SpringBoot关闭Security鉴权

Spring Boot关闭Security鉴权
原创 已于 2025-03-03 15:55:37 修改 · 311 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #后端 #java

于 2025-03-03 15:52:16 首次发布

需要开发测试,临时关闭Security鉴权。

直接在Springboot的主启动类增加以下配置

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})

SpringBoot中的SpringSecurity进行屏蔽(解决token不存在/token is null等报错)
Olozee的博客
09-21 1715
最近在做一个使用大疆平台的项目时,遇到了对当前用户进行的问题,如果是不通过用户登录想要直接在后端调用一些接口的功能,会碰到token is null的报错。因为以前自己写项目都没有在用户上做过,所以对不太了解。开始想到的解决方法是固定一个曾经的用户token,后面发现这个方法:1.有时候会牵扯到其他的一些报错;2.不太合理(直接破坏了整个项目的结构和规则)。
SpringSecurity】认证与框架SpringSecurity——授
低调做人,低调编码,神码都是浮云
06-24 1708
认证与框架SpringSecurity——授
SpringBoot如何关闭Spring Security
热门推荐
weixin_50165209的博客
04-26 1万+
在进行springboot项目开发的时候往往需要用到springSecurity 但是在开发阶段我们往往会遇到Security限拦截问题 以前用的方法常常是将ip加入白名单的方法 但是其实也有直接关闭security的方法: 直接在Springboot的主启动类增加以下配置 @SpringBootApplication(exclude= {SecurityAutoConfiguration.class }) 并且注释掉security相关信息: // @PreAuthorize
SpringBoot中临时关闭Security
Java全栈领域/离线地图/微服务
01-17 1601
【代码】SpringBoot中临时关闭Security
如何在新的Spring Boot项目中关闭Spring Security?。
Qmr_nhp1的博客
10-12 550
更推荐的方式是通过继承来精细控制安全行为。@Overridehttp.and()允许所有路径(/**)的匿名访问关闭CSRF防护功能保留其他安全基础设施(如安全过滤器链)更推荐的方式是通过继承来精细控制安全行为。@Overridehttp.and()允许所有路径(/**)的匿名访问关闭CSRF防护功能保留其他安全基础设施(如安全过滤器链)
Spring Boot中使用Spring Security进行安全控制
weixin_34221036的博客
05-28 291
我们在编写Web应用时,经常需要对页面做一些安全控制,比如:对于没有访问限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现(如:Apache Shiro、Spring Security)。 本文将具体介绍在Spring Boot中如何使用Spring Security进行安全控...
SpringBoot关闭security认证
catch_exception的博客
06-16 2606
pom.xml中注释关于security的引用 <!-- <dependency>--> <!-- <groupId>cloud.lesscode</groupId>--> <!-- <artifactId>lesscode-core-security</artifactId>--> <!-- </dependency>--
关闭SpringBootSecurity
Thone-LX
10-11 679
Springboot Security
SpringBoot+SpringSecurity+WebSocket
04-11
在IT行业中,SpringBootSpringSecurity和WebSocket是三个非常重要的技术组件,它们分别在应用程序开发、安全管理和实时通信方面发挥着关键作用。本项目结合这三个技术,构建了一个整合的示例,旨在展示如何在...
springboot+security+jwt+redis 实现微信小程序登录及token
jamesluozhiwei的博客
07-11 1万+
tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) 文章目录项目配置依赖application.yml程序代码security相关security核心配置类各种情况处理类无访问用户未登录时返回给前端的数据用户登录失败时返回给前端的数据(本程序未使用)用户登录成功时返回给前端的数据登出成功JWT自定义过滤器SelfUserDetailsSe...
SpringBoot整合SpringSecurity+JWT实现认证与授
weixin_44145156的博客
03-01 538
springsecurity实现认证和授
springboot禁用security
m0_67403013的博客
04-26 1844
继承WebSecurityConfigurerAdapter,重写configure(HttpSecurity)方法
springboot 关闭 security 的http basic 认证
wjavadog的博客
06-20 1万+
前言 在前边学习 session 的时候,不知道是哪个包依赖了 springboot security,导致在接下来的 api 访问中,去进行 security 的 basic 认证。 security 默认的登录名是 user,密码是在你启动项目的时候会自己生成,你在你的ide工具的console 中就可以看到。 也可以自己进行配置 spring.security.user.name=adm...
SpringBoot项目关闭数据库配置和springSecurity
Wewon_real的博客
05-17 5189
通过exclude不注入数据源和安全验证模块@SpringBootApplication(exclude={DataSourceAutoConfiguration.class, SecurityAutoConfiguration.class}) public class ErpApplication { public static void main(String[] args...
关闭SECURITY限验证解决开发中SPRINGBOOT登录需要用户名密码问题
wswxy52188的博客
12-08 5670
关闭SECURITY限验证解决开发中SPRINGBOOT登录需要用户名密码问题
springboot-security注销及限控制
qq_65095414的博客
11-14 116
【代码】springboot-security注销及限控制。
关闭Security限验证解决开发中Springboot登录需要用户名密码问题
df1067的博客
12-03 7214
在带有SpringSecurity限验证功能的Springboot项目,启动后打开swagger页面需要登录账号与密码 在开发阶段可以关闭限验证,临时禁用SpringSecurity,可以通过下面两种方法: 1.在启动类上配置排除SecurityAutoConfiguration,关闭限验证: @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) 2.在配置文件中配置: spring: autoco
如何在新的Spring Boot项目中关闭Spring Security
xdpcxq的专栏
10-02 646
解决方法:关闭spring security的自动配置 代码:@SpringBootApplication(exclude = {SecurityAutoConfiguration.class, ManagementWebSecurityAutoConfiguration.class})
spring boot 关闭(不用登陆即可访问)
Tom_sensen的博客
03-16 2825
1、pom.xml文件中添加坐标 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、Application启动类注解修改 原注解:@SpringBootApplication(exclude = {DataSo
springboot集成security加jwt实现通用登录注册功能
最新发布
11-14
<think> 我们基于Spring Boot集成Spring Security和JWT实现通用登录注册功能,主要步骤包括: 1. 添加相关依赖 2. 配置Spring Security 3. 实现用户注册 4. 实现用户登录(生成JWT) 5. 实现JWT认证过滤器 6. 配置跨域等 下面详细说明: ### 1. 添加依赖 在`pom.xml`中添加Spring Security和JWT相关依赖: ```xml <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JWT支持,例如jjwt --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-jackson</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> <!-- 其他依赖,如Spring Boot Web、数据库驱动等 --> </dependencies> ``` ### 2. 配置Spring Security 创建一个配置类`SecurityConfig`,继承`WebSecurityConfigurerAdapter`(对于Spring Security 5.7及以下)或使用组件配置(对于6.0以上,此处以5.7为例): ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationFilter jwtAuthenticationFilter; @Override protected void configure(HttpSecurity http) throws Exception { http // 关闭csrf .csrf().disable() // 跨域配置 .cors().and() // 认证请求 .authorizeRequests() // 允许注册和登录接口匿名访问 .antMatchers("/api/auth/register", "/api/auth/login").permitAll() // 其他请求需要认证 .anyRequest().authenticated() .and() // 添加JWT过滤器 .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); } // 密码编码器 @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` ### 3. 实现用户注册 创建用户注册接口,通常包括: - 用户实体类(User) - 用户数据访问层(UserRepository) - 用户服务(UserService) - 注册控制器(AuthController) 注册接口示例: ```java @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private UserService userService; @PostMapping("/register") public ResponseEntity<?> registerUser(@RequestBody UserRegistrationDto registrationDto) { // 检查用户名或邮箱是否已存在 if (userService.existsByUsername(registrationDto.getUsername())) { return ResponseEntity.badRequest().body("用户名已存在"); } if (userService.existsByEmail(registrationDto.getEmail())) { return ResponseEntity.badRequest().body("邮箱已存在"); } // 创建用户 User user = new User(); user.setUsername(registrationDto.getUsername()); user.setEmail(registrationDto.getEmail()); user.setPassword(userService.encodePassword(registrationDto.getPassword())); userService.save(user); return ResponseEntity.ok("注册成功"); } } ``` ### 4. 实现用户登录(生成JWT) 在登录接口中,验证用户凭证,成功后生成JWT返回。 首先,创建登录请求DTO和响应DTO: ```java public class LoginRequest { private String username; private String password; // getters and setters } public class JwtResponse { private String token; // getters and setters } ``` 然后,在`AuthController`中添加登录接口: ```java @PostMapping("/login") public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest) { // 认证用户 Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); // 设置认证信息到上下文 SecurityContextHolder.getContext().setAuthentication(authentication); // 生成JWT String jwt = jwtUtils.generateJwtToken(authentication); // 返回JWT return ResponseEntity.ok(new JwtResponse(jwt)); } ``` ### 5. 实现JWT工具类 创建`JwtUtils`类,用于生成和解析JWT: ```java @Component public class JwtUtils { private static final String SECRET_KEY = "yourSecretKey"; // 应存储在配置文件中 private static final long EXPIRATION_TIME = 86400000; // 24小时 public String generateJwtToken(Authentication authentication) { UserDetailsImpl userPrincipal = (UserDetailsImpl) authentication.getPrincipal(); return Jwts.builder() .setSubject(userPrincipal.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_TIME)) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public String getUsernameFromJwtToken(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject(); } public boolean validateJwtToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { // 处理异常 } return false; } } ``` ### 6. 实现JWT认证过滤器 创建`JwtAuthenticationFilter`,用于在请求中拦截并验证JWT: ```java @Component public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsServiceImpl userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String jwt = parseJwt(request); if (jwt != null && jwtUtils.validateJwtToken(jwt)) { String username = jwtUtils.getUsernameFromJwtToken(jwt); UserDetails userDetails = userDetailsService.loadUserByUsername(username); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken( userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (Exception e) { logger.error("Cannot set user authentication: {}", e); } filterChain.doFilter(request, response); } private String parseJwt(HttpServletRequest request) { String headerAuth = request.getHeader("Authorization"); if (StringUtils.hasText(headerAuth) && headerAuth.startsWith("Bearer ")) { return headerAuth.substring(7); } return null; } } ``` ### 7. 实现UserDetailsService 自定义`UserDetailsServiceImpl`实现`UserDetailsService`接口,用于加载用户信息: ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username) .orElseThrow(() -> new UsernameNotFoundException("用户不存在: " + username)); return UserDetailsImpl.build(user); } } ``` 以及`UserDetailsImpl`类,实现`UserDetails`接口: ```java public class UserDetailsImpl implements UserDetails { private static final long serialVersionUID = 1L; private Long id; private String username; private String email; private String password; private Collection<? extends GrantedAuthority> authorities; // 构造方法、getter方法 public static UserDetailsImpl build(User user) { List<GrantedAuthority> authorities = user.getRoles().stream() .map(role -> new SimpleGrantedAuthority(role.getName().name())) .collect(Collectors.toList()); return new UserDetailsImpl( user.getId(), user.getUsername(), user.getEmail(), user.getPassword(), authorities); } // 实现UserDetails接口的方法 } ``` ### 8. 跨域配置 如果前端与后端分离,需要配置跨域。可以在`SecurityConfig`中配置: ```java @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("http://localhost:3000")); // 允许的源 configuration.setAllowedMethods(Arrays.asList("GET", "POST", "PUT", "DELETE", "OPTIONS")); configuration.setAllowedHeaders(Arrays.asList("*")); configuration.setAllowCredentials(true); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } ``` ### 总结 以上步骤实现了Spring Boot集成Spring Security和JWT的登录注册功能。关键点包括: - 配置Spring Security,开放注册登录接口 - 实现用户注册逻辑 - 实现登录接口并生成JWT - 实现JWT认证过滤器,用于后续请求的认证 - 自定义用户详情服务 注意:在实际项目中,需要更完善的异常处理、日志记录、密码加密存储等。 §§相关问题§§ 1. 如何刷新JWT令牌? 2. 如何实现角色限控制? 3. 如何处理JWT令牌过期问题? 4. Spring Security 6.0以上版本如何配置? </think>以下是Spring Boot集成Spring Security和JWT实现通用登录注册功能的完整方法,基于行业最佳实践和引用内容整理: ### 一、整体实现流程 ```mermaid graph TD A[用户注册] --> B[密码加密存储] C[用户登录] --> D[JWT生成] D --> E[请求] E --> F[资源访问] G[Spring Security配置] --> H[JWT过滤器] ``` ### 二、核心实现步骤 #### 1. 添加依赖 (`pom.xml`) ```xml <dependencies> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- JWT支持 --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-api</artifactId> <version>0.11.5</version> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt-impl</artifactId> <version>0.11.5</version> <scope>runtime</scope> </dependency> <!-- 数据库支持(示例使用Spring Data JPA) --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-jpa</artifactId> </dependency> <dependency> <groupId>com.h2database</groupId> <artifactId>h2</artifactId> <scope>runtime</scope> </dependency> </dependencies> ``` #### 2. JWT工具类 ```java @Component public class JwtUtils { private static final String SECRET_KEY = "yourSecretKey"; // 应配置在application.properties private static final long EXPIRATION_MS = 86400000; // 24小时 public String generateToken(UserDetails userDetails) { return Jwts.builder() .setSubject(userDetails.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date(System.currentTimeMillis() + EXPIRATION_MS)) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public String extractUsername(String token) { return Jwts.parser().setSigningKey(SECRET_KEY) .parseClaimsJws(token).getBody().getSubject(); } public boolean validateToken(String token, UserDetails userDetails) { final String username = extractUsername(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private boolean isTokenExpired(String token) { return Jwts.parser().setSigningKey(SECRET_KEY) .parseClaimsJws(token).getBody().getExpiration().before(new Date()); } } ``` #### 3. Spring Security配置类 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthEntryPoint unauthorizedHandler; @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsServiceImpl userDetailsService; @Bean public JwtAuthFilter jwtAuthenticationFilter() { return new JwtAuthFilter(jwtUtils, userDetailsService); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http .cors().and().csrf().disable() .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated(); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } } ``` #### 4. JWT认证过滤器 ```java public class JwtAuthFilter extends OncePerRequestFilter { private final JwtUtils jwtUtils; private final UserDetailsService userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { try { String jwt = parseJwt(request); if (jwt != null && jwtUtils.validateToken(jwt)) { String username = jwtUtils.extractUsername(jwt); UserDetails userDetails = userDetailsService.loadUserByUsername(username); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (Exception e) { logger.error("Cannot set user authentication: {}", e); } filterChain.doFilter(request, response); } private String parseJwt(HttpServletRequest request) { String headerAuth = request.getHeader("Authorization"); if (StringUtils.hasText(headerAuth) && headerAuth.startsWith("Bearer ")) { return headerAuth.substring(7); } return null; } } ``` #### 5. 用户注册实现 ```java @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private UserRepository userRepository; @Autowired private PasswordEncoder passwordEncoder; @PostMapping("/register") public ResponseEntity<?> registerUser(@Valid @RequestBody UserRegistrationDto registrationDto) { if (userRepository.existsByUsername(registrationDto.getUsername())) { return ResponseEntity.badRequest().body("用户名已存在"); } User user = new User(); user.setUsername(registrationDto.getUsername()); user.setPassword(passwordEncoder.encode(registrationDto.getPassword())); user.setEmail(registrationDto.getEmail()); userRepository.save(user); return ResponseEntity.ok("注册成功"); } } ``` #### 6. 用户登录实现 ```java @PostMapping("/login") public ResponseEntity<?> authenticateUser(@Valid @RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken( loginRequest.getUsername(), loginRequest.getPassword() ) ); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = jwtUtils.generateToken((UserDetails) authentication.getPrincipal()); return ResponseEntity.ok(new JwtResponse(jwt)); } ``` ### 三、关键配置说明 1. **跨域配置**(引用[1][^1]) ```java @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } ``` 2. **JWT数据结构**(引用[3][^3]) ``` Header: { "alg": "HS512", "typ": "JWT" } Payload: { "sub": "username", "iat": 1516239022, "exp": 1516242622 } Signature: HMACSHA512(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) ``` ### 四、数据库设计示例 ```sql CREATE TABLE users ( id BIGINT AUTO_INCREMENT PRIMARY KEY, username VARCHAR(50) UNIQUE NOT NULL, password VARCHAR(100) NOT NULL, email VARCHAR(100) UNIQUE NOT NULL ); ``` ### 五、测试流程 1. 注册用户:`POST /api/auth/register` ```json { "username": "test", "password": "123456", "email": "test@example.com" } ``` 2. 登录获取JWT:`POST /api/auth/login` ```json { "username": "test", "password": "123456" } ``` 3. 访问受保护资源(在Header中添加): ``` Authorization: Bearer <your_jwt_token> ``` ### 六、最佳实践建议 1. 使用HTTPS传输JWT 2. 将JWT密钥存储在环境变量中 3. 实现令牌刷新机制 4. 添加限控制注解(如`@PreAuthorize`) 5. 使用Redis管理令牌黑名单
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值