2. 程式人生 > 其它 >【spring security】認證授權實現

【spring security】認證授權實現

阿新 發佈:2021-10-19

基本實現

1、實現UserDetails介面

這個介面是spring security提供的核心使用者資訊。實現這個介面去定義使用者的

username、password

他使用者資訊(暱稱,手機號......)

許可權資訊

使用者的管理資訊(是否啟用、是否過期)

public class UserDTO implements UserDetails {

    private String username;
    private String password;
    private String mobile;
    private List<RoleDTO> roleDTOS;

    // 獲取使用者許可權
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> list = new ArrayList<>();
        for (RoleDTO roleDTO : roleDTOS) {
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(roleDTO.getRoleName());
            list.add(simpleGrantedAuthority);
        }
        return list;
    }

    
    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    public String getMobile() {
        return this.mobile;
    }

    public List<RoleDTO> getRoleDTOS() {
        return this.roleDTOS;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public void setMobile(String mobile) {
        this.mobile = mobile;
    }

    public void setRoleDTOS(List<RoleDTO> roleDTOS) {
        this.roleDTOS = roleDTOS;
    }

    // 是否過期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    // 是否鎖定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    // 使用者密碼是否過期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    // 使用者是否啟用
    @Override
    public boolean isEnabled() {
        return true;
    }
}

2、實現UserDetailsService介面

這個介面是載入使用者資料的核心介面。前面有說認證邏輯需要呼叫UserDetailsService的loadUserByUsername()方法查詢使用者資訊。

@Service
public class UserServiceImpl implements UserDetailsService {

    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // TODO 根據username查庫,這裡先隨便new了一個使用者
        UserDTO userDTO = new UserDTO();
        userDTO.setUsername(username);
        userDTO.setMobile("987654");
        // 密碼需要提供加密之後的密碼
        userDTO.setPassword(passwordEncoder.encode("123456"));
        // 給使用者添加了兩個許可權  ROLE_SYS  ROLE_USER
        List<RoleDTO> list = new ArrayList<>();
        list.add(new RoleDTO("ROLE_SYS"));
        list.add(new RoleDTO("ROLE_USER"));
        userDTO.setRoleDTOS(list);
        return userDTO;
    }

}

3、Security配置

繼承WebSecurityConfigurerAdapter類,對Security的安全策略、靜態資源等進行配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserServiceImpl userService;
    @Autowired
    private CustomAccessDeniedHandler accessDeniedHandler;
    @Autowired
    private CustomFailHandler failHandler;
    @Autowired
    private CustomSuccessHandler successHandler;

    /**
     *  認證相關配置,AuthenticationManagerBuilder是用於構建AuthenticationManager的。
     *  AuthenticationManager中存有處理各種認證操作的AuthenticationProvider
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(getBCryptPasswordEncoder());
    }

    /**
     *  配置靜態資源
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/static/**");
    }

    /**
     *  配置安全策略
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 禁用csrf
        http.csrf().disable()
                // 請求配置
                .authorizeRequests()
                // 配置請求許可權 hasRole  hasAuthority 兩種方式差一個 ROLE_ 字首
                .antMatchers("/sys/**").hasAuthority("ROLE_SYS")
                .antMatchers("/user/**").hasAuthority("ROLE_USER")
                .antMatchers("/car/**").hasAuthority("ROLE_CAR")
                // 配置介面不做任何控制
                .antMatchers("/login/**").permitAll()
                // 其他介面都需要進行認證
                .anyRequest().authenticated()
                .and().exceptionHandling()
                // 認證失敗的處理器
                .accessDeniedHandler(accessDeniedHandler);
        // 登入相關配置
        http.formLogin().loginProcessingUrl("/login")
                .usernameParameter("username").passwordParameter("password")
                .defaultSuccessUrl("/default", true)
                .failureHandler(failHandler)
                .successHandler(successHandler);
        // 登出相關配置
        http.logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .deleteCookies("remember-me")
                .invalidateHttpSession(true);
                // 出校成功的處理器
                // .logoutSuccessHandler(logoutSuccessHandler);
        // 記住我功能
        http.rememberMe()
                .tokenValiditySeconds(3600);
    }

    @Bean
    BCryptPasswordEncoder getBCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

這裡為 /sys/** /user/** /car/** 分別設定了 ROLE_SYS ROLE_USER ROLE_CAR 許可權。使用者擁有ROLE_SYS ROLE_USER 許可權,所以訪問/car/**時會走到認證失敗處理器。

這裡對於許可權有兩種概念 Authority 和 role。這兩個更像是同一個東西的兩個概念,role 比 Authority 多了一個 ROLE_ 字首,區分兩個可以在業務上做更好的區分。

		public ExpressionInterceptUrlRegistry hasAuthority(String authority) {
			return access(ExpressionUrlAuthorizationConfigurer.hasAuthority(authority));
		}

	private static String hasAuthority(String authority) {
		return "hasAuthority('" + authority + "')";
	}


		public ExpressionInterceptUrlRegistry hasRole(String role) {
			return access(ExpressionUrlAuthorizationConfigurer.hasRole(role));
		}

	private static String hasRole(String role) {
		Assert.notNull(role, "role cannot be null");
		Assert.isTrue(!role.startsWith("ROLE_"),
				() -> "role should not start with 'ROLE_' since it is automatically inserted. Got '" + role + "'");
		return "hasRole('ROLE_" + role + "')";
	}

在許可權對比中也都是呼叫了同一個方法做對比

@Override
	public final boolean hasAuthority(String authority) {
		return hasAnyAuthority(authority);
	}

	@Override
	public final boolean hasAnyAuthority(String... authorities) {
		return hasAnyAuthorityName(null, authorities);
	}

	@Override
	public final boolean hasRole(String role) {
		return hasAnyRole(role);
	}

	@Override
	public final boolean hasAnyRole(String... roles) {
		return hasAnyAuthorityName(this.defaultRolePrefix, roles);
	}

	private boolean hasAnyAuthorityName(String prefix, String... roles) {
		Set<String> roleSet = getAuthoritySet();
		for (String role : roles) {
			String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
			if (roleSet.contains(defaultedRole)) {
				return true;
			}
		}
		return false;
	}

自定義登入方式

1、自定義過濾器

繼承AuthenticationProvider。定義攔截的請求路徑及請求方式,重寫attemptAuthentication()方法呼叫對應的認證邏輯處理器

public class CustomAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    private String mobileParameter = "mobile";
    /**
     * 是否僅 POST 方式
     */
    private boolean postOnly = true;

    public CustomAuthenticationFilter() {
        super(new AntPathRequestMatcher("/login/mobile", "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }

        String mobile = obtainMobile(request);
        if (mobile == null) {
            mobile = "";
        }

        mobile = mobile.trim();

        CustomAuthenticationToken authRequest = new CustomAuthenticationToken(mobile);

        setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }

    protected String obtainMobile(HttpServletRequest request) {
        return request.getParameter(mobileParameter);
    }

    protected void setDetails(HttpServletRequest request, CustomAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }

    public String getMobileParameter() {
        return mobileParameter;
    }

    public void setMobileParameter(String mobileParameter) {
        Assert.hasText(mobileParameter, "Mobile parameter must not be empty or null");
        this.mobileParameter = mobileParameter;
    }

    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }
}

2、自定義Token實體

繼承AbstractAuthenticationToken。作為過濾器尋找對應認證處理器的媒介

public class CustomAuthenticationToken extends AbstractAuthenticationToken  {

    private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;

    private final Object principal;

    /**
     * 構建一個沒有鑑權的 CustomAuthenticationToken
     */
    public CustomAuthenticationToken(Object principal) {
        super(null);
        this.principal = principal;
        setAuthenticated(false);
    }

    /**
     * 構建擁有鑑權的 CustomAuthenticationToken
     */
    public CustomAuthenticationToken(Object principal, Collection<? extends GrantedAuthority> authorities) {
        super(authorities);
        this.principal = principal;
        // must use super, as we override
        super.setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return this.principal;
    }

    @Override
    public void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException {
        if (isAuthenticated) {
            throw new IllegalArgumentException(
                    "Cannot set this token to trusted - use constructor which takes a GrantedAuthority list instead");
        }

        super.setAuthenticated(false);
    }

    @Override
    public void eraseCredentials() {
        super.eraseCredentials();
    }

}

3、自定義認證邏輯的處理器

實現AuthenticationProvider。定義authenticate()方法完成認證邏輯,定義supports()方法用於過濾器與對應處理器的匹配媒介

public class CustomAuthenticationProvider implements AuthenticationProvider {

    private UserService userService;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        CustomAuthenticationToken authenticationToken = (CustomAuthenticationToken) authentication;

        String mobile = (String) authenticationToken.getPrincipal();
        UserDetails userDetails = userService.loadUserByUsername(mobile);

        // todo 校驗,驗證碼、使用者

        // 校驗成功,構建擁有鑑權的CustomAuthenticationToken返回
        CustomAuthenticationToken authenticationResult = new CustomAuthenticationToken(userDetails, userDetails.getAuthorities());
        authenticationResult.setDetails(authenticationToken.getDetails());

        return authenticationResult;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        // 判斷 authentication 是不是 CustomAuthenticationToken 的子類或子介面,用於匹配過濾器和認證處理器
        return CustomAuthenticationToken.class.isAssignableFrom(authentication);
    }

    public void setUserDetailsService(UserService userService) {
        this.userService = userService;
    }
}

4、修改配置

配置自定義的Provider與Filter

	@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        CustomAuthenticationProvider customAuthenticationProvider = new CustomAuthenticationProvider();
        customAuthenticationProvider.setUserDetailsService(userService);
        auth.authenticationProvider(customAuthenticationProvider);
        auth.userDetailsService(userService).passwordEncoder(getBCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        CustomAuthenticationFilter customAuthenticationFilter = new CustomAuthenticationFilter();
        customAuthenticationFilter.setAuthenticationManager(authenticationManagerBean());
        customAuthenticationFilter.setAuthenticationSuccessHandler(successHandler);
        customAuthenticationFilter.setAuthenticationFailureHandler(failHandler);

        // 過濾器配置
        http
                .addFilterAfter(customAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
		
        ......
            
    }

推薦文章:

Spring Security 中的 hasRole 和 hasAuthority 的區別https://cloud.tencent.com/developer/article/1703187

相關推薦

spring security認證授權實現

基本實現 1、實現UserDetails介面 這個介面是spring security提供的核心使用者資訊。實現這個介面去定義使用者的

Spring-SecurityRe03 認證引數修改與跨域跳轉處理

一、請求引數名設定 之前的表單資訊有一些要求: 1、action屬性發送的地址是Security設定的URL

Spring Security2. EableWebSecurity、WebSecurityConfiguration和過濾器鏈原始碼解析

1 @EnableWebSecurity原始碼解析 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE}) @Documented

springboot中使用Spring Security認證授權註解的使用(三)

認證授權註解的使用 判斷是否具有角色,另外需要注意的是這裡匹配的字串需要新增字首“ROLE_“。

spring SecuritySecurity、oauth、JWT關係梳理

Security Securityspring提供的一個高度自定義的安全框架,為系統提供了安全訪問控制功能。簡化了認證授權及系統安全管理。

小技巧spring security oauth2 令牌實現多終端登入狀態同步

目的說明 解決不同客戶端使用token,各個客戶端的登入狀態必須保持一致,退出狀態實現一致。同上述問題類似如何解決不同租戶相同使用者名稱的人員的登入狀態問題。

使用者授權認證springboot security

Spring Boot 中做許可權管理,一般來說,主流的方案是 Spring Security ,但是,僅僅從技術角度來說,也可以使用 Shiro。一般來說,Spring Security 和 Shiro 的比較如下:

使用Spring Security登入認證,通過Oauth2.0開發第三方授授權訪問資源專案詳解

1.OAuth 2.0簡介 OAuth 2.0提供者機制負責公開OAuth 2.0受保護的資源。該配置包括建立可獨立或代表使用者訪問其受保護資源的OAuth 2.0客戶端。提供者通過管理和驗證用於訪問受保護資源的OAuth 2.0令牌來實現。在適用

泡泡SpringSecurity1.2Spring Security快速入門案例

搭建初始web環境 <?xml version=\"1.0\" encoding=\"UTF-8\"?> <project xmlns=\"http://maven.apache.org/POM/4.0.0\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\"

Spring Security 解析(一) —— 授權過程

Spring Security 解析(一) —— 授權過程   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring SecuritySpring Security Oauth2 等許可權、認證相關的內容、原理及

Springboot shiro認證授權實現原理及例項

關於認證授權,需要的資料表有:使用者表,角色表,使用者角色關聯表,許可權表,角色許可權關聯表,一次如下

spring bootspring boot 攔截器

今日份程式碼: 1.定義攔截器 import com.alibaba.fastjson.JSON; import org.apache.commons.collections.CollectionUtils;

人臉識別純前端實現人臉融合-呼叫Face++的人臉融合API介面實現

通過檢視其API文件,入參除了key和secret(註冊賬號後申請獲得)外,只有模版圖、模版圖中人臉位置、使用者上傳圖,三個引數。Face++的人臉檢測API可線上獲取模版圖中人臉位置,例如:251,167,169,169。依次代表人臉

css系列六種實現元素水平居中方法

一、前言 居中效果在CSS中很是普通的效果,平時大家所看到的居中效果主要分為三大類:水平居中、垂直居中和水平垂直居中。而其中水平居中相對於後兩者來說要簡單得多。使用了css3的flexbox的屬性輕鬆實現多行文字

Spring Boot學習筆記轉載

SpringBoot核心技術-筆記-pdf版.zip SpringBoot課件.zip 一、Spring Boot 入門 1、Spring Boot 簡介

Spring Security基於json登入實現過程詳解

主要是重寫attemptAuthentication方法 匯入依賴 <dependency> <groupId>org.springframework.boot</groupId>

網路程式設計NIO,Netty實現群聊Code

筆記回顧 Server package club.interview.io.netty.chat; import io.netty.bootstrap.ServerBootstrap; import io.netty.channel.*;

spring Security 不使用controller 實現登陸資訊檢驗返回配置 token的實現

結構 1WebSecurityConfigurer extends WebSecurityConfigurerAdapter 主體配置加上 2 (AuthenticationTokenFilter extends BasicAuthenticationFilter)新增 filter 過濾登陸資訊 3在登陸成功和失敗的handler寫返回值

spring boot:spring security用mysql資料庫實現RBAC許可權管理(spring boot 2.3.1)

一,用資料庫實現許可權管理要注意哪些環節? 1,需要生成spring security中user類的派生類,用來儲存使用者id和暱稱等資訊,

深入Spring Security-獲取認證機制核心原理講解

文/朱季謙 本文基於Springboot+Vue+Spring Security框架而寫的原創筆記,demo程式碼參考《Spring Boot+Spring Cloud+Vue+Element專案實戰:手把手教你開發許可權管理系統》一書。能力有限,存在不足還請指出,本文僅