从零开始开发鉴权系统:1.接入SpringSecurity实现自定义表单认证

于 2024-10-27 19:38:29 发布
阅读量766 收藏 18
点赞数 8
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/asddftt/article/details/143273221
版权

1.加入SpringSecurity依赖

       <dependency>
         <groupId>org.springframework.boot</groupId>
         <artifactId>spring-boot-starter-security</artifactId>
         <version>2.7.8</version>
       </dependency>

加入依赖后security会自动开启认证,访问项目的接口会自动转到/login页面

2.自定义认证

实现UserDetailsService接口

自定义逻辑根据用户名构建UserDetails类,初始化用户密码、权限。

如果用户信息存在数据库中,数据库中要存储加密后的密码,即调用PasswordEncoder.encode加密后存到数据库中,因为用户登录后密码会自动调用PasswordEncoder.matches验证输入密码和数据库中存储的加密后的密码。

 @Service
 public class SpringSecurityUserServiceImpl implements UserDetailsService {
 ​
     @Resource
     private UserFeignClient userFeignClient;
 ​
     @Override
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
         ResponseResult<LoginUser> loginUser = userFeignClient.findByUsername(username);
         if (loginUser == null || loginUser.getData() == null) {
             throw new UsernameNotFoundException("user not found");
         }
 ​
         //TODO 用户权限
         List<GrantedAuthority> grantedAuthorityList = new ArrayList<>();
         GrantedAuthority grantedAuthority = () -> null;
         grantedAuthorityList.add(grantedAuthority);
 ​
         return new User(username,loginUser.getData().getPassword(),grantedAuthorityList);
     }
 ​
 }

实现PasswordEncoder接口

可以自定义PasswordEncoder实现类,也可以用SpringSecurity默认提供的类,如果用默认提供的类注意在配置类中注入该类.

3.配置类配置

配置认证策略

 /**
  * springSecurity全局配置
  * @author zp
  */
 @Configuration
 @EnableWebSecurity
 public class SecurityConfig {
 ​
     @Bean
     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
         http
                 //配置需要认证的接口路径
                 .authorizeHttpRequests(auth -> auth
                         //白名单
                         .antMatchers("/userInfo/findByUsername").permitAll()
                         //其余所有接口都需要认证
                         .anyRequest().authenticated()
                 )
 //                .formLogin( form -> form
 //                        .loginPage("/login") // 自定义登录页面
 //                        .loginProcessingUrl("/login") // 处理登录请求的URL
 //                        .defaultSuccessUrl("/welcome", true) // 登录成功后的默认跳转URL
 //                        .failureUrl("/login?error") // 登录失败后的URL
 //                        .permitAll() // 允许任何人访问登录页面
 //                )
                 .formLogin(withDefaults())
                 .logout(withDefaults())
                 //远程api访问配置,即如果此项开启通过api访问会弹出登录框,不开启会返回登录页面
                 .httpBasic(withDefaults())
                 //对于所有非get方法,默认开启csrf保护,都必须在header中加上csrftoken,就算配置了白名单也没用
                 .csrf(withDefaults())
                 //记住我,生成一个包含用户身份信息的cookie,并在用户浏览器上保存,并且默认使用一个密匙来加密
                 .rememberMe(withDefaults());
         return http.build();
     }
 ​
     @Bean
     public PasswordEncoder passwordEncoder() {
         return new BCryptPasswordEncoder();
     }
 ​
 }
 ​
zp000001.
关注
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2335
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Java面试考核题
weixin_47089371的博客
05-28 678
1.1Java基础 1.集合有哪些?数据结构?初始长度?扩容机制?哪些是线程安全的? hashmap的底层原理? 集合类型主要有3种:set(集)、list(列表)和map(映射)。 1、List(有序、可重复) List里存放的对象是有序的,同时也是可以重复的,List关注的是索引,拥有一系列和索引相关的方法,查询速度快。因为往list集合里插入或删除数据时,会伴随着后面数据的移动,所有插入删除数据速度慢。 2、Set(无序、不能重复) Set里存放的对象是无序,不能重复的,集合中的对象.
security登录流程
weixin_48100716的博客
12-15 1214
用户发起登陆请求AdminController,然后调用我们自己的登录业务实现类AdminServiceImpl的登录方法去处理,调用security框架的核心接口方法authenticate开始认证,他会自动去调用我们实现security框架的UserDetailsService接口的登录认证方法,若是认证成功则向前端返回JWT数据,注:AuthenticationManager(接口认证的核心接口),也是认证的出发点.我们通过security框架认证登录信息,若登陆成功,最终返回的是JWT数据。
接口实践
hxj413977035的博客
12-03 7235
我们知道,做为一个web系统,少不了要调用别的系统接口或者是提供接口供别的系统调用。从接口的使用范围也可以分为对内和对外两种,对内的接口主要限于一些我们内部系统的调用,多是通过内网进行调用,往往不用考虑太复杂的操作。但是,对于对外的接口,我们就不得不重视这个问题,外部接口没有做的操作就直接发布到互联网无疑是 而这不仅有暴露数据的风险,同时还有数据被篡改的分享,严重的甚至是影响到系统的正常运转! 接下来,我将结合实际代码,分享一套接口实践方法。 方案一 appId和secret 接口?那还
Spring Boot整合Spring Security+JWT+OAuth 2.0 实现认证登录(框架介绍)
最新发布
weixin_49999835的博客
08-30 2183
该模式针对客户端而言,对用户是透明的,不需要用户参与,非用户层面授。客户端向授服务器发送自己的的 client_id 和client_secrect 请求 access_token ,用户中心仅校验客户端应用身份。客户端通过授后可以获得授范围内所有用户的信息,对客户端应用需要极高的信任。
设计接口时,为其添加签名---详细教程
阿土不土的博客
01-23 2229
设计接口时,为其添加---详细教程,包含签名概念、签名规则、签名设计、代码等详细信息,适合刚接触该领域开发人员
如何利用自定义注解放行springsecurity项目的接口
weixin_45089791的博客
07-19 2598
如何利用自定义注解放行springsecurity 在实际项目中使用到了springsecurity作为安全框架,我们会遇到需要放行一些接口,使其能匿名访问的业务需求。但是每当需要当需要放行时,都需要在security的配置类中进行修改,感觉非常的不优雅。 例如这样: 所以想通过自定义一个注解,来进行接口匿名访问。在实现需求前,我们先了解一下security的两种方行思路。 第一种就是在 configure(WebSecurity web) 方法中配置放行,像下面这样: @Override pub
栋的月结 | 第一回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
02-01 2352
开篇词 大家好!以下是我在 2020 年 11 日至 31 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 栋的周评 一文搞定 Linux 管理员手册:既简单又深刻 官方授: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《一文搞定 |...
栋的月结 | 第二回合(定期更新、动态、架构、云技术、算法、后端、前端、收听/收看、英文、书籍、影视、好歌、新奇)[含泪总结.. 憋泪分享!]
纽雪澳诺加海美德的博客
03-28 5918
开篇词 大家好!以下是我在 2020 年 2 月 1 日至 29 日的所见、所闻、所学和所悟。 现在,我把它们安利给你们。   定期更新 原创专栏: 一文搞定 Linux 管理员手册:既简单又深刻 官方授: Baeldung Java 周评 符合官方许可: Spring 官方指南   动态 在我的《一文搞定》系列专栏里新增了: 《xxxx》 从我的英...
最新背诵版 Java 面经汇总囊括了基本所有考点(建议收藏)
m0_73256420的博客
09-06 998
集群就是多台机器,是一种线上的部署方案,很多机器加起来,性能就比一台机器强,一般用这种部署方案来解决高并发,高可用,容灾,集群也有不同的叫法,负载均衡集群,高可用集群,扩容集群等。什么是分布式分布式也叫做SOA,是一种设计方案,以前使用所有模块在一个项目中的写法,叫做垂直架构,后来由于互联网的兴起,为了模块间的解耦和扩展性以及部署的灵活性,会将一个项目按照模块进行拆分,一个模块就是一个项目这种设计方案叫做分布式架构,也叫做SOA架构。什么是负载均衡器以及作用?
webapi-security:web API开放接口设计解决方案
07-24
开放接口设计-解决方案 安全设计(防窃取,防篡改,防泄漏) JavaJavaScrip互通验签及加解密(SM3, AES, 3DES) 多版本管理支持 一. 简单验签加密组件 1. 介绍说明 * BASE64 严格地说,属于编码格式,而非加密算法;双向加密(可解密) 使用场景:任意序列的8位字节描述为一种不易被人直接识别的形式如:空格等,转化成任何国际语言都能识别的64个可见字符 * MD5(Message Digest algorithm 5,信息摘要算法),单向加密; 使用场景:用来校验数据在传输过程中是否被修改 * SHA(Secure Hash Algorithm,安全散列算法),单向加密; 使用场景:用来校验数据在传输过程中是否被修改 * HMAC(Hash Message Authentication Code,散列消息别码)单向加密;
Spring Security 接口详解 (三)
给自己一个smile
03-26 1673
目录 一、概述 二、UserDetailsService详解 三、PasswordEncoder 密码解析器详解 Spring Security 学习专栏 1. Spring Security 入门学习(一) 2. Spring Security 自定义认证管理器和讲解 (二) 3. Spring Security 一些接口详解 (三) 4. Spring Security 工作原理 (四) 一、概述 通过前面几篇文章大概了解和学习Spring Security,看原理相关文章确实.
SpringSecurity实现自定义登录认证限验证、
热门推荐
紫眸的博客
04-25 1万+
SpringSecurity实现自定义登录认证限验证、 Demo源码:https://github.com/ygsama/ipa 自定义登录认证实现需要实现三个接口 UserDetails 用户类接口 UserDetailsService 查询用户密码的service 接口 AuthenticationProvider 为认证管理器AuthenticationManager 提供验证 自定义限验证时也需要实现三个接口
Spring Security 入门 Http Basic身份认证方式
SheTing'Blog
04-16 834
在上一篇文章的基础上添加Spring Security配置 @Configuration public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { /** * authenticated 英 [ɔːˈθentɪkeɪtɪd] v 证明…是真实的;证实 * authorize 英 [ˈɔːθəraɪz] vt 批准;授 */ @Override protected
前端如何进行接口
weixin_34419321的博客
01-25 2282
最近调用接口时,遇到了一个问题,就是要进行接口 先上图,了解一下接口的具体流程: 前端获取临时秘钥的流程: app事先预埋一个16位的key,在获取临时秘钥时传给服务端 请求接口,获取加密的临时秘钥 使用eas,进行解密,方法已经写好,只需调用 ,解密之后,将它的格式进行处理,处理为对象格式 将获取的公私钥(对象)存储到本地,注意:本地只能存储字符串,不能存储对象,所以需要转一下 ...
Spring security 开放 Swagger 访问
李昊轩的博客
02-21 1万+
开放这四个目录 搞定 .antMatchers("/swagger-ui.html").permitAll() .antMatchers("/webjars/**").permitAll() .antMatchers("/v2/**").permitAll() .antMatchers("/s...
Spring Security 实战:基于配置的接口角色访问控制
程序猿DD
12-19 1259
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!作者 | 码农小胖哥来源 |公众号「码农小胖哥」1. 前言欢迎阅读Spring Security 实战...
接口
follow your heart
09-09 4921
积分加分API使用签名方法(Signature)对接口进行。每一次调用积分加分接口的请求都需要在请求中包含签名信息,以验证用户身份。 在第一次使用积分系统加分API之前,需要向积分系统申请安全凭证,安全凭证包括SecretId和SecretKey,SecretId是用来标识API调用者的身份,SecretKey是用于加密签名字符串和服务器验证签名字符串的密钥。SecretKey必须严格保管,避...
手把手教你如何使用Spring Security(中):接口认证
技术分享,读书笔记,面试宝典,算法积累,应有尽有~
04-28 3158
在上篇文章我们配置了如何登录,以及登录后获取JWT令牌,但是对于普通的请求依然无法访问,原因是我们并没有去校验令牌认证请求的合法性,这一篇就来说说请求的认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值