SpringSecurity+Redis认证过程小结

作者:ME_._ME 时间:2021-07-21 11:38:11 

由于今天用Security进行权限管理的时候出现了一些Bug,特此发这篇博客来补习一下对SpringSecurity的理解

前言引入

当今市面上用于权限管理的流行的技术栈组合是

  • ssm+shrio

  • SpringCloud+SpringBoot+SpringSecurity

SpringSecurity+Redis认证过程小结

这种搭配自然有其搭配的特点,由于SpringBoot的自动注入配置原理,在创建项目时就自动注入管理SpringSecurity的过滤器容器(DelegatingFilterProxy),而这个过滤器是整个SpringSercurity的核心。掌握着SpringSercurity整个权限认证过程,而SpringBoot很香的帮你将其自动注入了,而用ssm
去整合Security,将会耗用大量的配置文件,不易于开发,而Security的微服务权限方案,更是能和Cloud完美融合,于是Security比Shrio更强大,功能更齐全。

Security的核心配置文件

核心:Class SecurityConfig extends WebSecurityConfigurerAdapter

继承了WebSecurityConfigurerAdapter后我们关注于configure方法对于在整个安全认证的过程进行相关的配置,当然在配置之前我们先简单了解一下流程

SpringSecurity+Redis认证过程小结

简单的看了整个权限认证的流程,很轻易的总结得出,SpringSecurity核心的就是以下几种配置项了

  • * (Interceptor)

  • 过滤器(Filter)

  • 处理器(Handler,异常处理器,登录成功处理器)

那我们就首先通过配置来完成认证过程吧!!!!

Security的认证过程

假设我们要实现一下的认证功能

1. 是登录请求

  • 我们需要先判断验证码是否正确(验证码过滤器,通过addFilerbefore实现前置拦截)

  • 再判断用户名密码是否正确(使用自带的用户名密码过滤器,UsernamePasswordAuthenticationFilter

  • 配置异常处理器(Handler)通过IO流将异常信息写出

关于密码校验的流程:
UsernamePasswordAuthenticationFilter的密码校验规则是基于AuthenticationManagerBuilder(认证管理器)下的 UserDetailsService里的规则进行验证的:
其中的核心方法:

1.public UserDetails *loadUserByUsername(String username)
通过请求参数的用户名去数据库查询是否存在,存在则将其封装在UserDetails里面,而验证过程是通过AuthenticationManagerBuilder获取到UserDetail里的username和password来校验的,
这样我们就可以通过

  • 配置yaml文件设置账号密码

  • 通过数据库结合UserDetail来设置账号密码

(UserDetailsService中的方法,注意需要将UserDetailsService注入AuthenticationManagerBuilder中)


@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SysUser sysUser = sysUserService.getByUsername(username);
if (sysUser == null) {
throw new UsernameNotFoundException("用户名或密码不正确");
}
// 注意匹配参数,前者是明文后者是暗纹
System.out.println("是否正确"+bCryptPasswordEncoder.matches("111111",sysUser.getPassword()));
return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
}

通过了这个验证后,过滤器放行,不通过就用自定义或者默认的处理器处理

核心配置文件:


package com.markerhub.config;

import com.markerhub.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Autowired
LoginFailureHandler loginFailureHandler;

@Autowired
LoginSuccessHandler loginSuccessHandler;

@Autowired
CaptchaFilter captchaFilter;

@Autowired
JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

@Autowired
JwtAccessDeniedHandler jwtAccessDeniedHandler;

@Autowired
UserDetailServiceImpl userDetailService;

@Autowired
JwtLogoutSuccessHandler jwtLogoutSuccessHandler;

@Bean
JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
return jwtAuthenticationFilter;
}

@Bean
BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}

private static final String[] URL_WHITELIST = {

"/login",
"/logout",
"/captcha",
"/favicon.ico",

};

protected void configure(HttpSecurity http) throws Exception {

http.cors().and().csrf().disable()

// 登录配置
.formLogin()
.successHandler(loginSuccessHandler)
.failureHandler(loginFailureHandler)

.and()
.logout()
.logoutSuccessHandler(jwtLogoutSuccessHandler)

// 禁用session
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)

// 配置拦截规则
.and()
.authorizeRequests()
.antMatchers(URL_WHITELIST).permitAll()
.anyRequest().authenticated()

// 异常处理器
.and()
.exceptionHandling()
.authenticationEntryPoint(jwtAuthenticationEntryPoint)
.accessDeniedHandler(jwtAccessDeniedHandler)

// 配置自定义的过滤器
.and()
.addFilter(jwtAuthenticationFilter())
.addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)

;

}

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailService);
}
}

2. 不是登录请求

  • 通过JwtfFilter来查看是否为登录状态

使用Redis整合时的注意事项

本质上还是编写过滤器链:

  • 在登录请求前添加过滤器

  • 注意验证码存储在redis的失效时间,如果超过失效时间将会被验证码 * 拦截下来

  • 需要准备一个生成验证码的接口,存储在Redis中

  • 使用完验证码需要将其删除


// 校验验证码逻辑
private void validate(HttpServletRequest httpServletRequest) {

String code = httpServletRequest.getParameter("code");
String key = httpServletRequest.getParameter("token");

if (StringUtils.isBlank(code) || StringUtils.isBlank(key)) {
System.out.println("验证码校验失败2");
throw new CaptchaException("验证码错误");
}

System.out.println("验证码:"+redisUtil.hget(Const.CAPTCHA_KEY, key));
if (!code.equals(redisUtil.hget(Const.CAPTCHA_KEY, key))) {
System.out.println("验证码校验失败3");
throw new CaptchaException("验证码错误");
}

// 一次性使用
redisUtil.hdel(Const.CAPTCHA_KEY, key);
}

来源:https://blog.csdn.net/qq_51131591/article/details/122308675

标签:SpringSecurity,Redis,认证
0
投稿

猜你喜欢

  • 详解c#与python的交互方式

    2023-12-13 09:16:11
  • C++实现扫雷游戏示例讲解

    2022-05-03 18:49:05
  • java实现登录窗口

    2023-11-24 18:09:31
  • Android开发之DrawerLayout实现抽屉效果

    2023-09-30 03:40:59
  • Android自定义渐变式炫酷ListView下拉刷新动画

    2021-12-26 17:31:09
  • java连接sql server 2008数据库代码

    2023-05-27 10:40:01
  • Java多线程 CompletionService

    2022-08-19 18:51:32
  • C#实现利用Windows API读写INI文件的方法

    2023-03-16 01:23:06
  • C#使用oledb操作excel文件的方法

    2023-06-13 19:19:42
  • spring boot集成smart-doc自动生成接口文档详解

    2023-11-28 23:08:02
  • Java并发包之CopyOnWriteArrayList类的深入讲解

    2022-10-06 09:15:21
  • Android开发之menu菜单

    2023-04-13 04:10:45
  • SpringBoot+docker环境变量配置详解

    2022-06-13 07:37:20
  • 使用 C# 下载文件的多种方法小结

    2023-11-08 06:59:37
  • C# LINQ to XML应用介绍

    2021-06-11 05:59:07
  • Spring boot2.0 日志集成方法分享(1)

    2023-05-12 20:10:25
  • android保存Bitmap图片到指定文件夹示例

    2022-10-11 22:59:14
  • Android中Market的Loading效果实现方法

    2023-11-16 09:37:33
  • Eclipse下Javassist正确使用方法代码解析

    2021-07-24 18:43:57
  • springboot用thymeleaf模板的paginate分页完整代码

    2023-10-21 05:06:05
  • asp之家 软件编程 m.aspxhome.com