2. 程式人生 > 其它 >Spring Security【一】 ------ 前後端分離開發

Spring Security【一】 ------ 前後端分離開發

阿新 發佈:2021-06-24

之前專案中都是使用shiro作為安全框架,但是很多資料推薦spring security作為spring專案的安全框架。既然用著spring,那spring security自然還是要了解下的。

但是在實際接觸中發現,比shori的學習成本高點。還有就是大部分都停留在將前端程式碼放在後端路徑下,頁面的跳轉,重定向都由後端程式碼實現。這在當下的前後端分離開發中還是不合適的,所以經過我這幾天的各種搗鼓,終於實現了speing security的前後端分離開發,後端主要處理介面資料,頁面全部由前端處理,傳輸使用JSON格式。

一、程式碼結構

二、實現過程

spring security底層實現就是一串過濾器,因此我們需要重寫裡面的一些方法,返回JSON格式。前端根據JSON資料進而實現使用者的登入與身份驗證等操作。具體程式碼如下

一、建立實體,實現 UserDetails介面,記得實現方法將boolean返回值改為true

@Setter
@Getter
public class BlogUser extends BaseEntity implements UserDetails {
 
    public BlogUser() {
    }
 
    public BlogUser(String userName, String userPassword) {
        this.userName = userName;
        this.userPassword = userPassword;
    }
 
    
 
private static final Short ENABLE_FALSE = 0;
 
    /**
     * 使用者名稱
     */
    private String userName;
 
    /**
     * 密碼
     */
    private String userPassword;
 
    /**
     * 使用者的角色
     * @return 角色組
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        
 
return null;
    }
 
    @Override
    public String getPassword() {
        return this.userPassword;
    }
 
    @Override
    public String getUsername() {
        return this.userName;
    }
 
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
 
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
 
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
 
    @Override
    public boolean isEnabled() {
        return !this.enable.equals(ENABLE_FALSE);
    }

二、編寫DAO層程式碼,實現UserDetailsService,重寫loadUserByUsername方法

@Component
public class SelfUserDetailsServiceImpl implements UserDetailsService {

@Autowired
private BlogUserMapper mapper;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
BlogUser blogUser = mapper.loadUserByUsername(username);
if(ObjectUtils.isEmpty(blogUser)){
throw new UsernameNotFoundException("根據使用者名稱未找到使用者資訊");
}
return blogUser;
}
}


到此為止,security框架需要你做的事情已經完了。它會有一個預設登入頁面(很醜,一看就是後端寫的)。封裝的還是很強大的。同時還支援前後端分離配置,不得不佩服spring的強大,下面看具體實現。

三、首先先看下security的配置類

@EnableWebSecurity
@Configuration
public class WebSecurityConfigure extends WebSecurityConfigurerAdapter {

/**
* 自定義登入認證
*/
@Autowired
private SelfAuthenticationProvider authenticationProvider;

/**
* 自定義登入成功處理器
*/
@Autowired
private UrlAuthenticationSuccessHandler authenticationSuccessHandler;

/**
* 自定義登入失敗處理器
*/
@Autowired
private UrlAuthenticationFailureHandler authenticationFailureHandler;

/**
* 自定義登出處理器
*/
@Autowired
private UrlLogoutSuccessHandler logoutSuccessHandler;


/**
* 登入認證
* @param auth 登陸管理器
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) {
//新增自定義登陸認證
auth.authenticationProvider(authenticationProvider);
}

/**
* 具體配置登陸細節
* @param http 登陸訪問物件
* @throws Exception 登陸異常
*/
@Override
protected void configure(HttpSecurity http) throws Exception {
//關閉csrf
http.csrf().disable()
//關閉Session
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
//開放api路徑
.authorizeRequests().antMatchers("/api/**","/five-service/blog-article/search/**","/five-service/blog-article/point","/five-service/blog-user/login").
permitAll()
.anyRequest().authenticated()
//開啟自動配置的登陸功能
.and()
//自定義登入請求路徑(post請求)
.formLogin().usernameParameter("userName").passwordParameter("userPassword")
.loginProcessingUrl("/five-service/login")
//驗證成功處理器
.successHandler(authenticationSuccessHandler)
//驗證失敗處理器
.failureHandler(authenticationFailureHandler).permitAll()
.and()
//關閉攔截未登入自動跳轉,改為返回json資訊
.exceptionHandling().authenticationEntryPoint(selfLoginUrlAuthenticationEntryPoint())
//開啟自動配置的登出功能
.and()
.logout()
.logoutUrl("/five-service/logout")
//登出成功處理器
.logoutSuccessHandler(logoutSuccessHandler).permitAll()
.and()
//新增token過濾器
.addFilter(new TokenAuthenticationFilter(authenticationManagerBean()));
}

/**
* 身份認證失敗處理類
* @return AuthenticationEntryPoint
*/
@Bean
public AuthenticationEntryPoint selfLoginUrlAuthenticationEntryPoint() {
return new SelfLoginUrlAuthenticationEntryPoint("/");
}

/**
* 重寫方法,是上下文可以獲取本地快取物件
* @return AuthenticationManager 本地快取物件
* @throws Exception 異常
*/
@Bean
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}

}

首先是自定義登入處理SelfAuthenticationProvider

@Component
public class SelfAuthenticationProvider implements AuthenticationProvider {

//DAO查詢使用者
@Autowired
private SelfUserDetailsServiceImpl userDetailsService;

//密碼加密解密
@Autowired
private BCryptPasswordEncoder bCryptPasswordEncoder;

@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
//表單輸入的使用者名稱
String username = (String) authentication.getPrincipal();
//表單輸入的密碼
String password = (String) authentication.getCredentials();
UserDetails userDetails = userDetailsService.loadUserByUsername(username);
//對加密密碼進行驗證
if(bCryptPasswordEncoder.matches(password,userDetails.getPassword())){
return new UsernamePasswordAuthenticationToken(username,password,null);
}else {
throw new BadCredentialsException("密碼錯誤");
}
}

@Override
public boolean supports(Class<?> aClass) {
return true;
}

然後是登陸成功處理類UrlAuthenticationSuccessHandler

@Component
public class UrlAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

@Override
public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException {
//security在分散式環境token使用,下一章會寫道
Cookie token = TokenUtils.createToken(httpServletRequest);
httpServletResponse.addCookie(token);
httpServletResponse.setHeader("Content-Type", "application/json;charset=utf-8");
httpServletResponse.setStatus(200);
PrintWriter writer = httpServletResponse.getWriter();
writer.write(HttpResult.getJsonResult(200,"登陸成功"));
writer.flush();
writer.close();
}
}

然後是登入失敗處理類UrlAuthenticationFailureHandler

@Component
public class UrlAuthenticationFailureHandler implements AuthenticationFailureHandler {

@Override
public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException {
httpServletResponse.setCharacterEncoding("UTF-8");
httpServletResponse.setStatus(401);
PrintWriter writer = httpServletResponse.getWriter();
writer.write(HttpResult.getJsonResult(401,"登陸失敗"));
writer.flush();
writer.close();
}
}

最後是登出成功處理類

@Component
public class UrlLogoutSuccessHandler implements LogoutSuccessHandler {

@Override
public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException {
httpServletResponse.setCharacterEncoding("UTF-8");
httpServletResponse.setStatus(200);
PrintWriter writer = httpServletResponse.getWriter();
writer.write(HttpResult.getJsonResult(100,"登出成功"));
writer.flush();
writer.close();
}
}


至此後端程式碼就全部完成,前端根據JSON解析來完成登入及身份驗證的全部動作。在配置類中可以看到我開啟禁用session配置,目的是將使用者資訊存入redis,實現分散式身份驗證需求。在單機環境下,可以開啟session(預設開啟),同時在過濾鏈中將自定義的TokenAuthenticationFilter去掉即可。


原文連結:https://blog.csdn.net/qq314499182/article/details/87913202

相關推薦

Spring Security ------ 前後分離開發

之前專案中都是使用shiro作為安全框架,但是很多資料推薦spring security作為spring專案的安全框架。既然用著spring,那spring security自然還是要了解下的。

flask + vue 前後分離部落格建立第一個 Flask RESTFul(

1. 程式碼管理 1.1 建立倉庫 github 上建立倉庫:flask-vuejs-madblog,並選擇開源協議為 MIT License(也可以選擇 gitee,速度快一些比之 github)。

2021年8月9日學習筆記Spring Boot+Vue前後分離開發

前後端分離前後端分離已成為網際網路專案開發的業界標準使用方式,通過nginx+tomcat的方式(也可以中間加一個node.js)有效的進行解耦,並且前後端分離會為以後的大型分散式架構、彈性計算架構、微服務架構、多

flask + vue 前後分離部落格設計 User 使用者(三)

本章基於 token 認證,新增 建立使用者、獲取單個/所有使用者、修改使用者、刪除使用者 等 API 介面,測試工具 HTTPie/Postman。

flask + vue 前後分離部落格使用 axios 訪問介面(二)

建立 dev 分支: $ git checkout -b dev 本章主要是初始化前端專案,並打通前後介面。

全棧的自我修養: 001環境搭建 (使用Vue,Spring Boot,Flask,Django 完成Vue前後分離開發)

全棧的自我修養: 環境搭建 Not all those who wander are lost. 彷徨者並非都迷失方向。

記載前後分離(SSM+VUE+nginx)部署在本地電腦上的實現

1.環境搭建 tomcat ---------- 安裝,部署,配置環境變數 nginx --------- 解壓就行 2.配置檔案修改

Spring Cloud + Vue 前後分離 開發企業級線上視訊課程系統

Spring Cloud + Vue 前後分離開發企業級線上視訊課程系統 3-1 整合持久層框架Mybatis

前後分離專案的部署過程

技術標籤:SpringBoot 最近剛完成次課設,把一個前後專案完整的部署到了線上,其中遇到的困難和部署的方法在這裡記錄一下!

前後分離開發vue+Elementyui+abpcorewebapi商城管理系統(三)登入退出功能

登入功能概述 token原理分析 登入頁面佈局 ElementUI官網文件地址: https://element.eleme.cn/2.0/#/zh-CN/component/form

前後分離開發vue+Elementyui+abpcorewebapi商城管理系統(十)分類引數管理頁面

功能分析 效果圖 程式碼Params.vue <template> <div> <el-breadcrumb separator-class=\"el-icon-arrow-right\">

webpack 前後分離開發介面除錯解決方案,proxyTable解決方案

如果你有單獨的後開發伺服器 API,並且希望在同域名下發送 API 請求 ,那麼代理某些 URL 會很有用。dev-server 使用了非常強大的 http-proxy-middleware 包。更多高階用法,請查閱其文件。

前後分離開發中動態選單的兩種實現方案

1. 一個原則 做許可權管理,一個核心思想就是後做許可權控制,前端做的所有工作都只是為了提高使用者體驗,我們不能依靠前端展示或者隱藏一個按鈕來實現許可權控制,這樣肯定是不安全的。

前後分離開發之虛擬環境搭建、目錄更改、資料庫配置等相關內容-115

1 企業軟體開發流程 1 網際網路軟體公司-網際網路產品,上網使用者-產品經理-產品需求:來自於產品經理-設計產品原型(axure,墨刀,ui部門)---》原型圖-後:技術選型,架構設計,資料庫設計,分任務開發(你們處

使用aspnetcore前後分離開發,你一定要知道這個

前言 用過Vue單頁面應用開發的,定都知道Vue-router這個路由元件,它支援hash和history兩種模式。

Spring Security前後分離專案中的實踐(1)

1 概述 如今,前後端分離開發)已經非常常見了。由於任務需要,要在基於 Spring Boot 的 Web 專案中整合 Spring Security 完成使用者模組的登入和認證等功能,但是在網上查閱的(中文)資料中,對前後端完全分離

前後分離Spring security 從healer的token獲取Session

Cookie->Token 由於HTTP協議是無狀態協議,為了能夠跟蹤使用者的整個會話,常用的是Cookie和Session模式

手摸手,帶你搭建前後分離商城系統01 搭建基本程式碼框架、生成一個基本API

手摸手,帶你搭建前後分離商城系統01 搭建基本程式碼框架、生成一個基本API

Python+Django+Vue+Element UI 實現前後分離的web專案開發

、概述 二、前端頁面開發 2.1、在html檔案的頭中引入相關模組 <head> <meta charset=\"UTF-8\">

.Net Core從零開始前後分離(二)——後專案搭建

、環境安裝 首先需要安裝 .Net Core的SDK環境。 下載 SDK 地址 :https://dotnet.microsoft.com/download