SpringBoot+SpringSecurity实现认证的流程详解
更新时间:2024年05月19日 08:27:28 作者:小薛cOde
这篇文章主要介绍了SpringBoot+SpringSecurity实现认证的流程,文中通过代码示例和图文结合的方式讲解的非常详细,对大家的学习或工作有一定的帮助,需要的朋友可以参考下
整合springSecurity
对应springboot版本,直接加依赖,这样版本不会错
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
比如我这里是2.6.4的版本。对应的springSecurity版本是5.6.x
没找到springSecurity对应springboot依赖对应表
但springboot2.x基本对应security的5.x版本
3.x对应6.x版本
最基本的概念:
认证和授权
- 认证(Authentication):用户输入账户密码,系统让其登录到系统里
- 授权(authorities):用户的权限不同,他们能在系统做的事情都不同
springSecurity如何实现认证
UsernamePasswordAuthenticationToken可以允许你传入username和password参数
关键代码
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());
然后调用UserDetailsService的loadUserByUsername方法根据username查出数据库中的这个用户
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//查询用户信息
User user = userMapper.findByColumnAndValue("user_name", username);
if(user==null){
throw new UsernameNotFoundException("用户名或密码错误");
}
//查询用户权限
List<String> perms = menuMapper.selectPermsByUserId(user.getId());
return new LoginUser(user,perms);
}
然后可以调用authenticationManager.authenticate方法对用户输入的账号密码进行验证,密码会经过passwordEncoder去加密,然后和数据库中该用户的账号密码比对。
//加密器 bean
@Bean
public PasswordEncoder PasswordEncoder(){
return new BCryptPasswordEncoder();
}
//验证逻辑
Authentication authenticate = authenticationManager.authenticate(usernamePasswordAuthenticationToken);
如果通过,返回一个Authentication对象,封装了该用户的信息。像这样:
这时需要将信息保存到Security上下文。
像这样:
SecurityContextHolder.getContext().setAuthentication(authenticate);
这样,后面的代码就可以通过SecurityContextHolder.getContext()来获取当前用户了。
如果失败,springSecurity会抛出一个异常:AuthenticationException。
框架有默认异常处理器,但一般你可以自定义异常处理器,并把错误信息和业务整合。像这样:
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
ResponseResult<Object> noAuthentication = ResponseResult.noAuthentication("认证失败");
String json = JSON.toJSONString(noAuthentication);
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Cache-Control","no-cache");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json");
response.getWriter().println(json);
response.getWriter().flush();
}
}
其他接口如何校验用户是否登录
需要一个检查登录过滤器,这个过滤器要通过检查token,并解析出用户信息,保存到Security上下文
@Component
public class CheckLoginFilter extends OncePerRequestFilter {
@Autowired
private UserMapper userMapper;
@Autowired
private RedisCache redisCache;
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
// 如果请求路径是登录接口,直接放行
String requestURI = request.getRequestURI();
if ("/user/login".equals(requestURI)) {
filterChain.doFilter(request, response);
return;
}
//获取token
String token = request.getHeader("token");
if(token==null){
//springSecurity有一个过滤器会自动检查Context有没有认证
throw new RuntimeException("token为空");
}
//解析token,获取userId
Claims claims = JwtUtils.parserClaimsFromToken(token);
if(claims==null){
throw new RuntimeException("token非法");
}
//从redis数据库里取
Long userId = claims.get("userId", Long.class);
String redisKey="login:"+userId;
LoginUser loginUser = (LoginUser) redisCache.getCacheObject(redisKey);
if(loginUser==null){
throw new RuntimeException("没有登录:redis没有登录key");
}
//todo 从数据库查该用户的权限,先写死
//将用户信息存入Authentication
//权限存入,全局设置为该请求已经认证过
UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,loginUser.getAuthorities());
SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
//checkLogin完成,放行
filterChain.doFilter(request,response);
}
}
基本流程图
以上就是SpringBoot+SpringSecurity实现认证的流程详解的详细内容,更多关于SpringBoot SpringSecurity认证流程的资料请关注脚本之家其它相关文章!
相关文章
Redis提供了哨兵模式来处理主从切换和故障转移,本文主要介绍了SpringBoot整合Redis的哨兵模式的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2024-08-08
这篇文章主要介绍了IDEA如何加载resources文件夹下文件相对路径问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-12-12
微信授权登录,官方文档写的比较简洁。所以对于会的人一目了然,而对于新手刚入门的人来说是举步维艰。本文详细的介绍了Java微信授权登陆的实现示例,感兴趣的朋友可以了解一下2021-06-06
使用Jenkins Pipeline自动化构建发布Java项目的方法
这篇文章主要介绍了使用Jenkins Pipeline自动化构建发布Java项目的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2019-04-04
新建Maven工程出现Process Terminated的问题解决
当Maven出现"Process terminated"错误时,这通常是由于配置文件或路径错误导致的,本文主要介绍了新建Maven工程出现Process Terminated的问题解决,感兴趣的可以了解一下2024-04-04
这篇文章主要介绍了java 输出9*9口诀的代码,需要的朋友可以参考下2017-02-02
这篇文章主要介绍了Springboot事务失效的几种情况解读,因为Spring AOP默认使用动态代理,会给被代理的类生成一个代理类,事务相关的操作都通过代理来完成,使用内部方法调用时,使用的是实例调用,没有通过代理类调用方法,因此事务不会检测到失败,需要的朋友可以参考下2023-10-10
这篇文章主要介绍了javax.validation自定义日期范围校验注解操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2020-09-09
今天小编就为大家分享一篇关于Hibernate一级缓存和二级缓存详解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧2019-03-03
这篇文章主要给大家介绍了关于Java中Arrays及使用方法的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-09-09
最新评论