fast-security-starter 简单快速集成认证授权

最新推荐文章于 2025-03-11 23:10:07 发布
最新推荐文章于 2025-03-11 23:10:07 发布
阅读量365 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3333243/blog/3049813

fast-security-starter 1.0

目标

基于jwt认证机制,角色匹配url规则,实现认证,鉴权的快速集成

介绍

对于认证,鉴权,shiro与spring-security较为成熟,但是学习成本较高。 所以想做一个可以快速集成spring-security的拓展包,理想化是拿来即用, 因个人功底有限,现只能做到基本的快速使用,对于单服务项目,基于springboot,可以快速集成.

基本流程为:用户登陆,获取一个token,在token生命周期内,访问业务接口, 则需要在header头带上此token

集成指南

1.mvn package 打成jar包导入到自己的项目,或者install到自己的私服仓库 优化一段时间后,会考虑推送到maven仓库

2.基本配置,在application.yml中进行基本配置 参考类:AuthProperties 以下为例

fast:
    auth:
        # 默认所有的接口都需要鉴权,如需配置不需要鉴权的url 则在此以ant风格配置
        antUrl: /o/**, /open/**
        # jwt有效期 单位:天 默认
        expireDays: 5
        # jwt生成的key
        secret: expireDays
        # 登陆地址 默认
        loginUrl: login
        # 登陆方式
        loginMethod: POST
        # 业务请求jwt key值
        jwtHeaderKey: Authorization
        # 业务请求jwt value值前缀
        jwtHeaderValueStart: Bearer

3.登陆 登陆,也就是认证,获取token签名,一般无非两个组成:登陆参数与登陆逻辑 3-1 登陆参数 现今各种系统登陆方式五花八门,比如手机号,用户名密码,邮箱等等。 抽象为接口:ILoginBo,如果你的登陆是username和password,那么可以使用默认实现类:DefaultLoginBo 如果不满足,请实现此接口自定义登陆参数类,例:

@Data
    public class CustomLoginBo implements ILoginBo {
        private String username;
        private String password;
        //验证码
        private String code;
    }

3-2 登陆逻辑 每个系统的登陆逻辑都不一样,请自定义类继承抽象类AbstractLoginAdapter,需要实现两个方法,例:

public class CustomLogin extends AbstractLoginAdapter<CustomLoginBo> {//泛型要指定为登陆类
        //指定登陆参数类的class 因为后面序列化需要用,回头会想想优化可以去掉此方法
        @Override
        public Class<CustomLoginBo> getLoginBoClass() {
            return CustomLoginBo.class;
        }
        /**
         * 登陆逻辑
         * @param loginBo 定义的登陆类
         * @return JwtUser 登陆用户的信息
         * @throws LoginException 登陆异常,请抛出此类,此类的
         */
        @Override
        public JwtUser login(CustomLoginBo loginBo) throws LoginException {
            if (loginBo.getUsername().equals("admin")) {
                //jwtUser类为指定的登陆用户信息类
                JwtUser user = new JwtUser();
                //请将用户信息放入detail 就像将用户信息放到servlet的session中
                user.setDetails(loginBo);
                //设置用户所属的角色标识集合,一般为角色id,如果你的系统有角色,有部门,可以这样 role_角色id, dept_部门id
                user.setRoles(Arrays.asList(new String[]{"roleId"}));
                //登陆成功
                return user;
            } else {
                //验证的地方,使用LoginException异常类,参数DefaultAuthResult 可以替换为你的项目定义的统一的接口返回值类
                throw new LoginException(new DefaultAuthResult(300, "用户名不存在"));
            }
        }
    }

    登陆成功,客户端会收到返回值登陆成功时,data值固定有user和token,details为你的用户model,roles为角色id集合,
    至于最外层的data是固定key,code与msg,可以自定义,下文会有介绍

    {
        "code": 0,
        "data": {
            "user": {
                "details": {
                    "password": "admin",
                    "username": "admin"
                },
                "roles": [
                    "admin"
                ]
            },
            "token": "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJub25lIiwibmJmIjoxNTU3ODYyNTE1LCJpc3MiOiJub25lIiwib3duX3BhcmFtcyI6eyJyb2xlcyI6WyJhZG1pbiJdLCJkZXRhaWxzIjp7InVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6ImFkbWluIn19LCJleHAiOjE1NTgzMjMzMTUsImlhdCI6MTU1Nzg2MjUxNX0.pp7Dn0u2x1e05KagE-7rOK2es9tjR_qqJ-IyVQ4a0Ew"
        },
        "msg": "认证成功"
    }

4.访问业务接口 登陆成功后,如需访问业务接口,请在header中加入 Authorization,值为 Bearer + 上一步的token, 其中Authorization 与 Bearer,可通过配置文件自定义覆盖

5.鉴权 //需自定义类继承AbstractAuthAdapter抽象类

public class CustomAuth extends AbstractAuthAdapter {

    /**
     * 提供url所需权限
     * @param url 请求的url
     */
    @Override
    protected List<String> getRolesByRequestUrl(String url, HttpServletRequest request, HttpServletResponse response) {
        //如无需url鉴权,请直接返回null
        return null;
        //如需鉴权,在此处根据url去数据库或者缓存中,查询到该url所对应的所有角色id集合 roleIdList,并返回
        //框架会根据当前请求的用户角色集合与roleIdList是否有并集,有则通过,访问业务接口,无则返回权限错误
    }
}

6.返回值处理 因为不同的团队,不同系统,接口统一返回值格式各不一样,因此返回值这里也做了自定义扩展。 默认格式为:

{
        "code": 0,
        "msg": "请求成功",
        "data": "业务数据"
    }

如果与你预期的不一致,可以自定义,但是data字段不允许自定义(后面会考虑优化)
可以将你的接口返回值类继承AuthResultAdapet类,加入你的自定义字段,可参考我写的默认实现:

@Data
public class DefaultAuthResult extends AuthResultAdapet {
    private int code;
    private String msg;
    public DefaultAuthResult() {
        super(null);
    }
    public DefaultAuthResult(int code, String msg) {
        super(null);
        this.code = code;
        this.msg = msg;
    }
    @Override
    public AuthResultAdapet loginSuccess() {
        return Contant.loginSuccess;
    }
    @Override
    public AuthResultAdapet loginFail() {
        return Contant.loginFail;
    }
    @Override
    public AuthResultAdapet noToken() {
        return Contant.noToken;
    }
    @Override
    public AuthResultAdapet acessDenied() {
        return Contant.acessDenied;
    }
    //此处为框架本身的几处需要返回值的地方
    public static class Contant {
           public static final DefaultAuthResult loginSuccess = new DefaultAuthResult(0, "登陆成功");
           public static final DefaultAuthResult loginFail = new DefaultAuthResult(103, "登陆失败");
           public static final DefaultAuthResult noToken = new DefaultAuthResult(401, "请登陆");
           public static final DefaultAuthResult acessDenied = new DefaultAuthResult(403, "凭证无效");
       }
}

7.启用,将刚才配置的三个类,加入容器中,即可启动测试:

@Configuration public class SecurityConfig extends WebSecurityConfig { @Bean public ILogin login() { return new CustomLogin(); } @Bean public IAuth auth() { return new CustomAuth(); } @Bean public AuthResultAdapet authResult(){ return new DefaultAuthResult(); } }

以上为基本使用,项目中有demo,后面会进行优化,如有疑问,不足的地方,希望随时指出,共同进步。

作者

luci yuyanan 邮箱:575873200@qq.com git:https://gitee.com/luci-fast/luci-fast-security

转载于:https://my.oschina.net/u/3333243/blog/3049813

chenmiwei1262
关注
FastDDS(9)Security安全性
pony12的专栏
12-25 1077
DDS安全规范包括五个安全内置插件。Authentication plugin身份验证插件、Access Control plugin访问控制插件、Cryptographic plugin加密插件、Logging plugin日志记录插件、Data Tagging数据标记
Fast DDS Security--认证
Nemo的博客
03-10 327
Fast DDS Security--认证过程
微服务常用组件封装项目过程详细介绍总述(七)---基于springboot的自定义security starter组件开发
weixin_47407416的博客
12-16 899
对spring-security-oauth2进行springboot starter组件封,同时集成spring-security-oauth2,justauth-spring-boot-starter,,对spring-security进行简单扩充,自定义处理各种handle,但不涉及具体的认证,具体认证后续会有一个认证服务专门去处理认证跟三方登录问题
快速开发平台 fast_security_admin(一):SpringBoot+Mybatis-Plus+反射 通用开发接口
weixin_45855671的博客
05-08 452
快速开发平台 fast_security_admin(一):SpringBoot+Mybatis-Plus+反射 通用开发接口 fast_security_admin在gitee地址 需求提出 之前使用mybatis每个实体类都要写getAll()、getById()、update()、save()、remove(),有大量重复代码,那么用了mybatis-plus好一些不用写重复的sql了,但是还要写重复的service、controller以及前端页面。 解决方案(思路) 第一步就是写通用接口,也就是本
Fast and Secure Gateway to Internet Freedom
11-19
Fast and Secure Gateway to Internet Freedom
ngx-security-starter:heloufirsecurity-starter的完整实现,带有Angular 7+前端实现,带有laravel 5.8。*服务器
02-04
由于时间限制,很遗憾,该存储库不再维护。 ngx-security-starter 带有Angular 7+前端实现的heloufir / security-starter的完整实现 安装 首先,通过执行以下命令将此存储库克隆到本地: git clone https://github.com/heloufir/ngx-security-starter.git 组态 将存储库克隆到本地后,您需要按照以下步骤使其可以使用: 1.安装后端依赖项 cd ~\RepositoryPath cd back-end composer install 2.配置项目环境 在后端根路径中创建.
快速开发平台 fast_security_admin(三):登录验证与动态权限管理
weixin_45855671的博客
06-02 316
快速开发平台 fast_security_admin(三):登录验证与动态权限管理 前言 原本是计划5.25完成,中间因为学习遇到了困境加上去做了一个微信小程序,这个项目就搁置到现在了,当然现在是确实有了重大突破,但是很惭愧这些突破只能算是学习的突破不能算是我自己的成果。 几乎完全是参考的 mall项目 的权限管理部分,可以说mall的权限管理部分非常好,讲解与非常细。 mall的动态权限管理 mall-learning 这篇博客介绍一下遇到的问题,以及思路。 库表设计 现在是完全更新了数据库。详情访问下面
FastDDS安全机制1 - 安全配置
w5678912345的专栏
05-17 992
这里的ecparam参数主要是生成对应的ecdsaparam的参数,指定对应的算法名称,方便后续openssl生成密钥时自动查找算法。通过配置文件,定义了证书的一些基本信息,因此通过配置文件,调用openssl生成对应的ecdsa密钥对。我们都知道,通信过程中,主要存在着如上图的对应安全风险,例如:未授权访问,通信信道窃听,重放攻击等等。我们知道,其实身份认证主要做了两件事,一件是标识不同的身份,第二件就是保证身份是可信的。而这些安全问题,目前业界普遍的解法就是对应的身份认证,访问控制和通信加密机制。
Fast DDS Security--秘钥交换
Nemo的博客
03-10 349
Fast DDS Security--秘钥交换
common-starter:工具类,通用模块,权限认证
02-07
通用模块 组织结构 common-starter ├── sql -- 静态资源:sql脚本 ├── common-center -- 工具类及通用代码 ├── auth-center -- 权限中心 ├── resource-center -- 资源服务中心 资源服务例子 一流技术 技术 说明 官网 弹簧靴 容器+ MVC框架 SpringSecurity 认证授权框架 MyBatis ORM框架 MyBatis发电机 数据层代码生成 页面助手 MyBatis物理分页插件 Swagger-UI 文档生产工具 Hibernate验证程序 验证框架 德鲁伊 数据库连接池 智威汤逊 JWT登录支持 Lombok 简化对象封装工具 开发工具 工具 说明 官网 理念 开发IDE 纳维卡特 数据库连接工具 邮差 API接口调试工具 开发环境 工具 版本号 下载 JDK 1
Fast-Auth:简单快速PHP身份验证(MySQL数据库)
04-08
快速验证 简单快速PHP身份验证(MySQL数据库)
spring-cloud-starter-oauth2自定义授权模式
VariousLegendary的博客
04-20 714
如何使用SpringCloudOauth2自定义认证模式,本文将以自定义短信验证码登陆进行讲述
推荐开源项目:SpringBoot Security Starter
gitblog_00066的博客
04-24 270
推荐开源项目:SpringBoot Security Starter 在软件开发中,安全始终是核心关注点之一,尤其是在Web应用领域。 是一个专为Spring Boot应用程序设计的安全基础框架,它简化了集成和配置Spring Security的过程,使开发者可以更快速、更容易地构建安全的Web服务。 项目简介 SpringBoot Security Starter 提供了一套预配置的规则和组件,...
Fast DDS Security 默认加密算法AES--GCM介绍
最新发布
Nemo的博客
03-11 341
Fast DDS Security AES-GCM介绍
Spring Boot 是一个基于 Spring 框架的开源项目,旨在简化 Spring 应用的开发
BLOG域名:programb.blog.youkuaiyun.com
06-22 334
Spring Boot 是一个基于 Spring 框架的开源项目,旨在简化 Spring 应用的开发。它通过自动配置、嵌入式 Web 服务器、约定优于配置等特性,极大地减少了开发人员的工作量和配置复杂性。以下是 Spring Boot 如何简化 Spring 应用开发的几个主要方面:自动配置:Spring Boot 会根据项目中的依赖库自动配置 Spring 应用。例如,如果你在项目中引入了 Spring Data JPA 依赖,Spring Boot 会自动配置数据源和 JPA 实体管理器,而无需手动编写
fastapi依赖与权限管理
chise_
04-17 8585
文章目录概述依赖的高级用法权限架构示例结尾 概述 fastapi对权限的控制,目前来看有两种,一种是全局权限控制,通过中间件。另一种是通过依赖实现精准权限控制。 个人感觉依赖控制权限有更好的使用环境。 这里以权限控制为例。 依赖的高级用法 官方介绍的依赖的高级用法是通过类的__call__实现传递参数的高级用法,举个例子: class PermissionChecker: """ ...
FastLeader选举算法
ZkvIA的博客
10-06 1463
zookeeper的FastLeader选举算法已经有很多文章介绍的很详细了,这里列一下链接: 深入浅出Zookeeper之五 Leader选举 zookeeper3.3.3源码分析(二)FastLeader选举算法 图解zookeeper FastLeader选举算法
FastAPI Security系列之token认证(进阶篇)
Disany的博客
10-29 8621
我们基于FastAPI Security系列之生成token(基础篇)往下深入,上篇说到如何生成token;本篇主要讲述,用户获取token前,要事先完成用户登录验证,如果验证通过则返回token令牌;并在拿到令牌后,在token有效期内,来愉快的访问其他ap接口数据吧! 完整代码详解 # -*- coding: UTF-8 -*- from datetime import datetime, timedelta import jwt from fastapi import Depends, FastAPI
Fast DDS 介绍与使用
热门推荐
拖拉机日记
01-31 3万+
​在上一篇中,我们介绍了DDS,eProsima的Fast DDS是DDS规范的C++实现,Fast DDS的前称是Fast RTPS,目前ROS2将Fast DDS作为默认的DDS中间件实现。Fast DDS主要包括以下内容: DDS API DDS采用的通信模型是一种多对多单向数据交换,其中产生数据的应用程序将数据发布到属于使用数据的应用程序的订阅者的本地缓存。信息流由负责数据交换的实体之间建立的服务质量(QoS)策略来控制。 作为一个以数据为中心的模型,DDS建立在所有感兴趣的应用程序都可以访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值