26.JavaWeb-SpringSecurity安全框架

1.SpringSecurity安全框架

        Spring Security是一个功能强大且灵活的安全框架,它专注于为Java应用程序提供身份验证(Authentication)、授权(Authorization)和其他安全功能。Spring Security可以轻松地集成到Spring框架中,为应用程序提供全面的安全性,包括但不限于以下功能:

  1. 身份验证(Authentication):Spring Security支持多种身份验证方式,如基于表单的身份验证、基于HTTP基本认证、基于OAuth2等。它可以轻松地集成到现有的用户认证系统中,也可以自定义认证逻辑。

  2. 授权(Authorization):Spring Security允许您定义资源的访问控制规则,以控制哪些用户有权访问哪些资源。您可以使用注解或配置来定义授权规则,从而实现细粒度的权限控制。

  3. 会话管理:Spring Security支持会话管理,可以处理会话超时、并发登录控制等问题,确保用户会话的安全性。

  4. CSRF(Cross-Site Request Forgery)保护:Spring Security可以防止跨站请求伪造攻击,保护应用程序免受此类攻击。

  5. 记住我(Remember Me):Spring Security提供了"记住我"功能,允许用户在下次访问时保持登录状态。

  6. 注销(Logout):Spring Security可以处理用户注销操作,包括清除会话信息、退出登录等。

  7. 安全事件和日志:Spring Security提供了安全事件监听器和日志,可以记录安全事件,便于监控和审计。

  8. OAuth2支持:Spring Security对OAuth2协议提供了强大的支持,可以轻松实现OAuth2认证和授权。

1.1 SpringSecurity配置类

        过编写配置类,可以定义身份验证方式、授权规则、会话管理等安全相关的设置

2.前后端不分离实现

3.前后端分离实现

3.1 身份验证

3.1.1 service层

        将提交的账号密码封装成authentication对象,然后通过认证管理器进行认证

@Slf4j
@Service
public class UserServiceImpl implements UserService {//认证管理器@Resourceprivate AuthenticationManager authenticationManager;@Resourceprivate UserMapper userMapper;@Overridepublic User findByAccount(String account, String password) {//将账号密码封装成token对象UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(account,password);//调用security认证流程//只要此处得到Authentication就说明登陆成功Authentication authenticate = authenticationManager.authenticate(token);//获取user信息System.out.println(authenticate.getPrincipal());User user = (User) authenticate.getPrincipal();if(authenticate==null){log.debug("登陆失败");return null;}else{log.debug("登陆成功");return user;}}@Overridepublic User findById(int id) {return userMapper.findById(id);}
}

3.1.2 controller层

        将用户信息返回给前端,将token、refreshtoken通过响应头返回给前端

@Slf4j
@RestController
@RequestMapping("/user")
public class UserController {@Resourceprivate UserService userService;@Resourceprivate RedisTemplate<String, Object> redisTemplate;@PostMapping("/login")public ResponseResult<User> login(@RequestBody LoginVo loginVo, HttpSession session, HttpServletResponse response){User user = userService.findByAccount(loginVo.getAccount(),loginVo.getPassword());
DigestUtils.md5DigestAsHex(loginVo.getPassword().getBytes()).equals(user.getPassword())){//登陆成功//生成Token令牌String token = JWTUtil.generateToken(user.getId());//生成refreshTokenString refreshtoken = UUID.randomUUID().toString();//放到redis中redisTemplate.opsForValue().set(refreshtoken,token,JWTUtil.REFRESH_TOKEN_EXPIRE_TIME, TimeUnit.MILLISECONDS);//将token放到响应头中返回给前端(流行做法)response.setHeader("authorization",token);response.setHeader("refreshtoken",refreshtoken);//暴露头,浏览器不认识自定义的头,如果不暴露浏览器会自动屏蔽response.setHeader("Access-Control-Expose-Headers","authorization,refreshtoken");return new ResponseResult<>(200,"登陆成功",user);}
}

3.2 鉴权

        UsernamePasswordAuthenticationFilter之前手动的将authentication对象放到上下文中

3.2.1 创建过滤器继承OncePerRequestFilter

@Component
public class CustomAuthenticationFilter extends OncePerRequestFilter {@Resourceprivate UserService userService;@Resourceprivate RedisTemplate redisTemplate;@Overrideprotected void doFilterInternal(HttpServletRequest request, HttpServletResponse servletResponse, FilterChain filterChain) throws ServletException, IOException {// 获取token、refreshtokenString token = request.getHeader("authorization");//AuthenticationString refreshtoken = request.getHeader("refreshtoken");if (token != null && token.length() !=0 ){// 校验refreshtoken、token// 校验refreshtoken:redis中是否有这个key  token是否为空 验证token是否与redis一致if (refreshtoken == null || !redisTemplate.hasKey(refreshtoken) || token == null || JWTUtil.verify(token) == TokenEnum.TOKEN_BAD || !token.equals(redisTemplate.opsForValue().get(refreshtoken))){// 非法、过期  去登录extracted(servletResponse);return;}// refreshtoken合法、有token、token合法且与redis一致 得到用户id放到session中request.getSession().setAttribute("uid", JWTUtil.getuid(token));// 如果过期if(JWTUtil.verify(token) == TokenEnum.TOKEN_EXPIRE){// 过期,重新生成tokentoken = JWTUtil.generateToken(JWTUtil.getuid(token));// 修改redis中的数据redisTemplate.opsForValue().set(refreshtoken, token,JWTUtil.REFRESH_TOKEN_EXPIRE_TIME, TimeUnit.MILLISECONDS);// 将新的token返回给前端HttpServletResponse response = (HttpServletResponse)servletResponse;response.setHeader("authorization", token);response.setHeader("Access-Control-Expose-Headers","authorization");}// 获取当前用户的idint uid = JWTUtil.getuid(token);// 通过用户id查询当前用户的角色、权限信息User user = userService.findById(uid);// 将用户信息封装成Authentication对象UsernamePasswordAuthenticationToken authenticationToken =new UsernamePasswordAuthenticationToken(user, null, user.getAuthorities());// 将Authentication对象放到上下文SecurityContextHolder.getContext().setAuthentication(authenticationToken);}filterChain.doFilter(request, servletResponse);}private static void extracted(ServletResponse servletResponse) throws IOException {ResponseResult<Object> responseResult = new ResponseResult<>(403,"无法访问此界面,请登录",null);//转jsonString json = new ObjectMapper().writeValueAsString(responseResult);//设置响应头servletResponse.setContentType("application/json;charset=utf-8");servletResponse.getWriter().write(json);}
}

3.2.2 在配置类中将过滤器放在UsernamePasswordAuthenticationFilter之前

@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().addFilterBefore(authenticationFilter, UsernamePasswordAuthenticationFilter.class);  }

3.3 异常处理

        在Spring Security中,异常处理是处理安全相关的异常情况,例如认证失败、访问拒绝等

        1.当用户未登录或者认证失败时,Spring Security 会调用 AuthenticationEntryPoint 的实现来处理该异常,并返回适当的响应给客户端

        2.当用户提供的凭据不正确或者认证失败时,Spring Security会抛出BadCredentialsException异常。可以通过实现AuthenticationFailureHandler接口来自定义认证失败的处理逻辑

        3.当用户访问了没有权限的资源时,Spring Security会抛出AccessDeniedException异常。可以通过实现AccessDeniedHandler接口来自定义访问拒绝的处理逻辑

3.3.1 未登录异常

@Component
@RestControllerAdvice
public class CustomNologinExceptionHandler implements AuthenticationEntryPoint {@Overridepublic void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8");httpServletResponse.getWriter().write(new ObjectMapper().writeValueAsString(new ResponseResult<>(403,"你没有登录",false)));}
}

 3.3.1.1 配置类中处理未登录规则

@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().authenticationEntryPoint(customNoLoginExceptionHandler)// 用户没登录怎么处理}

3.3.2 账号密码有误异常

        全局异常处理:一种在应用程序中统一处理异常的机制,它能够捕获应用程序中抛出的所有异常,并通过统一的处理逻辑进行处理,以便更好地向用户返回错误信息或执行其他操作

        注:全局异常处理捕获不到security中报的某些异常

@Slf4j
@RestControllerAdvice
public class AuthenticationExceptionHandler {@ExceptionHandler(BadCredentialsException.class)public ResponseResult<Boolean> handler(BadCredentialsException e){log.debug(e.getClass()+"");return new ResponseResult<>(403,"账号或密码有误",false);}
}

3.3.3 无权限异常

@Component
@RestControllerAdvice
public class CustomAccessDeniedHandler implements AccessDeniedHandler {@Overridepublic void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, org.springframework.security.access.AccessDeniedException e) throws IOException, ServletException {httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8");httpServletResponse.getWriter().write(new ObjectMapper().writeValueAsString(new ResponseResult<>(401,"你没有权限",false)));}
}

3.3.3.1 配置类中处理没权限规则

@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().exceptionHandling()  // 指定异常处理.accessDeniedHandler(customAccessDeniedHandler) // 没权限怎么处理}

3.4 解决swagger冲突问题

3.4.1 在配置类中进行放行swagger静态资源

@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/swagger-ui.html","/webjars/**","/v2/**","/swagger-resources/**").permitAll() //不需要认证就能访问.anyRequest().authenticated() // 需要认证}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/4919.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

MySQL数据库(五)

目录 一、数据库的约束 1.1 约束类型 1.1.1 null约束 1.1.2unique约束 1.1.3default默认值约束 1.1.4primary key主键约束 1.1.5foreign key外键约束 二、内容重点总结 一、数据库的约束 1.1 约束类型 not null - 指示某列不能存储 null值。unique - 保证某列的每行必须有唯一…

上市公司Git分支管理规范

Git分支管理策略 主分支Master 首先&#xff0c;代码库应该有一个、且仅有一个主分支。所有提供给用户使用的正式版本&#xff0c;都在这个主分支上发布。 Git主分支的名字&#xff0c;默认叫做Master。它是自动建立的&#xff0c;版本库初始化以后&#xff0c;默认就是在主…

采集传感器的物联网网关怎么采集数据?

随着工业4.0和智能制造的快速发展&#xff0c;物联网&#xff08;IoT&#xff09;技术的应用越来越广泛&#xff0c;传感器在整个物联网系统中使用非常普遍&#xff0c;如温度传感器、湿度传感器、光照传感器等&#xff0c;对于大部分物联网应用来说&#xff0c;采集传感器都非…

Ubuntu学习笔记(二)——文件属性与权限

文章目录 前言一、用户与用户组1.用户&#xff08;文件拥有者&#xff09;2.用户组3.其他人 二、Linux用户身份与用户组记录文件1. /etc/passwd2. /etc/shadow3. /etc/group 三、文件属性与权限1. 查看文件属性的方法&#xff08;ls&#xff09;2.文件属性详细介绍2.1 权限2.2 …

MacOS触控板缩放暂时失灵问题解决

我的系统版本为Monterey 12.5.1&#xff0c;亲测有效 直接创建脚本xxx.sh&#xff0c;并在终端执行脚本bash xxx.sh即可解决此问题&#xff0c;脚本内容如下&#xff1a; #!/bin/bashkillall Finder #kill Finder如不需要可以删除 killall Dock #kill Dock 如不需要可以删…

【wxWidgets】使用布局控件进行窗口布局

使用布局控件进行窗口布局 窗口布局基础 为了在各种环境中都能使窗口拥有合适的位置和大小&#xff0c;可能需要在OnSize事件中计算每一个窗口的大小并设置新位置&#xff0c;当然使用窗口布局控件可以更方便地实现 如果选择使用布局控件&#xff0c;可以通过自己编写或者使用…

【汉诺塔问题分析】

一、背景 汉诺塔问题是一种经典的递归问题&#xff0c;它由法国数学家Huygens在1665年发现&#xff0c;也是一道有趣的数学难题。这道问题的主要目的是将三根柱子上的一堆盘子移动到另一根柱子上&#xff0c;移动过程中每次只能移动一个盘子&#xff0c;并且大盘子不能放在小盘…

[QT编程系列-10]:C++图形用户界面编程,QT框架快速入门培训 - 4- QT画图与动画

目录 4. QT画图与动画 4.1 QT的绘图系统 4.2 案例目标 4.3 绘制过程 4.4 更换控件的icon 4.5 案例2 4.6 坐标轴 4. QT画图与动画 4.1 QT的绘图系统 QT&#xff08;也称为Qt Framework&#xff09;是一种流行的跨平台应用程序开发框架&#xff0c;它提供了丰富的图形用户…

集群基础1——集群概念、LVS负载均衡

文章目录 一、基本了解二、LVS负载均衡2.1 基本了解2.2 工作模式2.2.1 NAT模式2.2.2 DR模式2.2.3 LVS-TUN模式2.2.4 LVS-FULLNAT模式 三、调度器算法四、ipvsadm命令 一、基本了解 什么是集群&#xff1f; 多台服务器做同一件事情。 集群扩展方式&#xff1a; scale up&#xf…

2023年7月北京/广州/深圳制造业产品经理NPDP认证招生

产品经理国际资格认证NPDP是新产品开发方面的认证&#xff0c;集理论、方法与实践为一体的全方位的知识体系&#xff0c;为公司组织层级进行规划、决策、执行提供良好的方法体系支撑。 【认证机构】 产品开发与管理协会&#xff08;PDMA&#xff09;成立于1979年&#xff0c;是…

C# 移除链表元素

203 移除链表元素 给你一个链表的头节点 head 和一个整数 val &#xff0c;请你删除链表中所有满足 Node.val val 的节点&#xff0c;并返回 新的头节点 。 示例 1&#xff1a; 输入&#xff1a;head [1,2,6,3,4,5,6], val 6 输出&#xff1a;[1,2,3,4,5] 示例 2&#x…

2023-07-14:讲一讲Kafka与RocketMQ中存储设计的异同?

2023-07-14&#xff1a;讲一讲Kafka与RocketMQ中存储设计的异同&#xff1f; 答案2023-07-14&#xff1a; 在Kafka中&#xff0c;文件的布局采用了Topic/Partition的方式&#xff0c;每个分区对应一个物理文件夹&#xff0c;且在分区文件级别上实现了顺序写入。然而&#xff0…

WIN无法访问linux开启的SAMBA服务器

WIN无法访问linux开启的SAMBA服务器 打开搜索框“管理Windows凭据” 点击编辑

Camtasia Studio 2023保存为mp4格式的视频的详细教程,Camtasia的视频导出功能

很多用户刚接触Camtasia Studio&#xff0c;不熟悉如何保存mp4格式的视频。在今天的文章中小编为大家带来了Camtasia Studio 2023保存为mp4格式的视频的详细教程介绍。 1、 打开Camtasia Studio。 Camtasia Studio- 2023 win&#xff1a; https://souurl.cn/1JFEsn Camtasia …

06_本地方法接口+07_本地方法栈

一、本地方法&#xff1f; 本地方法就是Java调用非Java代码的接口。 本地方法的作用是融合不同的编程语言为Java所用&#xff0c;它的初衷是融合 C、C程序 二、为什么要使用Native Method? 三、本地方法栈 Java虚拟机栈用于管理Java方法的调用&#xff0c;而本地方法栈用于…

【Linux】Docker 基本管理

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 Docker 基本管理 Docker 概述Docker 核心概念Docker 安装部署Docker 镜像操作Docker 容器操作 Docker 概述 Docker是一个开源的应用容器引擎&#xff0c;基于go语言开发并遵…

spring复习:(40)全注解的spring AOP

零、需要的依赖&#xff1a; <dependency><groupId>org.aspectj</groupId><artifactId>aspectjrt</artifactId><version>1.8.9</version></dependency><dependency><groupId>org.aspectj</groupId><arti…

AHB协议理解

从小父亲就教育我&#xff0c;做一个对社会有用的人&#xff01; 目录 Chapter1 AHB Block Diagram Ginput signal lnput signals Output Signal Chapter3 Transfers AHB接口Overview Chapter6 Data Buses HWDATA HRDATA Chapter1 Introduction AHB: Advanced High-performanc…

奇迹MU架设教程:SQL Server 2008数据库的安装教程

不管是搭建什么游戏&#xff0c;都是有数据库的&#xff0c;奇迹MU用的是SQL 数据库&#xff0c;根据服务器系统选择SQL server版本&#xff0c;我比较喜欢用Windows server 2008R2系统&#xff0c;所以我安装的是SQL server 2008。作为架设奇迹很重要的数据库程序&#xff0c;…

【Ubuntu】安装docker-compose

要在Ubuntu上安装Docker Compose&#xff0c;可以按照以下步骤进行操作&#xff1a; 下载 Docker Compose 二进制文件&#xff1a; sudo curl -L "https://github.com/docker/compose/releases/latest/download/docker-compose-$(uname -s)-$(uname -m)" -o /usr/loc…