 1234567891011121314 @Controller public class HelloContro...
springboot整合security
qq_43634655的博客
09-06 1252
springboot整合security
狂神说SpringBoot18:集成SpringSecurity
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
SpringBootSpringSecurity(安全)
热门推荐
爱学习的大雄的博客
03-16 1万+
SpringSecurity(安全) Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @Enabl
SpringBootSpringSecurity
雨后是冰雹
06-19 1670
Spring Security 是一个基于 Spring 的企业应用系统提供声明式的安全访问控制接口方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的Bean,充分利用了Spring核心组件 IoC,DI 和 AOP ,为应用系统提供声明书的安全访问控制功能,减少了企业系统安全控制大量重复代码的编写。新建一个SpringBoot项目,添加如下依赖 2.2 启动访问 重启访问即可跳转到对应的登录界面 注意:系统启动的时候会自动创建一个账号是 user,密码随机的用户(密码显示在控制台) 使用
SpringBoot-SpringSecurity
qq_55293923的博客
04-19 215
SpringBoot-SpringSecurity 简介 Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证
springboot中使用springsecurity
wang0907的博客
11-07 1358
1:概述 1.1:认证和授权的区别 认证就是证明你是谁,而授权是你能做什么,比如你要连接mysql数据库,此时需要用户名和密码,这个过程就是认证,而登陆之后你可以做什么操作,比如创建表,删除表,查询数据,等,这就是授权。其实这个过程对于所有的系统的都是通用的,你登录系统需要录入认证信息来登录,这就是认证,登录之后你能看到什么,干什么,这就是授权。 在系统中,认证对应的应该就是登录功能,而授权对应的就是权限控制功能。本文我们要分析的springsecurity就可以提供二者的功能。 2:实例程序 2.1:引入
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值