springboot2.x+springsecurity实现权限管理并且获取异常信息显示给前端(不同风格的超详细讲解)

已于 2022-12-02 17:18:06 修改
阅读量1.1k 收藏 6
点赞数 2
分类专栏: springsecurity springboot2.x 文章标签: java 开发语言 后端
于 2021-11-07 18:12:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/guojunhong1/article/details/121193776
版权

本文为原创文章,风格与你们见的不一样,那是因为,我喜欢将原理和注意事项写到代码的旁边,而不是你们所见的在引用中稍微讲解下就开始看代码,这样很容易迷糊和犯困,而且这样你们才能将代码和原理一一对应起来。此外创作不易,请多多支持和关注。

<!--pom.xml所需要的jar包-->
<!--security安全框架-->
<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
</dependency>

首先需要继承安全适配器即WebSecurityConfigurerAdapter的类,并且将实现的各种类统一注入到该类中**(实现的功能注意注释)**

@Slf4j
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(
        jsr250Enabled = true, //JSR-250注解
        prePostEnabled = true, //spring表达式注解
        securedEnabled = true //SpringSecurity注解,推荐使用
)//开启注解控制权限
public class AdminWebConfig extends WebSecurityConfigurerAdapter {
    private ObjectMapper objectMapper = new ObjectMapper();
    @Resource  //(该类的作用下面会讲)
    UserDetailsService service;
    @Resource
    private PasswordEncoder passwordEncoder;
    @Bean
    public PasswordEncoder passwordEncoder(){
        // 使用BCrypt加密密码(根据业务要求,使用该方法)
        return new BCryptPasswordEncoder();
    }
    //防止无法被 Spring 容器感知到,进而导致当用户注销登录之后导致用户无法重新登录进来
    @Bean
    HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

  //静态资源设置
    @Override
    public void configure(WebSecurity webSecurity) {
        //不拦截静态资源,所有用户均可访问的资源
        webSecurity.ignoring().antMatchers("/css/**","/img/**","/js/**","/expression/**,/face/**");
    }
    //HTTP请求安全处理(拦截请求)
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //链式编程
        http.authorizeRequests()
        //为了防止你们弄混登录页面的url和执行登录过程的url,我特意区分开来的,看下面的代码               .antMatchers("/","/toLogin","/login").permitAll()//允许通过的url
                .antMatchers("/vip/**").hasAuthority("vip")//url需要相关的权限才能通过
                .antMatchers("/admin/**").hasAuthority("admin")
                .anyRequest().authenticated()//对于任意的请求会拦截,除了开放的以外
                .and().exceptionHandling().accessDeniedPage("/forbidden");//没有权限执行的url,将跳转到该页面去

		//这里我需要声明的是,对于登录过程它会去执行哪个方法,就是需要实现AuthenticationProvider类,在下面会讲,请耐心看注释。
        http.formLogin()
        .loginProcessingUrl("/toLogin") //指定自定义form表单请求的路径(这里有个大坑,form表单中不能写action="***",只能写th:action="@{/toLogin}",th就是thymeleaf模板引擎的语法格式;不然你永远都不会登录成功)
        .loginPage("/login") //指定登录页面的路径
        .successHandler(new AuthenticationSuccessHandler() {
            @Override
            public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                response.sendRedirect(request.getContextPath()+"/index");
            }
        })
        .failureHandler(new AuthenticationFailureHandler() {
            @Override
            public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                if (e instanceof SessionAuthenticationException){
                    request.setAttribute("error","已经登录过了,请不要重新登录");
                    request.getRequestDispatcher("/login").forward(request,response);
                    return;
                }
                request.setAttribute("error",e.getMessage());
                request.getRequestDispatcher("/login").forward(request,response);
            }
        });
        //.failureUrl("/undefinedError") //失败返回的url
        http.csrf().disable(); //关闭csrf防护

        // 禁用缓存
        http.headers().cacheControl();

        http.logout()
            .logoutUrl("/logout")
            .logoutSuccessHandler(new LogoutSuccessHandler(){
                @Override
                public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                    response.sendRedirect("/toLogin");
                }
            });

        //单用户登录,如果有一个登录了,同一个用户在其他地方登录将前一个剔除下线
        http.sessionManagement().maximumSessions(1)
                .maxSessionsPreventsLogin(true)
                .expiredSessionStrategy(new SessionInformationExpiredStrategy() {
            @Override
            public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
                Map<String, Object> map = new HashMap<>(16);
                map.put("code", 0);
                map.put("msg", "已经另一台机器登录,您被迫下线。" + event.getSessionInformation().getLastRequest());
                // Map -> Json
                String json = objectMapper.writeValueAsString(map);

                event.getResponse().setContentType("application/json;charset=UTF-8");
                event.getResponse().getWriter().write(json);
            }
        }).expiredUrl("/toLogin");

        //单用户登录,如果有一个登录了,同一个用户在其他地方不能登录(自定义业务就不在这里写了,同上)
        http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true);
    }
		//记住功能
        http.rememberMe()
                .rememberMeParameter("remeberme")//默认为remember-me,但我改成了remeberme,前端可以通过input的name="remeberme"拿到
                .key("123")//指定Token识别字段
                .tokenValiditySeconds(24*60*60)//remeber-me的cookie默认2周(14天)
                .userDetailsService(service) //指定remember-me 功能自动登录过程使用的 UserDetailsService 对象(即下面即将讲的CustomUserDetailsService对象注入进来即可)
                .authenticationSuccessHandler(new AuthenticationSuccessHandler(){

                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        //这里面可以写自定义的业务,然后返回给前端  
                    }
            });
}

继承安全适配器类过后,所以实现AuthenticationProvider 类才会起作用,而实现AuthenticationProvider 类的作用就是后端会将前端的信息拿到这里来判断。(判断过程注意注释)

//自定义认证规则
@Slf4j
@Component
public class VAuthenticationProvider implements AuthenticationProvider {
    @Resource
    CustomUserDetailsService service;
    @Resource
    HttpSession session;
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        //是否认证过
        if (!authentication.isAuthenticated()){
            String username=authentication.getName();
            String password=authentication.getCredentials().toString();
            UserDetails 
            //这里需要实现UserDetailsService类,该类的作用是将前端的信息拿到数据库中去判断userDetails=service.loadUserByUsername(username);
            if (userDetails==null){
                log.info("not find user");
                throw new BadCredentialsException("用户没有找到");
            }
            if (!password.equals(userDetails.getPassword())) {
                log.info("pwd is error");
                throw new BadCredentialsException("密码错误");
            }
            session.setAttribute("loginUser",authentication.getPrincipal());
            //认证校验通过后,封装UsernamePasswordAuthenticationToken返回
            return new UsernamePasswordAuthenticationToken(userDetails, password, userDetails.getAuthorities());
        }
        return null;
    }

    //当前的AuthenticationProvider支持哪种类型认证
    @Override
    public boolean supports(Class<?> authentication) {
        return UsernamePasswordAuthenticationToken.class.equals(authentication);
    }
    
}

UserDetailsService的作用是在实现AuthenticationProvider的authenticate()方法时,需要将前端的数据拿到该类的loadUserByUsername()中去判断数据库中去判断是否存在此人信息(判断过程注意注释)

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Resource
    PowerMapper powerMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 通过用户名从数据库获取用户信息(这里我就不粘贴了吧,就是基本的查询,建议角色表和用户表分开做,符合数据库的设计规则)
        VipUser user = powerMapper.showPower(username);

        // 角色集合
        List<GrantedAuthority> authorities = new ArrayList<>();
        if (user==null){
            return null;
        }
        //将获取到的user.getRName()即角色权限放入authorities 中,最后作为其中一个参数返回
        authorities.add(new SimpleGrantedAuthority(user.getRName()));

        return new User(
                user.getRName(),
                user.getVPassword(),
                authorities
        );
    }
}

本文你会发现对于在开头的WebSecurityConfigurerAdapter类中,所有的异常信息处理所实现的handler方法都写在链式编程里面的,会感觉很多,容易晕,所以建议你们分开写在不同的类里面,然后统一注入到WebSecurityConfigurerAdapter类中。

后期我也将会出一篇关于springboot2.x+springsecurity+redis+jwt+自定义验证码实现登录功能(登录功能为超时刷新和失效处理)
由于这个太多了,需要的私信我

Spring Boot+Spring Security 认证登录过程逻辑分析源码分析
weixin_45114101的博客
02-26 5136
Spring Security 认证登录过程源码分析
SpringBoot2.x+SpringSecurity集成及SpringSecurity实现Web系统权限认证系统实现
u011930054的博客
07-17 674
针对SpringSecurity就不进行介绍了,功能强大,与shiro一样都能实现权限系统实现。 这里先介绍一下实验项目的背景: 一、Web项目系统实现后端分离,前端页面上按钮的CRUD,需要前端根据用户返回权限属性实现按钮的可用或不可用(显示或不显示都可以)。 二、后端使用SpringSecurity实现接口API权限判断,比如用户1请求了一个url:/hello 如果这个用户没有权限后端系统直接返回json格式提醒权限不足。 三、用户权限及菜单都是数据库中设置,系统动态判断权限。 先上一张数据
security登录验证,抛出自定义业务异常到前端
it佳佳的博客
06-16 665
后端 后端使用BadCredentialsException和AuthenticationException 将相关信息抛出 @Override public UserDetails loadUserByUsername(String username) throws AuthenticationException { UserPojo userPojo = mapper.queryByUserName(username); if(userPojo == null
SpringBoot整合SpringSecurity&前端登录使用ajax 遇到的问题及解决办法
ELMA的博客
08-27 864
整合过程参考的以下博文 https://blog.csdn.net/Canon_in_D_Major/article/details/79688441 本人初次尝试spring security,只讨论问题解决办法,不求甚解 在整合过程中遇到的问题: 在登录界面登录,后台返回登录成功的JSON信息后没有进入而是被拦截回登录页面,idea控制台打印用户权限为ROLE_ANONYMOUS,即匿名用户 原因分析:security没有调用识别用户身份的接口,即userDetailsService 解决办法:在Se
SpringBoot+SpringSecurity更具权限不同获取不通的数据
RedLitchi is Blog
12-28 726
import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.security.core.context.SecurityContextHolder; @GetMapping("/t") public List<String> t() { Set<String> roles = AuthorityUtils.authorityListToSet(Secur.
Springboot-security实现登陆验证(返回前端token)
justleavel的博客
07-15 5728
***用户编号/***登录名称(用户)/***登录密码/***帐户是否过期(1-未过期,0-已过期)/***帐户是否被锁定(1-未过期,0-已过期)/***密码是否过期(1-未过期,0-已过期)/***帐户是否可用(1-可用,0-禁用)/***真实姓名/***昵称/***所属部门ID/***所属部门名称/***性别(0-男,1-女)/***电话/***邮箱/**...
Spring boot+Spring security+JWT实现后端分离登录认证及权限控制
m0_54849806的博客
08-02 6265
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
(原创)springboot+springsecurity+redis+jwt+vue+iframe 做一个前后端分离的SSO单点登陆鉴权系统 类似淘宝天猫单点登陆
热门推荐
xuexishaguo的博客
12-20 3万+
1 前言 单点登陆系统,简单说就是用户登陆了www.aaa.com之后,再登陆www.bbb.com,就不需要重新输入用户名密码进行登陆,中间会有一个www.sso.com的验证中心。这点类似于淘宝 ,天猫,当然淘宝的验证中心域名是login.taobao.com,和www.taobao.com是同一个域名。要做到无缝登陆,就需要iframe这个技术,淘宝天猫也是用的iframe,iframe还...
SpringCloud+Spring Security+OAuth2 + JWT + Gateway讲解
lbjfish的博客
10-20 1万+
项目简介 本登录系统是一个适应前后端分离并支持传统PC登录的全方位微服务登录架构 基于Spring Boot 2.2.8.Spring Cloud Hoxton.SR5 和 Spring Cloud Alibaba 2.2.1 深度定制Spring Security,基于RBAC(暂未实现)、jwt和oauth2的无状态统一权限认证的 单点登录、单点登出(暂未实现)、续签等功能(暂未实现) 提供C端多租户功能(暂未实现) 提供第三方被授权登录方式(openId方式) 提供供内部服务调用的OAuth2
spring boot jwt_SpringBoot+SpringSecurity基于JWT的身份认证和角色授权
weixin_39664746的博客
11-21 389
在前面的文章中,我们已经使用 token 实现后端分离的系统登录及访问鉴权。第二十四章:整合SpringSecurity之最简登录及方法鉴权第二十五章:整合SpringSecurity之使用数据库实现登录鉴权第二十六章:整合SpringSecurity之JSON格式前后端交互第二十七章:整合SpringSecurity之前后端分离使用Token实现登录鉴权登录成功后,服务端会生成一个 token...
捕获SpringSecurity异常,进行统一返回
wuhao2343的博客
02-22 2564
需要捕获SpringSecurity中的异常,通过统一返回类封装后返回前端,但是使用@ControllerAdvice的全局异常处理器无法捕获到SpringSecurity中的异常,原因如下:在SpringSecurity中,如果认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。​所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置给SpringSecurity即可。
SpringSecurity实现异常处理并且返回Json数据
weixin_51431465的博客
12-14 886
参考自:spring-security 9. 异常处理_哔哩哔哩_bilibili
SpringBoot集成SpringSecurity - 异常处理(三)
Lambda
07-24 1625
源码地址:https://github.com/springsecuritydemo/microservice-auth-center03 当我们登录失败的时候,SpringSecurity 帮我们跳转到了 /login?error URL,奇怪的是不管是控制台还是网页上都没有打印错误信息。 这是因为首先 /login?error 是SpringSecurity 默认...
SpringBoot集成Security实现权限控制
最新发布
weixin_55347789的博客
02-01 1349
主要有两个主要功能:“认证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。一般在拦截器中进行拦截用户信息进行认证。“授权"指确定一个主体是否允许在你的应用程序执行一个动作的过程,一般是在Security中进行接口权限配置,查看用户是否具有对应接口权限。通俗点讲就是系统判断用户是否权限去做某些事情。相应语法:.successForwardUrl()登录成功后跳转地址.loginPage()登录页面。
Spring Security源码解读:前后端分离中异常处理
weixin_41866717的博客
02-08 581
本文样例代码地址:。关于Spring Security中OAuth2.0在前后端分离架构下的授权流程可以参考:。本文使用Spring Boot 2.7.4版本,对应Spring Security 5.7.3版本。
spring boot 自定义注解过滤返回字段
layman1024的博客
11-22 1万+
 在spring boot启动类加上  (这里不加貌似也可以生效) @Import(value = { ApplicationConfig.class }) @SpringBootApplication @EnableTransactionManagement @MapperScan("com.apih5.mybatis.dao") @Import(value = { Application...
Springboot+Security用户权限返回自定义信息
weixin_42901726的博客
06-12 6564
@Springboot+Security用户权限返回自定义信息 返回信息分为跳转自定义页面和字符串提醒 返回信息分为跳转自定义页面和字符串提醒,这里我将都介绍并将自己遇到的问题做出解释 返回自定义界面提示 只需要修改启动类 import org.springframework.boot.SpringApplication; import org.springframework.boot.au...
Springboot中使用Shiro进行权限控制,实现不同身份使用者的分流
H_12306的博客
03-23 1246
emmm,权限控制中不仅需要不同对管理员身份的控制,还需要使用一套后台代码实现不同身份(用户/管理员)的分流 部分代码如下: package com.swf.attence.controller; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.IncorrectCredentialsExcepti...
Spring Security中使用HttpServletResponse::sendError产生的一次非预期返回
weixin_39219172的博客
05-30 2768
前言 本文主要记录公司使用spring security时在认证失败阶段给客户端返回失败时的一次非预期返回。 所以下面会提到Spring Security在认证过程中的一些名称,如AuthenticationFilter,AuthenticationManager,AuthenticationProvider等,分别用来过滤请求,执行认证过程,提供具体认证方式。 spring security使用一个filter链完成对请求的认证(authentication)和授权(authorization)过程,详细
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值