本文介绍了如何在SpringBoot应用中整合Security框架,并实现基于Token的无状态验证,替代传统的session验证方式。详细步骤包括实现UserDetailsService接口,自定义登录逻辑,配置自定义过滤器处理token,以及开启注解式权限控制。通过这种方式,security可以在每次请求时验证token,确保用户身份安全。
缘由
添加security安全框架,去除session,使用token票据验证
ps:token是指登录后向客户端发送一个票据,下次发起请求时,验证票据即可,票据中包含用户登录等信息,不需要session。
步骤
1.实现UserDetailsService接口,security的认证中会执行这个接口中的loadUserByUsername方法。
2.自定义登录逻辑,调用security的authenticationManager对象执行登入验证,security的配置就完成了。
3.在security中配置一个自定义过滤器,这个过滤器在security之前拦截token,如token有值,则在此直接完成security认证,如没值,跳转到security的验证流程中去。
4.开启security注解式权限控制并编写权限逻辑。
ps:security在执行认证时会去调用UserDetailsService接口获取数据库中的账号信息(包括密码),然后将获得的账号信息对象与调用认证时前台的入参(账号密码)相比较,相同则认证成功。
/**
* 配置security
* 注解开启了security的注解式权限控制方式
* /
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
/**
* 自定义用户认证逻辑
*/
@Autowired
private UserDetailsService userDetailsService;
/**
* 认证失败处理类
*/
@Autowired
private AuthenticationEntryPointImpl unauthorizedHandler;
/**
* 退出处理类
*/
@Autowired
private LogoutSuccessHandlerImpl logoutSuccessHandler;
/**
* token认证过滤器
*/
@Autowired
private JwtAuthenticationTokenFilter authenticationTokenFilter;
/**
* 解决 无法直接注入 AuthenticationManager
*
* @return
* @throws Exception
*/
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception
{
return super.authenticationManagerBean();
}
/**
* anyRequest | 匹配所有请求路径
* access | SpringEl表达式结果为true时可以访问
* anonymous | 匿名可以访问
* denyAll | 用户不能访问
* fullyAuthenticated | 用户完全认证可以访问(非remember-me下自动登录)
* hasAnyAuthority | 如果有参数,参数表示权限,则其中任何一个权限可以访问
* hasAnyRole | 如果有参数,参数表示角色,则其中任何一个角色可以访问
* hasAuthority | 如果有参数,参数表示权限,则其权限可以访问
* hasIpAddress | 如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
* hasRole | 如果有参数,参数表示角色,则其角色可以访问
* permitAll | 用户可以任意访问
* rememberMe | 允许通过remember-me登录的用户访问
* authenticated | 用户登录后可访问
*/
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception
{
httpSecurity
// CRSF禁用,因为不使用session
.csrf().disable()
// 认证失败处理类
.exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
// 基于token,所以不需要session
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
// 过滤请求
.authorizeRequests()
// 对于登录login 验证码captchaImage 允许匿名访问
.antMatchers("/login","/captchaImage").anonymous()
.antMatchers(
HttpMethod.GET,
"/*.html",
"/**/*.html",
"/**/*.css",
"/**/*.js"
).permitAll()
.antMatchers("/profile/**").permitAll()
.antMatchers("/common/download**").anonymous()
.antMatchers("/common/download/resource**").anonymous()
.antMatchers("/swagger-ui.html").anonymous()
.antMatchers("/swagger-resources/**").anonymous()
.antM
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
