文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >专栏 >万字长文,SpringSecurity

万字长文,SpringSecurity

原创
作者头像
mySoul
修改2020-06-30 10:15:21
修改2020-06-30 10:15:21
9280
举报
文章被收录于专栏:mySoulmySoul

思维导图如下

RBAC权限分析

RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC

思维导图

绘制思维导图如下

什么是RBAC

RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示

对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进行修改,就可以实现相关的权限的修改。这样做增加了效率,减少了权限漏洞的发生。

模型分类

对于RBAC模型来说,分为以下几个模型 分别是RBAC0,RBAC1,RBAC2,RBAC3,这四个模型,这段将会依次介绍这四个模型,其中最常用的模型有RBAC0.

RBAC0

RBAC0是最简单的RBAC模型,这里面包含了两种。

用户和角色是多对一的关系,即一个用户只充当一种角色,一个角色可以有多个角色的担当。

用户和角色是多对多的关系,即,一个用户可以同时充当多个角色,一个角色可以有多个用户。

此系统功能单一,人员较少,这里举个栗子,张三既是行政,也负责财务,此时张三就有俩个权限,分别是行政权限,和财务权限两个部分。

RBAC1

相对于RBAC0模型来说,增加了子角色,引入了继承的概念。

RBAC2 模型

这里RBAC2模型,在RBAC0模型的基础上,增加了一些功能,以及限制

角色互斥

即,同一个用户不能拥有两个互斥的角色,举个例子,在财务系统中,一个用户不能拥有会计员和审计这两种角色。

基数约束

即,用一个角色,所拥有的成员是固定的,例如对于CEO这种角色,同一个角色,也只能有一个用户。

先决条件

即,对于该角色来说,如果想要获得更高的角色,需要先获取低一级别的角色。举个栗子,对于副总经理和经理这两个权限来说,需要先有副总经理权限,才能拥有经理权限,其中副总经理权限是经理权限的先决条件。

运行时互斥

即,一个用户可以拥有两个角色,但是这俩个角色不能同时使用,需要切换角色才能进入另外一个角色。举个栗子,对于总经理和专员这两个角色,系统只能在一段时间,拥有其一个角色,不能同时对这两种角色进行操作。

RBAC3模型

即,RBAC1,RBAC2,两者模型全部累计,称为统一模型。

什么是权限

权限是资源的集合,这里的资源指的是软件中的所有的内容,即,对页面的操作权限,对页面的访问权限,对数据的增删查改的权限。 举个栗子。 对于下图中的系统而言,

拥有,计划管理,客户管理,合同管理,出入库通知单管理,粮食安全追溯,粮食统计查询,设备管理这几个页面,对这几个页面的访问,以及是否能够访问到菜单,都属于权限。

用户组的使用

对于用户组来说,是把众多的用户划分为一组,进行批量授予角色,即,批量授予权限。 举个栗子,对于部门来说,一个部门拥有一万多个员工,这些员工都拥有相同的角色,如果没有用户组,可能需要一个个的授予相关的角色,在拥有了用户组以后,只需要,把这些用户全部划分为一组,然后对该组设置授予角色,就等同于对这些用户授予角色。

优点: 减少工作量,便于理解,增加多级管理,等。

SpringSecurity 简单使用

首先添加依赖

代码语言:txt
复制
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后添加相关的访问接口

代码语言:txt
复制
package com.example.demo.web;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class Test {
    @RequestMapping("/test")
    public String test(){
        return "test";
    }
}

最后启动项目,在日志中查看相关的密码

访问接口,可以看到相关的登录界面

输入用户名和相关的密码

代码语言:txt
复制
用户名: user
密码 984cccf2-ba82-468e-a404-7d32123d0f9c

登录成功

增加用户名和密码

在配置文件中,书写相关的登录和密码

代码语言:txt
复制
spring:
  security:
    user:
      name: ming
      password: 123456
      roles: admin
	  在登录页面,输入用户名和密码,即可正常登录基于内存的认证需要自定义类继承 WebSecurityConfigurerAdapter 代码如下

package com.example.demo.config;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.password.NoOpPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration

public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

代码语言:txt
复制
@Bean
代码语言:txt
复制
PasswordEncoder passwordEncoder(){
代码语言:txt
复制
    return NoOpPasswordEncoder.getInstance();
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
代码语言:txt
复制
    auth.inMemoryAuthentication()
代码语言:txt
复制
            .withUser("admin").password("123").roles("admin");
代码语言:txt
复制
}

}

代码语言:txt
复制
即,配置的用户名为admin,密码为123,角色为admin

## HttpSecurity
这里对一些方法进行拦截

package com.ming.demo.interceptor;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices;

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

代码语言:txt
复制
//基于内存的用户存储
代码语言:txt
复制
@Override
代码语言:txt
复制
public void configure(AuthenticationManagerBuilder auth) throws Exception {
代码语言:txt
复制
    auth.inMemoryAuthentication()
代码语言:txt
复制
            .withUser("itguang").password("123456").roles("USER").and()
代码语言:txt
复制
            .withUser("admin").password("{noop}" + "123456").roles("ADMIN");
代码语言:txt
复制
}
代码语言:txt
复制
//请求拦截
代码语言:txt
复制
@Override
代码语言:txt
复制
protected void configure(HttpSecurity http) throws Exception {
代码语言:txt
复制
    http.authorizeRequests()
代码语言:txt
复制
            .anyRequest().permitAll()
代码语言:txt
复制
            .and()
代码语言:txt
复制
            .formLogin()
代码语言:txt
复制
            .permitAll()
代码语言:txt
复制
            .and()
代码语言:txt
复制
            .logout()
代码语言:txt
复制
            .permitAll();
代码语言:txt
复制
}

}

代码语言:txt
复制
即,这里完成了对所有的方法访问的拦截。


# SpringSecurity 集成JWT
这是一个小demo,目的,登录以后返回jwt生成的token

## 导入依赖
添加web依赖[![](https://www.iming.info/wp-content/uploads/2020/06/wp_editor_md_94f9c4a9052e96e4e28f7cd7f5a0774d.jpg)](https://www.iming.info/wp-content/uploads/2020/06/wp_editor_md_94f9c4a9052e96e4e28f7cd7f5a0774d.jpg)


导入JWT和Security依赖

<!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt -->

代码语言:txt
复制
    <dependency>
代码语言:txt
复制
        <groupId>io.jsonwebtoken</groupId>
代码语言:txt
复制
        <artifactId>jjwt</artifactId>
代码语言:txt
复制
        <version>0.9.1</version>
代码语言:txt
复制
    </dependency>
代码语言:txt
复制
    <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-security -->
代码语言:txt
复制
    <dependency>
代码语言:txt
复制
        <groupId>org.springframework.boot</groupId>
代码语言:txt
复制
        <artifactId>spring-boot-starter-security</artifactId>
代码语言:txt
复制
        <version>2.3.1.RELEASE</version>
代码语言:txt
复制
    </dependency>
代码语言:txt
复制
## 创建一个JwtUser实现UserDetails
创建 一个相关的JavaBean

package com.example.demo;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;

public class JwtUser implements UserDetails {

代码语言:txt
复制
private String username;
代码语言:txt
复制
private String password;
代码语言:txt
复制
private Integer state;
代码语言:txt
复制
private Collection<? extends GrantedAuthority> authorities;
代码语言:txt
复制
public JwtUser(){
代码语言:txt
复制
}
代码语言:txt
复制
public JwtUser(String username, String password, Integer state,  Collection<? extends GrantedAuthority> authorities){
代码语言:txt
复制
    this.username = username;
代码语言:txt
复制
    this.password = password;
代码语言:txt
复制
    this.state = state;
代码语言:txt
复制
    this.authorities = authorities;
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
public Collection<? extends GrantedAuthority> getAuthorities() {
代码语言:txt
复制
    return authorities;
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
public String getPassword() {
代码语言:txt
复制
    return this.password;
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
public String getUsername() {
代码语言:txt
复制
    return this.username;
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
public boolean isAccountNonExpired() {
代码语言:txt
复制
    return true;
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
public boolean isAccountNonLocked() {
代码语言:txt
复制
    return true;
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
public boolean isCredentialsNonExpired() {
代码语言:txt
复制
    return true;
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
public boolean isEnabled() {
代码语言:txt
复制
    return true;
代码语言:txt
复制
}

}

代码语言:txt
复制
## 编写工具类生成令牌
编写工具类,用来生成token,以及刷新token,以及验证token

package com.example.demo;

import io.jsonwebtoken.Claims;

import io.jsonwebtoken.Jwts;

import io.jsonwebtoken.SignatureAlgorithm;

import org.springframework.security.core.userdetails.UserDetails;

import java.io.Serializable;

import java.util.Date;

import java.util.HashMap;

import java.util.Map;

public class JwtTokenUtil implements Serializable {

代码语言:txt
复制
private String secret;
代码语言:txt
复制
private Long expiration;
代码语言:txt
复制
private String header;
代码语言:txt
复制
private String generateToken(Map<String, Object> claims) {
代码语言:txt
复制
    Date expirationDate = new Date(System.currentTimeMillis() + expiration);
代码语言:txt
复制
    return Jwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, secret).compact();
代码语言:txt
复制
}
代码语言:txt
复制
private Claims getClaimsFromToken(String token) {
代码语言:txt
复制
    Claims claims;
代码语言:txt
复制
    try {
代码语言:txt
复制
        claims = Jwts.parser().setSigningKey(secret).parseClaimsJws(token).getBody();
代码语言:txt
复制
    } catch (Exception e) {
代码语言:txt
复制
        claims = null;
代码语言:txt
复制
    }
代码语言:txt
复制
    return claims;
代码语言:txt
复制
}
代码语言:txt
复制
public String generateToken(UserDetails userDetails) {
代码语言:txt
复制
    Map<String, Object> claims = new HashMap<>(2);
代码语言:txt
复制
    claims.put("sub", userDetails.getUsername());
代码语言:txt
复制
    claims.put("created", new Date());
代码语言:txt
复制
    return generateToken(claims);
代码语言:txt
复制
}
代码语言:txt
复制
public String getUsernameFromToken(String token) {
代码语言:txt
复制
    String username;
代码语言:txt
复制
    try {
代码语言:txt
复制
        Claims claims = getClaimsFromToken(token);
代码语言:txt
复制
        username = claims.getSubject();
代码语言:txt
复制
    } catch (Exception e) {
代码语言:txt
复制
        username = null;
代码语言:txt
复制
    }
代码语言:txt
复制
    return username;
代码语言:txt
复制
}
代码语言:txt
复制
public Boolean isTokenExpired(String token) {
代码语言:txt
复制
    try {
代码语言:txt
复制
        Claims claims = getClaimsFromToken(token);
代码语言:txt
复制
        Date expiration = claims.getExpiration();
代码语言:txt
复制
        return expiration.before(new Date());
代码语言:txt
复制
    } catch (Exception e) {
代码语言:txt
复制
        return false;
代码语言:txt
复制
    }
代码语言:txt
复制
}
代码语言:txt
复制
public String refreshToken(String token) {
代码语言:txt
复制
    String refreshedToken;
代码语言:txt
复制
    try {
代码语言:txt
复制
        Claims claims = getClaimsFromToken(token);
代码语言:txt
复制
        claims.put("created", new Date());
代码语言:txt
复制
        refreshedToken = generateToken(claims);
代码语言:txt
复制
    } catch (Exception e) {
代码语言:txt
复制
        refreshedToken = null;
代码语言:txt
复制
    }
代码语言:txt
复制
    return refreshedToken;
代码语言:txt
复制
}
代码语言:txt
复制
public Boolean validateToken(String token, UserDetails userDetails) {
代码语言:txt
复制
    JwtUser user = (JwtUser) userDetails;
代码语言:txt
复制
    String username = getUsernameFromToken(token);
代码语言:txt
复制
    return (username.equals(user.getUsername()) && !isTokenExpired(token));
代码语言:txt
复制
}

}

代码语言:txt
复制
## 编写拦截器
编写Filter 用来检测JWT

package com.example.demo;

import org.apache.commons.lang.StringUtils;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;

import org.springframework.stereotype.Component;

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

@Component

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

代码语言:txt
复制
@Autowired
代码语言:txt
复制
private UserDetailsService userDetailsService;
代码语言:txt
复制
@Autowired
代码语言:txt
复制
private JwtTokenUtil jwtTokenUtil;
代码语言:txt
复制
@Override
代码语言:txt
复制
protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
代码语言:txt
复制
    String authHeader = httpServletRequest.getHeader(jwtTokenUtil.getHeader());
代码语言:txt
复制
    if (authHeader != null && StringUtils.isNotEmpty(authHeader)) {
代码语言:txt
复制
        String username = jwtTokenUtil.getUsernameFromToken(authHeader);
代码语言:txt
复制
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
代码语言:txt
复制
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
代码语言:txt
复制
            if (jwtTokenUtil.validateToken(authHeader, userDetails)) {
代码语言:txt
复制
                UsernamePasswordAuthenticationToken authentication  =
代码语言:txt
复制
                new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities());
代码语言:txt
复制
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpServletRequest));
代码语言:txt
复制
                SecurityContextHolder.getContext().setAuthentication(authentication);
代码语言:txt
复制
            }
代码语言:txt
复制
        }
代码语言:txt
复制
    }
代码语言:txt
复制
    filterChain.doFilter(httpServletRequest, httpServletResponse);
代码语言:txt
复制
}

}

代码语言:txt
复制
## 编写userDetailsService的实现类
在上方代码中,编写userDetailsService,类,实现其验证过程

package com.example.demo;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.authority.SimpleGrantedAuthority;

import org.springframework.security.core.userdetails.User;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Service;

import javax.management.relation.Role;

import java.util.List;

@Service

public class JwtUserDetailsServiceImpl implements UserDetailsService {

代码语言:txt
复制
@Autowired
代码语言:txt
复制
private UserMapper userMapper;
代码语言:txt
复制
@Override
代码语言:txt
复制
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
代码语言:txt
复制
    User user = userMapper.selectByUserName(s);
代码语言:txt
复制
    if (user == null) {
代码语言:txt
复制
        throw new UsernameNotFoundException(String.format("'%s'.这个用户不存在", s));
代码语言:txt
复制
    }
代码语言:txt
复制
    List<SimpleGrantedAuthority> collect = user.getRoles().stream().map(Role::getRolename).map(SimpleGrantedAuthority::new).collect(Collectors.toList());
代码语言:txt
复制
    return new JwtUser(user.getUsername(), user.getPassword(), user.getState(), collect);
代码语言:txt
复制
}

}

代码语言:txt
复制
## 编写登录

编写登录业务的实现类 其login方法会返回一个JWTUtils 的token

@Service

public class UserServiceImpl implements UserService {

代码语言:txt
复制
@Autowired
代码语言:txt
复制
private UserMapper userMapper;
代码语言:txt
复制
@Autowired
代码语言:txt
复制
private AuthenticationManager authenticationManager;
代码语言:txt
复制
@Autowired
代码语言:txt
复制
private UserDetailsService userDetailsService;
代码语言:txt
复制
@Autowired
代码语言:txt
复制
private JwtTokenUtil jwtTokenUtil;
代码语言:txt
复制
public User findByUsername(String username) {
代码语言:txt
复制
    User user = userMapper.selectByUserName(username);
代码语言:txt
复制
    return user;
代码语言:txt
复制
}
代码语言:txt
复制
public RetResult login(String username, String password) throws AuthenticationException {
代码语言:txt
复制
    UsernamePasswordAuthenticationToken upToken = new UsernamePasswordAuthenticationToken(username, password);
代码语言:txt
复制
    final Authentication authentication = authenticationManager.authenticate(upToken);
代码语言:txt
复制
    SecurityContextHolder.getContext().setAuthentication(authentication);
代码语言:txt
复制
    UserDetails userDetails = userDetailsService.loadUserByUsername(username);
代码语言:txt
复制
    return new RetResult(RetCode.SUCCESS.getCode(),jwtTokenUtil.generateToken(userDetails));
代码语言:txt
复制
}

}

代码语言:txt
复制
## 最后配置Config

@EnableGlobalMethodSecurity(prePostEnabled = true)

@EnableWebSecurity

public class WebSecurity extends WebSecurityConfigurerAdapter {

代码语言:txt
复制
@Autowired
代码语言:txt
复制
private UserDetailsService userDetailsService;
代码语言:txt
复制
@Autowired
代码语言:txt
复制
private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
代码语言:txt
复制
@Autowired
代码语言:txt
复制
public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
代码语言:txt
复制
    authenticationManagerBuilder.userDetailsService(this.userDetailsService).passwordEncoder(passwordEncoder());
代码语言:txt
复制
}
代码语言:txt
复制
@Bean(name = BeanIds.AUTHENTICATION_MANAGER)
代码语言:txt
复制
@Override
代码语言:txt
复制
public AuthenticationManager authenticationManagerBean() throws Exception {
代码语言:txt
复制
    return super.authenticationManagerBean();
代码语言:txt
复制
}
代码语言:txt
复制
@Bean
代码语言:txt
复制
public PasswordEncoder passwordEncoder() {
代码语言:txt
复制
    return new BCryptPasswordEncoder();
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
protected void configure(HttpSecurity http) throws Exception {
代码语言:txt
复制
    http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
代码语言:txt
复制
            .and().authorizeRequests()
代码语言:txt
复制
            .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
代码语言:txt
复制
            .antMatchers("/auth/**").permitAll()
代码语言:txt
复制
            .anyRequest().authenticated()
代码语言:txt
复制
            .and().headers().cacheControl();
代码语言:txt
复制
    http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
代码语言:txt
复制
    ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http.authorizeRequests();
代码语言:txt
复制
    registry.requestMatchers(CorsUtils::isPreFlightRequest).permitAll();
代码语言:txt
复制
}
代码语言:txt
复制
@Bean
代码语言:txt
复制
public CorsFilter corsFilter() {
代码语言:txt
复制
    final UrlBasedCorsConfigurationSource urlBasedCorsConfigurationSource = new UrlBasedCorsConfigurationSource();
代码语言:txt
复制
    final CorsConfiguration cors = new CorsConfiguration();
代码语言:txt
复制
    cors.setAllowCredentials(true);
代码语言:txt
复制
    cors.addAllowedOrigin("*");
代码语言:txt
复制
    cors.addAllowedHeader("*");
代码语言:txt
复制
    cors.addAllowedMethod("*");
代码语言:txt
复制
    urlBasedCorsConfigurationSource.registerCorsConfiguration("/**", cors);
代码语言:txt
复制
    return new CorsFilter(urlBasedCorsConfigurationSource);
代码语言:txt
复制
}

}

代码语言:txt
复制
## 运行,返回token
运行,返回结果为token[![](https://www.iming.info/wp-content/uploads/2020/06/wp_editor_md_ec49f8d680cf76177fa79baa2f561e5b.jpg)](https://www.iming.info/wp-content/uploads/2020/06/wp_editor_md_ec49f8d680cf76177fa79baa2f561e5b.jpg)


# SpringSecurity JSON登录
这里配置SpringSecurity之JSON登录

这里需要重写UsernamePasswordAnthenticationFilter类,以及配置SpringSecurity

## 重写UsernamePasswordAnthenticationFilter

public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

代码语言:txt
复制
@Override
代码语言:txt
复制
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
代码语言:txt
复制
    //attempt Authentication when Content-Type is json
代码语言:txt
复制
    if(request.getContentType().equals(MediaType.APPLICATION_JSON_UTF8_VALUE)
代码语言:txt
复制
            ||request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)){
代码语言:txt
复制
        //use jackson to deserialize json
代码语言:txt
复制
        ObjectMapper mapper = new ObjectMapper();
代码语言:txt
复制
        UsernamePasswordAuthenticationToken authRequest = null;
代码语言:txt
复制
        try (InputStream is = request.getInputStream()){
代码语言:txt
复制
            AuthenticationBean authenticationBean = mapper.readValue(is,AuthenticationBean.class);
代码语言:txt
复制
            authRequest = new UsernamePasswordAuthenticationToken(
代码语言:txt
复制
                    authenticationBean.getUsername(), authenticationBean.getPassword());
代码语言:txt
复制
        }catch (IOException e) {
代码语言:txt
复制
            e.printStackTrace();
代码语言:txt
复制
            authRequest = new UsernamePasswordAuthenticationToken(
代码语言:txt
复制
                    "", "");
代码语言:txt
复制
        }finally {
代码语言:txt
复制
            setDetails(request, authRequest);
代码语言:txt
复制
            return this.getAuthenticationManager().authenticate(authRequest);
代码语言:txt
复制
        }
代码语言:txt
复制
    }
代码语言:txt
复制
    //transmit it to UsernamePasswordAuthenticationFilter
代码语言:txt
复制
    else {
代码语言:txt
复制
        return super.attemptAuthentication(request, response);
代码语言:txt
复制
    }
代码语言:txt
复制
}

}

代码语言:txt
复制
## 配置SecurityConfig

@Override

protected void configure(HttpSecurity http) throws Exception {

代码语言:txt
复制
http
代码语言:txt
复制
        .cors().and()
代码语言:txt
复制
        .antMatcher("/**").authorizeRequests()
代码语言:txt
复制
        .antMatchers("/", "/login**").permitAll()
代码语言:txt
复制
        .anyRequest().authenticated()
代码语言:txt
复制
        //这里必须要写formLogin(),不然原有的UsernamePasswordAuthenticationFilter不会出现,也就无法配置我们重新的UsernamePasswordAuthenticationFilter
代码语言:txt
复制
        .and().formLogin().loginPage("/")
代码语言:txt
复制
        .and().csrf().disable();
代码语言:txt
复制
//用重写的Filter替换掉原有的UsernamePasswordAuthenticationFilter
代码语言:txt
复制
http.addFilterAt(customAuthenticationFilter(),
代码语言:txt
复制
UsernamePasswordAuthenticationFilter.class);

}

//注册自定义的UsernamePasswordAuthenticationFilter

@Bean

CustomAuthenticationFilter customAuthenticationFilter() throws Exception {

代码语言:txt
复制
CustomAuthenticationFilter filter = new CustomAuthenticationFilter();
代码语言:txt
复制
filter.setAuthenticationSuccessHandler(new SuccessHandler());
代码语言:txt
复制
filter.setAuthenticationFailureHandler(new FailureHandler());
代码语言:txt
复制
filter.setFilterProcessesUrl("/login/self");
代码语言:txt
复制
//这句很关键,重用WebSecurityConfigurerAdapter配置的AuthenticationManager,不然要自己组装AuthenticationManager
代码语言:txt
复制
filter.setAuthenticationManager(authenticationManagerBean());
代码语言:txt
复制
return filter;

}

代码语言:txt
复制
这样就完成使用json登录SpringSecurity

# Spring Security 密码加密方式
需要在Config 类中配置如下内容

/**

代码语言:txt
复制
 * 密码加密
 */
@Bean
public BCryptPasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
}即,使用此方法,对密码进行加密, 在业务层的时候,使用此加密的方法@Service
@Transactional
public class UserServiceImpl implements UserService {
代码语言:txt
复制
@Resource
代码语言:txt
复制
private UserRepository userRepository;
代码语言:txt
复制
@Resource
代码语言:txt
复制
private BCryptPasswordEncoder bCryptPasswordEncoder;  //注入bcryct加密
代码语言:txt
复制
@Override
代码语言:txt
复制
public User add(User user) {
代码语言:txt
复制
    user.setPassword(bCryptPasswordEncoder.encode(user.getPassword())); //对密码进行加密
代码语言:txt
复制
    User user2 = userRepository.save(user);
代码语言:txt
复制
    return user2;
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
public ResultInfo login(User user) {
代码语言:txt
复制
    ResultInfo resultInfo=new ResultInfo();
代码语言:txt
复制
    User user2 = userRepository.findByName(user.getName());
代码语言:txt
复制
    if (user2==null) {
代码语言:txt
复制
        resultInfo.setCode("-1");
代码语言:txt
复制
        resultInfo.setMessage("用户名不存在");
代码语言:txt
复制
        return resultInfo;
代码语言:txt
复制
    }
代码语言:txt
复制
    //判断密码是否正确
代码语言:txt
复制
    if (!bCryptPasswordEncoder.matches(user.getPassword(),user2.getPassword())) {
代码语言:txt
复制
        resultInfo.setCode("-1");
代码语言:txt
复制
        resultInfo.setMessage("密码不正确");
代码语言:txt
复制
        return resultInfo;
代码语言:txt
复制
    }
代码语言:txt
复制
    resultInfo.setMessage("登录成功");
代码语言:txt
复制
    return resultInfo;
代码语言:txt
复制
}

}

代码语言:txt
复制
即,使用BCryptPasswordEncoder 对密码进行加密,保存数据库

# 使用数据库认证
这里使用数据库认证SpringSecurity

## 设计数据表
这里设计数据表

[![](https://www.iming.info/wp-content/uploads/2020/06/wp_editor_md_ff07d3ab8e10116f796fc8af57226d6b.jpg)](https://www.iming.info/wp-content/uploads/2020/06/wp_editor_md_ff07d3ab8e10116f796fc8af57226d6b.jpg)


## 着重配置SpringConfig

@Configurable

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

代码语言:txt
复制
@Autowired
代码语言:txt
复制
private UserService userService;    // service 层注入
代码语言:txt
复制
@Bean
代码语言:txt
复制
PasswordEncoder passwordEncoder(){
代码语言:txt
复制
    return new BCryptPasswordEncoder();
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
代码语言:txt
复制
    // 参数传入Service,进行验证
代码语言:txt
复制
    auth.userDetailsService(userService);
代码语言:txt
复制
}
代码语言:txt
复制
@Override
代码语言:txt
复制
protected void configure(HttpSecurity http) throws Exception {
代码语言:txt
复制
    http.authorizeRequests()
代码语言:txt
复制
            .antMatchers("/admin/**").hasRole("admin")
代码语言:txt
复制
            .anyRequest().authenticated()
代码语言:txt
复制
            .and()
代码语言:txt
复制
            .formLogin()
代码语言:txt
复制
            .loginProcessingUrl("/login").permitAll()
代码语言:txt
复制
            .and()
代码语言:txt
复制
            .csrf().disable();
代码语言:txt
复制
}

}

代码语言:txt
复制

这里着重配置SpringConfig

小结

着重讲解了RBAC的权限配置,以及简单的使用SpringSecurity,以及使用SpringSecurity + JWT 完成前后端的分离,以及配置json登录,和密码加密方式,

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

java
网站
spring
javascript
访问管理

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

java
网站
spring
javascript
访问管理
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
目录
  • RBAC权限分析
    • 思维导图
    • 什么是RBAC
    • 模型分类
      • RBAC0
      • RBAC1
      • RBAC2 模型
      • RBAC3模型
      • 什么是权限
      • 用户组的使用
  • SpringSecurity 简单使用
    • 增加用户名和密码
  • 小结
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2026 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论