SpringBoot3配置SpringSecurity6

已于 2024-04-10 15:21:04 修改
阅读量1k 收藏 2
点赞数 6
CC 4.0 BY-SA版权
文章标签: java
于 2024-04-10 11:50:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yong472727322/article/details/137590501

访问1:localhost:8080/security,返回:需要先认证才能访问(说明没有权限)

访问2:localhost:8080/anonymous,返回:anonymous(说明正常访问)


 

相关文件如下:

pom.xml:

   <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.2.4</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>


 <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.8.18</version>
        </dependency>

 WebSecurityConfiguration:



/**
 * Spring Security 配置项
 */
@Configuration
@EnableWebSecurity
@EnableMethodSecurity
@EnableGlobalAuthentication
public class WebSecurityConfiguration {

    @Autowired
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Autowired
    private RestAccessDeniedHandler restAccessDeniedHandler;

    private UserDetailsService userDetailsService;

    @Autowired
    private ApplicationContext applicationContext;


    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {

        // 搜寻 匿名标记 url: PreAuthorize("hasAnyRole('anonymous')") 和 PreAuthorize("@tsp.check('anonymous')") 和 AnonymousAccess
        Map<RequestMappingInfo, HandlerMethod> handlerMethodMap = applicationContext.getBean(RequestMappingHandlerMapping.class).getHandlerMethods();
        Set<String> anonymousUrls = new HashSet<>();
        for (Map.Entry<RequestMappingInfo, HandlerMethod> infoEntry : handlerMethodMap.entrySet()) {
            HandlerMethod handlerMethod = infoEntry.getValue();
            AnonymousAccess anonymousAccess = handlerMethod.getMethodAnnotation(AnonymousAccess.class);
            PreAuthorize preAuthorize = handlerMethod.getMethodAnnotation(PreAuthorize.class);
            PathPatternsRequestCondition pathPatternsCondition = infoEntry.getKey().getPathPatternsCondition();
            Set<String> patternList = new HashSet<>();
            if (null != pathPatternsCondition){
                Set<PathPattern> patterns = pathPatternsCondition.getPatterns();
                for (PathPattern pattern : patterns) {
                    patternList.add(pattern.getPatternString());
                }
            }
            if (null != preAuthorize && preAuthorize.value().toLowerCase().contains("anonymous")) {
                anonymousUrls.addAll(patternList);
            } else if (null != anonymousAccess && null == preAuthorize) {
                anonymousUrls.addAll(patternList);
            }
        }

        httpSecurity
                // 禁用basic明文验证
                .httpBasic(it -> it.disable())
                // 前后端分离架构不需要csrf保护
                .csrf(it -> it.disable())
                // 禁用默认登录页
                .formLogin(it -> it.disable())
                // 禁用默认登出页
                .logout(it -> it.disable())
                // 设置异常的EntryPoint,如果不设置,默认使用Http403ForbiddenEntryPoint
                .exceptionHandling(exceptions -> {
                    // 401
                    exceptions.authenticationEntryPoint(restAuthenticationEntryPoint);
                    // 403
                    exceptions.accessDeniedHandler(restAccessDeniedHandler);
                })
                // 前后端分离是无状态的,不需要session了,直接禁用。
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .authorizeHttpRequests(authorizeHttpRequests -> authorizeHttpRequests
                        // 允许匿名访问
                        .requestMatchers(anonymousUrls.toArray(new String[0])).permitAll()
                        // 允许所有OPTIONS请求
                        .requestMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                        // 允许 SpringMVC 的默认错误地址匿名访问
                        .requestMatchers("/error").permitAll()
                        // 允许任意请求被已登录用户访问,不检查Authority
                        .anyRequest().authenticated())
                .authenticationProvider(authenticationProvider())
                // 加我们自定义的过滤器,替代UsernamePasswordAuthenticationFilter
                .addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        return httpSecurity.build();
    }



    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        // 允许所有域名进行跨域调用
        config.addAllowedOrigin("*");
        // 放行全部原始头信息
        config.addAllowedHeader("*");
        // 允许所有请求方法跨域调用
        config.addAllowedMethod("OPTIONS");
        config.addAllowedMethod("GET");
        config.addAllowedMethod("POST");
        config.addAllowedMethod("PUT");
        config.addAllowedMethod("DELETE");
        source.registerCorsConfiguration("/**", config);
        return new CorsFilter(source);

    }
    @Bean
    public UserDetailsService userDetailsService() {
        return username -> userDetailsService.loadUserByUsername(username);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public AuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        authProvider.setUserDetailsService(userDetailsService());
        // 设置密码编辑器
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }

}


JwtAuthenticationTokenFilter


/**
 * JWT登录授权过滤器
 */

@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(@NonNull HttpServletRequest request, @NonNull HttpServletResponse response,
                                    @NonNull FilterChain chain) throws ServletException, IOException {
        String authorization = request.getHeader("Authorization");
        response.setCharacterEncoding("utf-8");
        if (null == authorization){
            // 没有token
            chain.doFilter(request, response);
            return;
        }
        try{
            if (!authorization.startsWith("Bearer ")){
                // token格式不正确
                response.sendError(HttpServletResponse.SC_BAD_REQUEST, "token格式不正确");
                return;
            }
            boolean verify = MyJWTUtil.verify(authorization);
            if(!verify){
                // token格式不正确
                response.sendError(HttpServletResponse.SC_BAD_REQUEST, "token验证失败");
                return;
            }
        }catch (Exception e){
            // token格式不正确
            response.sendError(HttpServletResponse.SC_BAD_REQUEST, "token验证失败");
            return;
        }
        JWT jwt = MyJWTUtil.parseToken(authorization);
        Object uid = jwt.getPayload("uid");
        
        // todo 解析JWT获取用户信息
        LoginUser loginUser = new LoginUser();

        UsernamePasswordAuthenticationToken authenticationToken =
                new UsernamePasswordAuthenticationToken(loginUser,null,null);
        SecurityContextHolder.getContext().setAuthentication(authenticationToken);

        chain.doFilter(request, response);
    }

}
RestAuthenticationEntryPoint:



/**
 * 认证失败处理类
 */

@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Cache-Control", "no-cache");
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.getWriter().println(authException == null? "Unauthorized" : "需要先认证才能访问");
        response.getWriter().flush();

    }

}
RestAccessDeniedHandler:


/**
 * 自定义无权访问处理类
 */
@Component
public class RestAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Cache-Control", "no-cache");
        response.setContentType("application/json");
        response.setCharacterEncoding("UTF-8");
        response.setStatus(HttpStatus.FORBIDDEN.value());
//        response.getWriter()
//                .println(accessDeniedException==null?"AccessDenied":accessDeniedException.getMessage());
        response.getWriter().println(accessDeniedException == null? "AccessDenied" : "没有访问权限");
        response.getWriter().flush();
    }

}
AnonymousAccess:


/**
 * 用于标记匿名访问方法
 */
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface AnonymousAccess {

}

MyJWTUtil:


/**
 * JWT工具类
 */
public class MyJWTUtil extends JWTUtil {


    /**
     * 解析JWT Token
     *
     * @param token token
     * @return {@link JWT}
     */
    public static boolean verify(String token) {
        return verify(token, "LOGIN_TOKEN_KEY_20240410".getBytes());
    }

    /**
     * 解析JWT Token
     *
     * @param token token
     * @return {@link JWT}
     */
    public static boolean verify(String token, byte[] key) {
        if(StrUtil.isNotEmpty(token)){
            if(token.startsWith("Bearer ")){
                token = token.split("Bearer ")[1].trim();
            }
        }
        return JWT.of(token).setKey(key).verify();
    }

    /**
     * 解析JWT Token
     *
     * @param token token
     * @return {@link JWT}
     */
    public static JWT parseToken(String token) {
        if(StrUtil.isNotEmpty(token)){
            if(token.startsWith("Bearer ")){
                token = token.split("Bearer ")[1].trim();
            }
        }
        return JWT.of(token);
    }

    public static String getToken(HttpServletRequest request) {
        final String requestHeader = request.getHeader("Authorization");
        if (requestHeader != null && requestHeader.startsWith("Bearer ")) {
            return requestHeader.substring(7);
        }
        return null;
    }

    public static String createToken(String userId) {
        Map<String, Object> payload = new HashMap<>(4);
        payload.put("uid", userId);
        payload.put("expire_time", System.currentTimeMillis() + 1000 * 60 * 60 * 8);
        return createToken(payload, "LOGIN_TOKEN_KEY_20240410".getBytes());
    }
}


DemoController:


@RestController
public class DemoController {


    @GetMapping("anonymous")
    @AnonymousAccess
    public String loadCondition() {
        return "anonymous";
    }

    @GetMapping("security")
    public String security() {
        return "security";
    }

}

yong472727322
关注
SpringBoot开发——SpringBoot3整合SpringSecurity6实现基于数据库的用户认证
bjzhang75的博客
05-12 1161
SpringBoot开发——SpringBoot3整合SpringSecurity6实现基于数据库的用户认证
新鲜速递:Spring Boot 3 项目快速集成 Spring Security 6的方法
杨若瑜的技术博客
12-11 1万+
本文讲述Spring Boot 3 快速集成Spring Security 6的方法,以往的旧文章大多无法无错完成集成,所以笔者经过研究,在这里发布快速集成方法,避免读者重蹈覆辙掉入各种坑里。
SpringBoot3整合SpringSecurity6(一)快速入门
最新发布
weixin_42122878的博客
06-22 16
不知道小伙伴们在学过程中有没有和我一样的经历和烦恼。①看完一篇文章或者一个教程,感觉学会了。但是一到实际项目中就不知道怎么用;②被源码和各种专业名词搞得一头雾水,不知道如何下手,直接劝退;③技术更新迭代非常快,网上一些文章教程知识点已经过时了,在新版本中已经不适用了。晓凡在学习过程中也同样遇到了这些问题,也被劝退过。但是,现在的安全框架也就那么几个,难啃也得硬着头皮上。原本打算一篇文章写完,但是基于涉及到的知识点确实挺多,文章篇幅肯定很长。基于这些原因,晓凡打算将整合。
spring boot 3.x版本中集成spring security 6.x版本进行实现动态权限控制解决方案
Coder-文小白的博客
07-08 2339
框架会自动使用的方法进行用户加载,在加载用户以后,会在过滤器中的方法中,进行前端输入的用户信息和加载的用户信息进行信息对比。/*** 这里为了演示方便,模拟从数据库查询,直接设置一下权限");return new User("jack" , // 用户名称 new BCryptPasswordEncoder() . encode("123456") , //密码 list //权限列表);} }/**
【Spring Boot 3】的安全防线:整合 【Spring Security 6
q1372302825的博客
03-02 1万+
探索如何将Spring Boot 3与Spring Security 6完美融合,为您的应用程序打造坚实的安全防线。本文深入剖析整合过程,从基础概念到高级特性,为您呈现全面的安全解决方案。无论您是初学者还是经验丰富的开发者,都能在本文中获得宝贵的见解。学习如何配置用户认证、授权和密码加密,掌握基于注解的安全性高级功能。通过清晰的示例和实用的指导,本文将帮助您提升应用程序的安全性,保护您的数据免受威胁。立即开始,构建一个安全可靠的Spring Boot应用!
springboot3探索日记(3)——Security6配置
qq_42533633的博客
12-19 842
Security6相比Security5及之前的版本,在配置上做出了断层式的改变。和之前继承WebSecurityConfigurerAdapter相比,现在种种配置都是以bean的形式呈现的。
管理系统系列--基于SpringBoot3,spring Security6,mybatis plus3.5.0的前.zip
02-26
在本项目中,我们探讨的是一个基于最新技术栈构建的管理系统的实现,主要涉及SpringBoot 3、Spring Security 6和MyBatis Plus 3.5.0。这些技术是现代Java开发中的核心组件,用于构建高效、安全且易于维护的企业级...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringBoot3整合SpringSecurity
10-25
在软件开发领域,SpringBoot3整合...SpringBoot3整合SpringSecurity是一个涉及多个层面的复杂过程,需要开发者具备深入的理解和细致的配置。通过这种方式,开发者可以构建出既安全又易于部署的现代化Web应用程序。
基于Spring Boot 3.0、Spring Security 6和Vue 3的现代化前后端分离架构设计源码
10-05
本文将详细探讨如何利用Spring Boot 3.0、Spring Security 6和Vue 3这三个技术框架,设计并实现一个现代化的前后端分离架构。通过这种架构,我们可以有效地分离前端和后端,提高系统的可维护性、可扩展性和安全性。 ...
SpringBoot3+SpringSecurity6基于若依系统整合自定义登录流程
一起交流,一起进步
10-30 1611
SpringBoot3+SpringSecurity6集成若依系统
SpringBoot3 + SpringSecurity6 前后端分离
一起加油吧!
11-22 5091
SpringBoot3 + SpringSecurity6 前后端分离,自定义token过滤器,自定义处理器,静态资源放行。
Springboot3.x.x使用SpringSecurity6(一文包搞定)
m0_64787068的博客
09-05 1887
Springboot3.x.x使用SpringSecurity6(一文包搞定)Spring Security 是一个强大的、高度可定制的身份验证(Authentication)和访问控制(Authorization)框架。它是 Spring 框架家族的一员,主要用于保护基于 Java 的应用程序,无论是Web应用还是非Web应用。Spring Security 在过去,Spring Security配置相对复杂,但是随着 Spring Boot 的出现,它提供了自动配置方案,使得集成 Spring Se
SpringBoot3整合Spring Security6
qq_40907295的博客
08-16 1436
1.配置类不再实现WebSecurityConfigurerAdapter接口。记录学习的SpringBoot3使用SpringSecurity6的新方式。4.认证失败处理、token过滤器、认证失败处理还是使用原来的方式。
基于Spring Boot 3 + Spring Security6 + JWT + Redis实现登录、token身份认证
程序员雅痞的博客
03-28 1万+
基于Spring Boot3实现Spring Security6 + JWT + Redis实现登录、token身份认证。
Spring Boot 3整合Spring Security 6全攻略:从零构建安全防线
weixin_52318532的博客
04-02 987
【代码】🔒 Spring Boot 3整合Spring Security 6全攻略:从零构建安全防线。
sprringboot3整合springsecurity6.0(只做token权限验证)+redis+自定义权限验证+自定义操作日志
weixin_44900881的博客
06-28 4349
}// 获取错误信息 String exception =(String) request . getAttribute(CacheConstants . TOKEN_EXCEPTION);// 获取错误状态码 String exceptionCode = request . getAttribute(CacheConstants . TOKEN_EXCEPTION_CODE) . toString();} }
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 3万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值