Spring Security之前后端分离

最新推荐文章于 2025-03-21 19:48:13 发布
最新推荐文章于 2025-03-21 19:48:13 发布
阅读量3.7k 收藏 3
点赞数 3
分类专栏: Security 文章标签: spring spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MostSnails/article/details/126312877
版权
本文主要介绍了Spring Security在前后端分离环境下的应用,包括认证流程、整体集成项目的配置和资源鉴权处理。讲解了如何自定义认证器、实现UserDetailsService接口、URL拦截以及异常处理,展示了Spring Security的灵活性和可扩展性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring Security之前后端分离

大纲

多余介绍自行官网,这里梳理下大纲,你会学到…:
1.认证流程(如何一步一步完成链路调用)
2.整体集成项目配置(自定义认证器、拦截URL认证、异常处理、会话保存等)
3.如何做资源鉴权处理

认证流程

Spring Security只是一个框架,提供程序身份验证和鉴权,基于Spring基础,强大之处可以自由自定义要求。

SpringSecurity认证流程

认证流程

  1. 提交用户名、密码请求。
  2. UsernamePasswordAuthenticationFilter 拦截器将用户名密码封装成Authentication对象。
  3. AuthenticationManager接口调用authenticate()方法进行认证,该接口实现类ProviderManager调用重写authenticate()方法进行认证。抽象类AbstractUserDetailsAuthenticationProvider中重写了authenticate()。
  4. AbstractUserDetailsAuthenticationProvider抽象类authenticate()方法中调用retrieveUser()方法。
  5. DaoAuthenticationProvider中retrieveUser()调用loadUserByUsername()获取用户信息,返回UserDetails对象。
  6. 比对密码,成功返回Authentication对象,并放入内存,返回给前端。
上面步骤二、三、四、五涉及到封装Authentication对象、authenticate()、loadUserByUsername() 都可以自定义,按照自己业务逻辑进行认证放行还是拒绝,实现灵活自由化扩展。

整体集成项目配置

自定义认证器

认证流程中提到authenticate()方法进行认证,AuthenticationProvider接口和AuthenticationManager接口都有 authenticate() 这个。AuthenticationManager是个顶层接口,子类实现ProviderManager类包含authenticate()方法,for循环AuthenticationProvider实现类调用它authenticate()方法。
所以我们只需要实现AuthenticationProvider接口,重写authenticate()方法,完成我们自己逻辑认证。

/**
 * 自定义认证逻辑
 */
@Component
public class CustomerAuthenticationProvider implements AuthenticationProvider {
   
    @Autowired
    private UserService userService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * 验证登陆认证逻辑
     */
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
   
        //用户名
        String name = authentication.getName();
        //密码
        String password = authentication.getCredentials().toString();
        //查找用户
        User oldUser = userService.findUserByUserName(name);
        //比对密码
        boolean loginResult = passwordEncoder.matches(password, oldUser.getPassword());
        if (loginResult) {
   
            //封装信息返回
            UserDetails userDetails = userService.loadUser(name);
            //注意这里password 是未加密 userDetails 中 password 已加密的
            return new UsernamePasswordAuthenticationToken(userDetails, password, userDetails.getAuthorities());
        }
        throw new AuthenticationException("登陆失败"){
   };
    }

    @Override
    public
最低0.47元/天 解锁文章
Spring Security 6.x 系列【34】认证篇之前后端分离场景下的集成方案
记录知识、锤炼自我
05-04 2281
Spring Security提供了开箱即用的默认配置,例如默认的登录、登出页面,但在实际开发中,往往需要进行自定义改造,比如前后端分离场景下,前后端通过JSON来进行数据交互,是否操作成功都需要前端通过状态码判断,所有的页面也都需要前端自己去跳转。
Spring Security 前后端分离认证
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 276
我们初步引入了Spring Security,并使用其默认生效的HTTP基本认证来保护URL资源,本章我们使用表单认证来保护URL资源。
springbootspringsecurity前后端分离(一个小demo)
08-21
一个小demo前后端分离的情况下给到前端是否跳转到登录页的标识符
SpringSecurity前后端分离
热门推荐
X_lsod的博客
02-13 2万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
SpringSecurity——前后端分离登录认证
最新发布
gege_0606的博客
03-21 986
Spring Security 中,退出操作(logout)的设计逻辑与登录有所不同。登录过程涉及用户凭证验证、状态检查和密码匹配等环节,这些都有可能失败,所以需要提供失败处理器(如登录失败处理器)。前后端分离:Nginx 【Vue】 <----jwt----> Tomcat 【 (controller、sucurity) 】三个里面有任何一个不同,都是跨域,跨域是浏览器不允许的,浏览器是为了安全,不允许你跨域访问。从数据库中加载用户信息,返回一个包含用户状态和权限信息的。service实现类。
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 1300
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
Spring Security框架 前后端分离
asddasddeedd的博客
11-19 4401
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security 前后端分离
Markix的博客
11-14 3539
前后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
Spring Security之前后端分离(二)JWT令牌
MostSnails的博客
08-14 505
Spring Security之前后端分离(二)JWT令牌
基于Spring Boot 3.0、Spring Security 6和Vue 3的现代化前后端分离架构设计源码
10-05
本文将详细探讨如何利用Spring Boot 3.0、Spring Security 6和Vue 3这三个技术框架,设计并实现一个现代化的前后端分离架构。通过这种架构,我们可以有效地分离前端和后端,提高系统的可维护性、可扩展性和安全性。 ...
Spring Security 安全校验前后端分离
weixin_44084735的博客
09-16 2121
Spring Security 是一个专注于向 Java 应用程序提供身份验证和授权的安全框架,在Web环境下,它是借助Filter来实现对请求的校验;因为是一个框架,开发出来的目的是为了适配各个不同的场景,各种扩展,再加上框架本身默认的功能是在以template 画html, 以Session做回话管理这种开发模式;不过我们现在都是前后端分离,所以原有的一些功能就不怎么适用了,导致我们刚接手时会觉得有点困难,接下来我们简单讲解一下框架的流程,以及后续更改为前后端使用Token交互的方式;
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.youkuaiyun.com/u012702547/article/details/79010010 https://blog.youkuaiyun.com/u012702547/article/details/79019510
JWT详细解析
m0_65224643的博客
07-30 1万+
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519)。该token被设计为的,特别。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
SpringSecurity前后端分离中的应用
weixin_43676950的博客
06-15 2045
框架简介 ​ Spring Security是基于Spring AOP和Servlet过滤器的安全框架,它提供全面的安全性解决方案。同时在web请求级和方法调用级处理身份确认和授权。 项目介绍 ​ 在不分离情况下使用过了SpringSecurity,感觉还是非常不错的,所以想在前端后端分离的情况下,玩一把SpringSecurity,其中遇到了不少问题,不过在度娘的支持下成功了。特此写了这篇随笔,如果文中存在一些问题和有更好的写法请告诉我,小僧万分感谢。 ​ 项目用到的技术:SpringBoot +Spri
spring security前后端分离
YMY_666的博客
01-20 833
前后端分离,配置所有接口以及权限放行以及跨域和csrf拦截等 @Override protected void configure(HttpSecurity http) throws Exception { //使用自定义表单登录 http.formLogin() //未登录返回json .loginPage("/unLogin") //登录url
Spring Security 前后端分离 快速上手
迷途的大橘
07-18 430
Spring Security 前后端分离 快速上手 1.介绍 在spring security中 Authentication 对象管理着当前登录用户,同时也存储着认证信息。Authentication 对象由SecurityContextHolder 对象管理,上下文对象。SecurityContextHolder 对象由SecurityContextHolder管理,属于工具类,只提供一些静态方法,目的是用来保存应用程序中当前使用人的安全上下文。 2.认证授权流程 查询用户信息 --> 判断用户
基于Spring Security前后端分离式项目解决方案
serdonty的博客
05-08 2145
基于Spring Security前后端分离式项目解决方案Spring Security 简介Spring Security的应用方案技术框架后端前端基本思路后端前端后端具体实现引入Spring Security依赖建立安全配置类 Spring Security 简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,是保护基于spring应用的实际标准。 Spri...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值