fast-security-starter 简单快速集成认证授权

最新推荐文章于 2025-06-03 12:30:09 发布
转载 最新推荐文章于 2025-06-03 12:30:09 发布 · 381 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3333243/blog/3049813

fast-security-starter 1.0

目标

基于jwt认证机制,角色匹配url规则,实现认证,鉴权的快速集成

介绍

对于认证,鉴权,shiro与spring-security较为成熟,但是学习成本较高。 所以想做一个可以快速集成spring-security的拓展包,理想化是拿来即用, 因个人功底有限,现只能做到基本的快速使用,对于单服务项目,基于springboot,可以快速集成.

基本流程为:用户登陆,获取一个token,在token生命周期内,访问业务接口, 则需要在header头带上此token

集成指南

1.mvn package 打成jar包导入到自己的项目,或者install到自己的私服仓库 优化一段时间后,会考虑推送到maven仓库

2.基本配置,在application.yml中进行基本配置 参考类:AuthProperties 以下为例

fast:
    auth:
        # 默认所有的接口都需要鉴权,如需配置不需要鉴权的url 则在此以ant风格配置
        antUrl: /o/**, /open/**
        # jwt有效期 单位:天 默认
        expireDays: 5
        # jwt生成的key
        secret: expireDays
        # 登陆地址 默认
        loginUrl: login
        # 登陆方式
        loginMethod: POST
        # 业务请求jwt key值
        jwtHeaderKey: Authorization
        # 业务请求jwt value值前缀
        jwtHeaderValueStart: Bearer

3.登陆 登陆,也就是认证,获取token签名,一般无非两个组成:登陆参数与登陆逻辑 3-1 登陆参数 现今各种系统登陆方式五花八门,比如手机号,用户名密码,邮箱等等。 抽象为接口:ILoginBo,如果你的登陆是username和password,那么可以使用默认实现类:DefaultLoginBo 如果不满足,请实现此接口自定义登陆参数类,例:

@Data
    public class CustomLoginBo implements ILoginBo {
        private String username;
        private String password;
        //验证码
        private String code;
    }

3-2 登陆逻辑 每个系统的登陆逻辑都不一样,请自定义类继承抽象类AbstractLoginAdapter,需要实现两个方法,例:

public class CustomLogin extends AbstractLoginAdapter<CustomLoginBo> {//泛型要指定为登陆类
        //指定登陆参数类的class 因为后面序列化需要用,回头会想想优化可以去掉此方法
        @Override
        public Class<CustomLoginBo> getLoginBoClass() {
            return CustomLoginBo.class;
        }
        /**
         * 登陆逻辑
         * @param loginBo 定义的登陆类
         * @return JwtUser 登陆用户的信息
         * @throws LoginException 登陆异常,请抛出此类,此类的
         */
        @Override
        public JwtUser login(CustomLoginBo loginBo) throws LoginException {
            if (loginBo.getUsername().equals("admin")) {
                //jwtUser类为指定的登陆用户信息类
                JwtUser user = new JwtUser();
                //请将用户信息放入detail 就像将用户信息放到servlet的session中
                user.setDetails(loginBo);
                //设置用户所属的角色标识集合,一般为角色id,如果你的系统有角色,有部门,可以这样 role_角色id, dept_部门id
                user.setRoles(Arrays.asList(new String[]{"roleId"}));
                //登陆成功
                return user;
            } else {
                //验证的地方,使用LoginException异常类,参数DefaultAuthResult 可以替换为你的项目定义的统一的接口返回值类
                throw new LoginException(new DefaultAuthResult(300, "用户名不存在"));
            }
        }
    }

    登陆成功,客户端会收到返回值登陆成功时,data值固定有user和token,details为你的用户model,roles为角色id集合,
    至于最外层的data是固定key,code与msg,可以自定义,下文会有介绍

    {
        "code": 0,
        "data": {
            "user": {
                "details": {
                    "password": "admin",
                    "username": "admin"
                },
                "roles": [
                    "admin"
                ]
            },
            "token": "eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJub25lIiwibmJmIjoxNTU3ODYyNTE1LCJpc3MiOiJub25lIiwib3duX3BhcmFtcyI6eyJyb2xlcyI6WyJhZG1pbiJdLCJkZXRhaWxzIjp7InVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6ImFkbWluIn19LCJleHAiOjE1NTgzMjMzMTUsImlhdCI6MTU1Nzg2MjUxNX0.pp7Dn0u2x1e05KagE-7rOK2es9tjR_qqJ-IyVQ4a0Ew"
        },
        "msg": "认证成功"
    }

4.访问业务接口 登陆成功后,如需访问业务接口,请在header中加入 Authorization,值为 Bearer + 上一步的token, 其中Authorization 与 Bearer,可通过配置文件自定义覆盖

5.鉴权 //需自定义类继承AbstractAuthAdapter抽象类

public class CustomAuth extends AbstractAuthAdapter {

    /**
     * 提供url所需权限
     * @param url 请求的url
     */
    @Override
    protected List<String> getRolesByRequestUrl(String url, HttpServletRequest request, HttpServletResponse response) {
        //如无需url鉴权,请直接返回null
        return null;
        //如需鉴权,在此处根据url去数据库或者缓存中,查询到该url所对应的所有角色id集合 roleIdList,并返回
        //框架会根据当前请求的用户角色集合与roleIdList是否有并集,有则通过,访问业务接口,无则返回权限错误
    }
}

6.返回值处理 因为不同的团队,不同系统,接口统一返回值格式各不一样,因此返回值这里也做了自定义扩展。 默认格式为:

{
        "code": 0,
        "msg": "请求成功",
        "data": "业务数据"
    }

如果与你预期的不一致,可以自定义,但是data字段不允许自定义(后面会考虑优化)
可以将你的接口返回值类继承AuthResultAdapet类,加入你的自定义字段,可参考我写的默认实现:

@Data
public class DefaultAuthResult extends AuthResultAdapet {
    private int code;
    private String msg;
    public DefaultAuthResult() {
        super(null);
    }
    public DefaultAuthResult(int code, String msg) {
        super(null);
        this.code = code;
        this.msg = msg;
    }
    @Override
    public AuthResultAdapet loginSuccess() {
        return Contant.loginSuccess;
    }
    @Override
    public AuthResultAdapet loginFail() {
        return Contant.loginFail;
    }
    @Override
    public AuthResultAdapet noToken() {
        return Contant.noToken;
    }
    @Override
    public AuthResultAdapet acessDenied() {
        return Contant.acessDenied;
    }
    //此处为框架本身的几处需要返回值的地方
    public static class Contant {
           public static final DefaultAuthResult loginSuccess = new DefaultAuthResult(0, "登陆成功");
           public static final DefaultAuthResult loginFail = new DefaultAuthResult(103, "登陆失败");
           public static final DefaultAuthResult noToken = new DefaultAuthResult(401, "请登陆");
           public static final DefaultAuthResult acessDenied = new DefaultAuthResult(403, "凭证无效");
       }
}

7.启用,将刚才配置的三个类,加入容器中,即可启动测试:

@Configuration public class SecurityConfig extends WebSecurityConfig { @Bean public ILogin login() { return new CustomLogin(); } @Bean public IAuth auth() { return new CustomAuth(); } @Bean public AuthResultAdapet authResult(){ return new DefaultAuthResult(); } }

以上为基本使用,项目中有demo,后面会进行优化,如有疑问,不足的地方,希望随时指出,共同进步。

作者

luci yuyanan 邮箱:575873200@qq.com git:https://gitee.com/luci-fast/luci-fast-security

转载于:https://my.oschina.net/u/3333243/blog/3049813

chenmiwei1262
关注
后端 Gateway 与 OAuth2.0 的认证集成
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-25 793
在现代微服务架构中,API Gateway作为系统的统一入口,承担着路由转发、负载均衡、安全控制等重要职责。而OAuth2.0已成为业界标准的授权框架,为分布式系统提供安全的认证授权机制。阐明Gateway与OAuth2.0集成的核心原理提供可落地的技术实施方案分析集成过程中的关键决策点分享性能优化和安全加固的实践经验本文讨论范围涵盖从协议原理到代码实现的全链路知识,但不会深入讲解OAuth2.0协议本身的每个细节。首先介绍核心概念和协议原理然后深入算法和数学模型。
FastDDS(9)Security安全性
pony12的专栏
12-25 1198
DDS安全规范包括五个安全内置插件。Authentication plugin身份验证插件、Access Control plugin访问控制插件、Cryptographic plugin加密插件、Logging plugin日志记录插件、Data Tagging数据标记
微服务常用组件封装项目过程详细介绍总述(七)---基于springboot的自定义security starter组件开发
weixin_47407416的博客
12-16 933
对spring-security-oauth2进行springboot starter组件封,同时集成spring-security-oauth2,justauth-spring-boot-starter,,对spring-security进行简单扩充,自定义处理各种handle,但不涉及具体的认证,具体认证后续会有一个认证服务专门去处理认证跟三方登录问题
Fast and Secure Gateway to Internet Freedom
11-19
Fast and Secure Gateway to Internet Freedom
ngx-security-starter:heloufirsecurity-starter的完整实现,带有Angular 7+前端实现,带有laravel 5.8。*服务器
02-04
由于时间限制,很遗憾,该存储库不再维护。 ngx-security-starter 带有Angular 7+前端实现的heloufir / security-starter的完整实现 安装 首先,通过执行以下命令将此存储库克隆到本地: git clone https://github.com/heloufir/ngx-security-starter.git 组态 将存储库克隆到本地后,您需要按照以下步骤使其可以使用: 1.安装后端依赖项 cd ~\RepositoryPath cd back-end composer install 2.配置项目环境 在后端根路径中创建.
快速开发平台 fast_security_admin(一):SpringBoot+Mybatis-Plus+反射 通用开发接口
weixin_45855671的博客
05-08 476
快速开发平台 fast_security_admin(一):SpringBoot+Mybatis-Plus+反射 通用开发接口 fast_security_admin在gitee地址 需求提出 之前使用mybatis每个实体类都要写getAll()、getById()、update()、save()、remove(),有大量重复代码,那么用了mybatis-plus好一些不用写重复的sql了,但是还要写重复的service、controller以及前端页面。 解决方案(思路) 第一步就是写通用接口,也就是本
快速开发平台 fast_security_admin(三):登录验证与动态权限管理
weixin_45855671的博客
06-02 350
快速开发平台 fast_security_admin(三):登录验证与动态权限管理 前言 原本是计划5.25完成,中间因为学习遇到了困境加上去做了一个微信小程序,这个项目就搁置到现在了,当然现在是确实有了重大突破,但是很惭愧这些突破只能算是学习的突破不能算是我自己的成果。 几乎完全是参考的 mall项目 的权限管理部分,可以说mall的权限管理部分非常好,讲解与非常细。 mall的动态权限管理 mall-learning 这篇博客介绍一下遇到的问题,以及思路。 库表设计 现在是完全更新了数据库。详情访问下面
深入探索Fast-Spring-Boot源码结构与开发流程
Spring Boot可以和Spring Security集成,为应用提供安全特性,例如认证授权和CSRF防护。 #### 3. 测试 Spring Boot提供了丰富的测试支持,包括单元测试、集成测试和Web测试。 ### 实际应用示例 #### 1. Web应用...
25、使用FastAPI构建高效微服务应用
最新发布
i3j4k5的博客
06-03 473
本文详细介绍了如何使用FastAPI构建高效、安全且可扩展的微服务应用,涵盖从环境搭建到实际部署的各个方面。内容包括FastAPI的基础配置、REST API设计、数据库连接、异步处理、安全性与认证、日志与监控、高级功能优化以及部署运维等。通过本文,读者可以全面了解FastAPI在现代微服务架构中的应用及其优势。
19、使用FastAPI构建高效微服务应用
i3j4k5的博客
05-28 218
本文详细介绍了如何使用FastAPI构建高效、可扩展且安全的微服务应用,涵盖了从基础设置到高级特性的各个方面,包括微服务架构设计、数据库集成、安全性配置以及异步处理等内容。
Java21 + SpringBoot3整合springdoc-openapi,自动生成在线接口文档,支持SpringSecurity和JWT认证方式
zzcoder的博客
01-31 4216
近日心血来潮想做一个开源项目,目标是做一款可以适配多端、功能完备的模板工程,包含后台管理系统和前台系统,开发者基于此项目进行裁剪和扩展来完成自己的功能开发。本项目为前后端分离开发,后端基于Java21和开发,后端使用JWT等技术栈,前端提供了vueangularreactuniapp微信小程序等多种脚手架工程。本文主要介绍在项目中如何整合实现自动生成在线接口文档,JDK版本是Java21。OpenAPI 规范(OAS),是定义一个标准的、与具体编程语言无关的RESTful API的规范。
common-starter:工具类,通用模块,权限认证
02-07
通用模块 组织结构 common-starter ├── sql -- 静态资源:sql脚本 ├── common-center -- 工具类及通用代码 ├── auth-center -- 权限中心 ├── resource-center -- 资源服务中心 资源服务例子 一流技术 技术 说明 官网 弹簧靴 容器+ MVC框架 SpringSecurity 认证授权框架 MyBatis ORM框架 MyBatis发电机 数据层代码生成 页面助手 MyBatis物理分页插件 Swagger-UI 文档生产工具 Hibernate验证程序 验证框架 德鲁伊 数据库连接池 智威汤逊 JWT登录支持 Lombok 简化对象封装工具 开发工具 工具 说明 官网 理念 开发IDE 纳维卡特 数据库连接工具 邮差 API接口调试工具 开发环境 工具 版本号 下载 JDK 1
Fast-Auth:简单快速PHP身份验证(MySQL数据库)
04-08
快速验证 简单快速PHP身份验证(MySQL数据库)
Fast DDS Security--认证
Nemo的博客
03-10 433
Fast DDS Security--认证过程
FastDDS安全机制1 - 安全配置
w5678912345的专栏
05-17 1103
这里的ecparam参数主要是生成对应的ecdsaparam的参数,指定对应的算法名称,方便后续openssl生成密钥时自动查找算法。通过配置文件,定义了证书的一些基本信息,因此通过配置文件,调用openssl生成对应的ecdsa密钥对。我们都知道,通信过程中,主要存在着如上图的对应安全风险,例如:未授权访问,通信信道窃听,重放攻击等等。我们知道,其实身份认证主要做了两件事,一件是标识不同的身份,第二件就是保证身份是可信的。而这些安全问题,目前业界普遍的解法就是对应的身份认证,访问控制和通信加密机制。
Fast DDS Security--秘钥交换
Nemo的博客
03-10 409
Fast DDS Security--秘钥交换
spring-cloud-starter-oauth2自定义授权模式
VariousLegendary的博客
04-20 751
如何使用SpringCloudOauth2自定义认证模式,本文将以自定义短信验证码登陆进行讲述
推荐开源项目:SpringBoot Security Starter
gitblog_00066的博客
04-24 286
推荐开源项目:SpringBoot Security Starter 在软件开发中,安全始终是核心关注点之一,尤其是在Web应用领域。 是一个专为Spring Boot应用程序设计的安全基础框架,它简化了集成和配置Spring Security的过程,使开发者可以更快速、更容易地构建安全的Web服务。 项目简介 SpringBoot Security Starter 提供了一套预配置的规则和组件,...
Fast DDS Security 默认加密算法AES--GCM介绍
Nemo的博客
03-11 465
Fast DDS Security AES-GCM介绍
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值