springboot后端代码分析 websecurityconfig

原创 已于 2024-07-31 20:41:20 修改 · 249 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #java

于 2024-07-31 20:40:42 首次发布
               .and()
                //这里必须要写formLogin(),不然原有的UsernamePasswordAuthenticationFilter不会出现,也就无法配置自定义的UsernamePasswordAuthenticationFilter
                .formLogin()
                .loginPage("/login_page")
                .loginProcessingUrl("/login")
                .usernameParameter("username")
                .passwordParameter("password")
                .successHandler(successHandler)
                .failureHandler(failureHandler)
                .permitAll()
loginProcessingUrl("/login"): 这行代码指定了Spring Security应该监听哪个URL以处理登录请求。当客户端发送POST请求到/login时,Spring Security会拦截并调用UsernamePasswordAuthenticationFilter来处理这个请求。

 .and()
.addFilterAt(jsonAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)

这里调用这个后,同时自定义JsonAuthenticationFilter添加到了Spring Security的过滤器链中,并替换了默认的UsernamePasswordAuthenticationFilter。当请求到达/login时,将由JsonAuthenticationFilter来处理


loginPage("/login_page"): 指定登录页面的URL,当用户尝试访问受保护的资源但尚未登录时,会被重定向到此页面

登录成功与失败处理

    public JsonAuthenticationFilter jsonAuthenticationFilter() throws Exception {
        JsonAuthenticationFilter filter = new JsonAuthenticationFilter();
        filter.setAuthenticationSuccessHandler(successHandler);
        filter.setAuthenticationFailureHandler(failureHandler);
        filter.setFilterProcessesUrl("/login");
        filter.setAuthenticationManager(authenticationManagerBean());
        return filter;
    }

当登录成功时,会调用successHandler来处理后续操作,如重定向或返回响应
如果登录失败,则调用failureHandler来处理错误,如显示错误消息或重定向到错误页面

iisugar
关注
SpringBootSpringSecurity 配置
norang的博客
09-21 776
SecurityConfig 配置类 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { //定制请求的授权规则 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/").permi
SpringBootWebSecurityConfiguration
Leon_Jinhai_Sun的博客
05-04 1358
这个类是 spring boot 自动配置类,通过这个源码得知,默认情况下对所有请求进行权限控制: @Configuration(proxyBeanMethods = false) @ConditionalOnDefaultWebSecurity @ConditionalOnWebApplication(type = Type.SERVLET) class SpringBootWebSecurityConfiguration { @Bean @Order(SecurityProperties.BAS
WebMvcConfig 和 WebSecurityConfig 详解
最新发布
目前专注区块链相关技术的学习与分享
11-01 978
Spring Boot项目中的两个核心配置类WebMvcConfig和WebSecurityConfig分别负责不同功能。WebMvcConfig通过实现WebMvcConfigurer接口配置MVC行为,包括拦截器注册、静态资源映射、跨域设置等。WebSecurityConfig继承WebSecurityConfigurerAdapter,负责安全配置,包含认证授权管理、密码加密、会话策略等。实际项目中,WebMvcConfig常用于API拦截处理,而WebSecurityConfig则配置JWT认证、权
Spring Security Config : WebSecurityConfiguration Web 安全配置
Details Inside Spring
09-02 5020
package org.springframework.security.config.annotation.web.configuration; // 忽略 import 行 /** * Spring Security 的配置类 : * 1. 使用一个 WebSecurity 对象创建执行 Spring Security 基于web的安全任务的 FilterChainProxy 对象。...
Spring Boot】配置 Spring Security
Code · Cloud · Think · Repeat
08-02 4729
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
【性能提升攻略】:SpringBoot后端逻辑编写与优化的终极技巧
本文全面探讨了SpringBoot后端逻辑的编写和优化知识,从基础知识到高级技巧,详细介绍了后端逻辑编写的各种技术和方法。首先,阐述了SpringBoot后端逻辑编写的起点,包括面向切面编程(AOP)、设计模
Vue2前端秘籍:优雅实现与SpringBoot后端的El-Tree高效交互
优雅实现与SpringBoot后端的El-Tree高效交互 随着前端技术的快速发展,Vue.js作为现代Web开发中不可或缺的框架之一,它以轻量、灵活和组件化等特性受到广泛的欢迎。而El-Tree作为Vue中处理树形数据的组件,其在...
SpringBoot后端策略】:5大高效数据处理与服务管理技巧
[【SpringBoot后端策略】:5大高效数据处理与服务管理技巧](https://mutesoft.com/spaces/software/wp-content/uploads/sites/7/2022/01/SpringBoot-JPA-MongoDB-1024x492.png) # 摘要 本文旨在探讨SpringBoot作为...
企业级Java应用简化指南:SpringBoot后端开发揭秘
首先对Spring Boot的项目结构进行了概览,并分析了其核心组件,包括自动配置原理、依赖管理和内嵌服务器配置。随后,本文详细介绍了Spring Boot在数据持久化、安全机制、测试策略等方面的实战编程技巧。进一步地,...
http-->https后端Java接口spring boot项目配置文件及生成证书的方法.7z
12-24
public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .requiresChannel() .anyRequest()....
SpringBoot + Spring Security 基本使用及个性化登录配置详解
08-27
主要介绍了SpringBoot + Spring Security 基本使用及个性化登录配置详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security 实战干货:自定义配置类入口WebSecurityConfigurerAdapter
码农小胖哥
10-16 9333
1. 前言 今天我们要进一步的的学习如何自定义配置 Spring Security 我们已经多次提到了 WebSecurityConfigurerAdapter ,而且我们知道 Spring Boot 中的自动配置实际上是通过自动配置包下的 SecurityAutoConfiguration 总配置类上导入的 Spring Boot Web 安全配置类 SpringBootWebSecurity...
Springboot继承WebSecurityConfiguration
JackMa的博客
09-14 434
Springboot继承WebSecurityConfiguration
Spring Security 实战干货:Spring Boot 中的 Spring Security 自动配置初探
码农小胖哥
10-14 2692
1. 前言 我们在前几篇对 Spring Security 的用户信息管理机制,密码机制进行了探讨。我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot....
注解开发
Major_S的博客
03-30 502
月宫一号中的若干数学问题
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8415
后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
Spring Security安全配置
coolshyman的博客
07-25 2294
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
WebSecurityConfig
weixin_30877227的博客
07-19 1222
package me.zhengjie.core.config; import me.zhengjie.core.security.JwtAuthenticationEntryPoint; import me.zhengjie.core.security.JwtAuthorizationTokenFilter; import me.zhengjie.core.service.JwtU...
后端登录token代码,springboot
05-30
<think>好的,用户现在想找Spring Boot后端实现登录Token的代码示例。之前他问过前端处理登录的问题,现在转向后端,需要提供具体的实现代码。首先,我需要回顾之前的对话,确保一致性。用户之前的问题是关于前端处理登录逻辑,特别是整合代码时遇到的未使用变量警告和优化建议。现在他需要后端的Token实现,可能需要包括生成、验证和刷新Token的步骤。首先,我应该确定用户可能需要的技术栈。通常Spring Boot中使用JWT(JSON WebToken)是比较常见的方案,所以需要介绍JWT的依赖,比如jjwt。然后,分步骤讲解如何生成Token、验证Token的拦截器配置,以及如何将Token返回给前端。 用户可能需要代码示例,所以需要提供具体的Java类,比如JWT工具类、拦截器配置、Controller层的登录接口。同时,要提到如何将Token存储在响应头中,以及如何在后端进行验证。另外,用户可能关心安全性,比如密钥的管理、Token的过期时间、刷新机制等。需要提到这些最佳实践,比如使用配置文件存储密钥,设置合理的过期时间,使用拦截器进行鉴权。还要考虑可能的扩展问题,比如如何结合SpringSecurity,或者如何处理分布式系统中的Token验证。这些可以作为相关问题推荐给用户,帮助他们进一步学习。 需要确保回答结构清晰,分步骤说明,代码示例正确,并且符合中文语法。同时,按照用户的要求,数学公式使用正确的LaTeX格式,比如密钥生成中的随机数可以用数学表达式表示,但可能在这个问题中不太需要,所以可能不需要太多数学内容,但如果有涉及算法的地方要正确使用。最后,生成的相关问题需要与Token实现相关,比如如何实现自动刷新、如何结合SpringSecurity、分布式系统中的应用等。确保问题有针对性,帮助用户深入探索。</think>### Spring Boot后端JWT Token登录实现示例 #### 1. **基础依赖配置** ```xml <!-- pom.xml --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.5</version> </dependency> ``` #### 2. **JWT工具类** ```java // JwtUtils.java public class JwtUtils { private static final String SECRET_KEY = Base64.getEncoder().encodeToString("your-256-bit-secret".getBytes()); // $k \in \{0,1\}^{256}$ private static final long EXPIRATION = 3600 * 1000; // 1小时 public static String generateToken(String username) { return Jwts.builder() .setSubject(username) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION)) .signWith(Keys.hmacShaKeyFor(SECRET_KEY.getBytes())) .compact(); } public static Claims parseToken(String token) { return Jwts.parserBuilder() .setSigningKey(SECRET_KEY.getBytes()) .build() .parseClaimsJws(token) .getBody(); } } ``` #### 3. **登录接口实现** ```java // AuthController.java @RestController @RequestMapping("/api/auth") public class AuthController { @PostMapping("/login") public ResponseEntity<?> login(@RequestBody LoginRequest request) { // 1. 验证用户凭证 if (!validateUser(request.getUsername(), request.getPassword())) { return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build(); } // 2. 生成JWT String token = JwtUtils.generateToken(request.getUsername()); // 3. 返回响应 return ResponseEntity.ok() .header(HttpHeaders.AUTHORIZATION, "Bearer " + token) .body(Map.of( "username", request.getUsername(), "expires_in", JwtUtils.EXPIRATION )); } } ``` #### 4. **Token验证拦截器** ```java // JwtInterceptor.java public class JwtInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String token = request.getHeader("Authorization"); if (token == null || !token.startsWith("Bearer ")) { response.sendError(HttpStatus.UNAUTHORIZED.value()); return false; } try { Claims claims = JwtUtils.parseToken(token.substring(7)); request.setAttribute("username", claims.getSubject()); return true; } catch (JwtException e) { response.sendError(HttpStatus.UNAUTHORIZED.value(), "Invalid token"); return false; } } } ``` #### 5. **安全配置** ```java // WebSecurityConfig.java @Configuration public class WebSecurityConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(new JwtInterceptor()) .addPathPatterns("/api/**") .excludePathPatterns("/api/auth/login"); } } ``` --- ### 核心算法说明 1. **Token生成算法** 使用HMAC-SHA256签名算法生成JWT: $$ \text{signature} = \text{HMAC}_{SHA256}(\text{base64UrlEncode(header)} + "." + \text{base64UrlEncode(payload)}, \text{secret}) $$ 2. **Token验证流程** 验证流程可表示为有限状态自动机: $$ S = \{ \text{未认证}, \text{已认证}, \text{过期} \} \\ \delta(s, a) = \begin{cases} \text{已认证} & \text{if } a=\text{有效请求} \\ \text{过期} & \text{if } t > t_{\text{exp}} \\ \text{未认证} & \text{otherwise} \end{cases} $$ --- ### 最佳实践建议 1. **密钥管理** 建议使用环境变量存储密钥: ```yaml # application.yml jwt: secret: ${JWT_SECRET:default-secret} expiration: 3600 ``` 2. **动态过期时间** 根据业务需求设置不同过期策略: ```java // 刷新token的过期时间计算 long newExpiration = System.currentTimeMillis() + (isRememberMe ? 7*24*3600*1000 : 3600*1000); ``` 3. **黑名单机制** 实现主动注销功能: ```java // Token黑名单服务 public class TokenBlacklist { private static final Set<String> blacklist = ConcurrentHashMap.newKeySet(); public static void invalidate(String token) { blacklist.add(token); } public static boolean isInvalid(String token) { return blacklist.contains(token); } } ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值