Spring Security登录认证【前后端分离】

最新推荐文章于 2025-11-07 09:00:00 发布
原创 最新推荐文章于 2025-11-07 09:00:00 发布 · 4.8k 阅读 · 33 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

这篇博客详细介绍了如何在前后端分离的项目中配置Spring Security进行登录认证。从导入依赖、编写UserDetailsServiceImpl、配置SecurityConfig,到实现JSON格式的登录请求支持,包括登录成功、失败的回调处理,以及访问拦截的设置。通过这种方式,后端能够返回JSON信息给前端,由前端负责页面的跳转。

1. 导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-test</artifactId>
    <scope>test</scope>
</dependency>

2. 编写用户认证服务类UserDetailsServiceImpl

用户认证服务类需要复写UserDetailsService中的UserDetails -> loadUserByUsername(String username)方法

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
   
   
    private final MageService service; // 用户信息CRUD服务类

    public UserDetailsServiceImpl(MageService service) {
   
   
        this.service = service;
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
   
        Mage usr = service.findByName(username); // 根据username查询用户
        if (usr != null) {
   
   
            return new User(usr.getMageName(), usr.getMagePassword(), AuthorityUtils.NO_AUTHORITIES);
        } else {
   
   
            throw new UsernameNotFoundException("当前用户不存在!");
        }
    }
}

loadUserByUsername(String username) 方法返回的类型是UserDetails,创建UserDetails类需要传3个参数

分别是username,password,Collection<? extends GrantedAuthority> authorities

authorities是用来设置用户权限访问的,这个参数即使表中没有也不能不传,如果需求不需要设置权限,可以传AuthorityUtils.NO_AUTHORITIES,表示没权限设置

3. 编写Spring Security配置类SecurityConfig

1. Spring Security的配置类需要继承WebSecurityConfigurerAdapter

@Configuration // 声明配置类
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
   
}

2. 设置安全认证的加密方式,早期的Spring Security不是强制性的

/**
* 设置加密方式
*/
@Bean
PasswordEncoder passwordEncoder() {
   
   
    return new BCryptPasswordEncoder();
}

3. 用户认证方式

/**
* 用户认证
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
   
    auth.userDetailsService(userDetailsService);
}

4. 安全认证的拦截和回调

前后端不分离,安全认证要做的事是拦截请求,根据配置的情况,跳转到指定页面

前后端分离,安全认证要做的事是拦截请求,根据配置的情况,返回json格式的提示信息给前端,让前端做跳转,后端就不再需要写跳转的代码了

1. 登录成功后

前后端不分离,使用.successForwardUrl() 或者.defaultSuccessUrl() 实现登录成功后的页面跳转

前后端分离,使用.successHandler()实现登录成功后向前端发送json格式的回馈信息

.formLogin()
    .loginProcessingUrl("/doLogin")
    .permitAll()
    .successHandler(new AuthenticationSuccessHandler() {
   
   
        @Override
        public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException
最低0.47元/天 解锁文章
使用JWT的SpringSecurity实现前后端分离
qq_59099003的博客
07-30 1366
JWT,前后端分离SpringSecurity
SpringSecurity——前后端分离登录认证
gege_0606的博客
03-21 1338
Spring Security 中,退出操作(logout)的设计逻辑与登录有所不同。登录过程涉及用户凭证验证、状态检查和密码匹配等环节,这些都有可能失败,所以需要提供失败处理器(如登录失败处理器)。前后端分离:Nginx 【Vue】 <----jwt----> Tomcat 【 (controller、sucurity) 】三个里面有任何一个不同,都是跨域,跨域是浏览器不允许的,浏览器是为了安全,不允许你跨域访问。从数据库中加载用户信息,返回一个包含用户状态和权限信息的。service实现类。
深入理解 Spring Boot 中的权限控制:Spring Security 集成与最佳实践
最新发布
刘一说的IT专栏
11-07 1070
摘要 Spring SecuritySpring Boot应用提供全面的安全防护。本文系统讲解其核心架构与实战应用,包括: 认证授权机制:表单登录、角色权限控制、密码加密策略(BCrypt) 安全配置:基于Lambda DSL的细粒度URL访问控制 高级特性:方法级安全注解(@PreAuthorize)、JWT无状态认证集成 防护措施:CSRF/XSS防护、安全头配置 通过清晰的代码示例(如自定义UserDetailsService、PasswordEncoder)展示企业级安全实践,帮助开发者构建健壮的
基于SpringSecurity登录详解(前后端分离
qq_45784240的博客
08-06 4977
前后端分离登录:JWT单点登录
SpringSecurity前后端分离自定义登录处理
z318913的博客
07-12 3872
SpringSecurity前端后分离自定义登录处理
SpringSecurity前后端分离登录认证
风间琉璃の博客
06-06 5618
SpringBoot使用的是2.7.0版本 依赖: 创建一个: 访问测试:可以看到可以访问成功 重启项目之后发现接口无法再次进行访问,取而代之的是Security登录页。 此时的默认用户名是,密码会在控制台输出。核心过滤器: 1.2案例认证流程: 登录流程: 校验过程: 引入redis:如果认证之后害需要通过JWT中的对数据库进行查询,消耗太大,可以存储入到redis中。 实体类: 引入数据库相关依赖: 配置mapper 添加注解扫描 构建登录接口:实现中的类,自己实现登录逻辑 封装登
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 11万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
SpringSecurity+JWT前后端分离架构登录认证
01-20
前后端分离的场景下,Spring Security 可以作为后端的身份验证服务,处理用户的登录请求,确保只有合法的用户能够访问受保护的资源。 **JWT** JWT 是一种轻量级的身份验证标准,用于在网络应用环境中安全地传输...
精选资源
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j...
精选资源
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
配置SpringSecurity前台后台登录处理
weixin_34233856的博客
03-15 392
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity实现前后端分离登录授权详解
qq_43649937的博客
06-14 5192
SpringSecurity java Springboot
前后端分离项目springsecurity实现用户登录认证快速使用
m0_71751187的博客
03-20 2615
ps:该文章适合未系统学习springsecurity快速使用,可以直接cv使用,只有部分源码讲解,个人觉得先会用了再深究原理。
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 1421
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
SpringSecurity实现前后端分离认证授权
startqbb的博客
04-15 1943
SpringBoot整合SpringSecurity实现前后端分离认证授权
spring security 登录认证、鉴权(前后端分离
m0_52273579的博客
03-28 1334
在这个方法里,从请求头中取出token令牌,如果token为空或者token校验失败,则向前端返回身份认证失败的响应码,表示认证失败。回到登录过滤器(LoginFilter)中,登录成功则调用successfulAuthentication方法,在这个方法中取出用户服务的loadUserByUsername方法传过来的安全对象(SecurityUser),使用其中的用户Id和用户名生成token令牌,然后把token作为键,把用户的角色和权限信息作为值,保存到上下文或redis数据库中。
SpringBoot-06-Security(前后端分离)
m0_74353020的博客
06-03 2036
当然我们每次都会先走一下我们的自己定义的过滤器,我们当时写的是如果都身份令牌没有问题,并且能在redis中查询到,就存放到Security上下文当中,但是我们只是存放了用户名密码,并没有存放身份,这里我们存放一下我们的身份信息//我们的token是存放在请求头中的if(!StringUtils.hasText(token)){//请求头没有就放行return;//解析tokentry{throw new RuntimeException("token非法");//从redis中获取。
Spring Security 前后端分离
Markix的博客
11-14 3935
前后端分离指的就是前后端分离部署,前端 调用后端API,后端 返回 JSON格式数据,页面是由前端渲染并展示到浏览器中。Spring Security 涉及到的扩展点: 登录成功处理:AuthenticationSuccessHandler 登录失败处理:AuthenticationFailureHandler 登出成功处理:LogoutSuccessHandler 未登录处理:AuthenticationEntryPoint 鉴权失败处理:AccessDeniedHandler
SpringSecurity(前后端分离)
m0_70819033的博客
01-29 1474
​是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户​授权:经过认证后判断当前用户是否有权限进行某个操作​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。
springsecurity实现登录前后端分离
12-29
### 使用 Spring Security 实现前后端分离架构下的登录功能 为了实现前后端分离架构中的安全机制,Spring Security 提供了强大的工具集来管理认证和授权。在前后端分离的应用程序中,前端通常是一个独立的单页应用 (SPA),而后端提供 RESTful API 接口。 #### 配置依赖项 首先,在 `pom.xml` 文件中引入必要的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfigure</artifactId> <version>2.0.0.RELEASE</version> </dependency> ``` #### 创建配置类 创建一个 Java 类用于配置 Spring Security 行为: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/login", "/api/register").permitAll() // 允许所有人访问注册和登录接口 .anyRequest().authenticated(); // 其他请求都需要身份验证 http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); // 不创建会话 http.addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` 此配置禁用了 CSRF 攻击防护[^1],因为大多数情况下 SPA 应用不需要它;设置了一些路径无需鉴权即可访问,并指定了其他所有请求都需经过身份验证。还设置了无状态模式,即服务器不会保存用户的 session 信息。 #### 自定义 JWT 认证过滤器 编写自定义的身份验证过滤器以解析来自 HTTP 请求头中的 JSON Web Token(JWT): ```java public class JwtAuthenticationFilter extends OncePerRequestFilter { private final String HEADER = "Authorization"; @Autowired private UserService userService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { try { String token = extractTokenFromHeader(request); if (!StringUtils.isEmpty(token)) { Claims claims = Jwts.parserBuilder() .setSigningKey("secret".getBytes()) .build() .parseClaimsJws(token).getBody(); UserDetails userDetails = new User(claims.getSubject(), "", Arrays.asList()); Authentication auth = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); SecurityContextHolder.getContext().setAuthentication(auth); } } catch (Exception e){ logger.error(e.getMessage()); } chain.doFilter(request,response); } private String extractTokenFromHeader(HttpServletRequest request) { String headerAuth = request.getHeader(HEADER); if(StringUtils.hasText(headerAuth) && headerAuth.startsWith("Bearer ")) { return headerAuth.substring(7); } return null; } } ``` 这段代码实现了从 HTTP 头部读取 Bearer Token 并对其进行解码的过程。如果成功,则将用户详情加载到上下文中以便后续操作使用[^3]。 #### 用户服务层 还需要有一个简单的用户信息服务用来获取用户数据: ```java @Service public interface UserService extends UserDetailsService { } @Service class CustomUserServiceImpl implements UserService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 查询数据库或其他存储介质获得对应用户名的信息... return new User(username,"password",{}); } } ``` 通过这种方式就可以完成基本的基于JWT的身份验证流程。当客户端发送带有有效令牌的请求时,该应用程序能够识别并授予适当级别的访问权限给调用方。
评论 5
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值