Spring Security基于token的极简示例

news2024/11/15 18:48:12

1 引言

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,但是用起来有点复杂,为了便于学习理解,下面将用最简洁的配置和示例,展示整个流程。

2 代码

创建一个spring-security-demo的项目,总共包含5个文件
在这里插入图片描述

2.1 pom.xml

引入spring-boot-starter-security

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>spring-security-demo</artifactId>
    <version>1.0-SNAPSHOT</version>

    <properties>
        <maven.compiler.source>17</maven.compiler.source>
        <maven.compiler.target>17</maven.compiler.target>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>

    <!--  为Spring Boot项目提供一系列默认的配置和依赖管理-->
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.3.2</version>
        <relativePath/>
    </parent>

    <dependencies>
        <!--  Spring Boot核心依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <!-- Spring Boot单元测试和集成测试的依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!-- Spring Boot构建Web应用程序的依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

    </dependencies>

</project>

2.2 application.properties

保持空白即可

2.3 org/example/Main.java

启动类

package org.example;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class Main {

    public static void main(String[] args) {
        SpringApplication.run(Main.class, args);
    }

}

2.4 org/example/controller/UserController.java

测试类,注意@PreAuthorize注解,用于标记每个接口的权限标识

package org.example.controller;

import org.example.conf.SecurityConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import java.util.*;


@Controller
@RequestMapping("/user")
public class UserController {

    @Autowired
    private AuthenticationManager authenticationManager;

    private Map<String, Object> returnOk(String obj) {
        Map<String, Object> map = new HashMap<>();
        map.put("code", HttpStatus.OK.value());
        map.put("msg", "ok");
        map.put("data", obj);
        return map;
    }

    private Map<String, Object> returnError(String msg) {
        Map<String, Object> map = new HashMap<>();
        map.put("code", HttpStatus.INTERNAL_SERVER_ERROR.value());
        map.put("msg", msg);
        return map;
    }


    @PreAuthorize("hasAuthority('user:hello')")
    @RequestMapping("/hello")
    @ResponseBody
    public Object hello() {
        System.out.println("hello");
        return returnOk("hello");
    }

    @PreAuthorize("hasAuthority('user:hello1')")
    @RequestMapping("/hello1")
    @ResponseBody
    public Object hello1() {
        System.out.println("hello1");
        return returnOk("hello1");
    }


    @PostMapping("/login")
    @ResponseBody
    public Object login(@RequestBody Map<String, String> param) {
        String username = param.get("username");
        String password = param.get("password");
        //调用Spring Security的loadUserByUsername方法获取用户信息
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(username, password);
        Authentication authenticate = authenticationManager.authenticate(usernamePasswordAuthenticationToken);
        if (authenticate == null) {
            return returnError("用户不存在");
        } else {
            UserDetails userDetails = (UserDetails) authenticate.getPrincipal();
            //验证密码
            BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
            if (!passwordEncoder.matches(password, userDetails.getPassword())) {
                return returnError("账号密码错误");
            }
            // 生成token
            String token = UUID.randomUUID().toString();
            // 存储token
            SecurityConfig.tokenMap.put(token, userDetails);
            return returnOk(token);
        }
    }

    @PostMapping("/logout")
    @ResponseBody
    public Object logout() {
        return returnOk("退出成功");
    }


}

2.5 org/example/conf/SecurityConfig.java

Spring Security配置,为了简化代码,便于查看,我将所有需要自定义的类,以内部类的方式放到里面,然后引入到filterChain方法中即可。

package org.example.conf;

import com.fasterxml.jackson.databind.ObjectMapper;
import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.filter.OncePerRequestFilter;

import java.io.IOException;
import java.util.*;

/**
 * spring security配置
 */
@EnableMethodSecurity(prePostEnabled = true, securedEnabled = true)
@Configuration
public class SecurityConfig {

    /**
     * 简单模拟token存储,可以用redis代替。
     */
    public static Map<String, UserDetails> tokenMap = new HashMap<>();

    /**
     * 自定义token过滤器
     */
    public static class MyOncePerRequestFilter extends OncePerRequestFilter {
        @Override
        protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
            String token = request.getHeader("token");
            System.out.println("url=" + request.getRequestURI() + ",token=" + token);
            UserDetails userDetails = tokenMap.get(token);
            if (null != userDetails) {
                //如果token存在,则进行spring security权限验证
                UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);
            }
            chain.doFilter(request, response);
        }

    }


    /**
     * 自定义未授权访问处理逻辑
     */
    public static class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
        @Override
        public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
            Map<String, Object> map = new HashMap<>();
            map.put("code", HttpStatus.INTERNAL_SERVER_ERROR.value());
            map.put("msg", "无权限访问该资源");

            response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
            response.setContentType("application/json");
            response.setCharacterEncoding("utf-8");
            response.getWriter().print(new ObjectMapper().writeValueAsString(map));
        }
    }


    /**
     * 定义退出处理逻辑
     */
    public static class LogoutSuccessHandlerImpl implements LogoutSuccessHandler {
        @Override
        public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
            String token = request.getHeader("header");
            tokenMap.remove(token);

            Map<String, Object> map = new HashMap<>();
            map.put("code", HttpStatus.OK.value());
            map.put("msg", "退出成功");

            response.setStatus(HttpStatus.OK.value());
            response.setContentType("application/json");
            response.setCharacterEncoding("utf-8");
            response.getWriter().print(new ObjectMapper().writeValueAsString(map));
        }
    }

    /**
     * 定义身份认证处理逻辑
     */
    public static class UserDetailsServiceImpl implements UserDetailsService {
        @Override
        public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
            // 一般情况下,从数据库查询用户信息和权限信息,TODO
            // 为了方便测试,直接模拟用户信息和权限信息。
            Set<GrantedAuthority> authorities = new HashSet<>();
            authorities.add(new SimpleGrantedAuthority("user:hello"));
            authorities.add(new SimpleGrantedAuthority("user:hello2"));
            return getUserDetails(username, new BCryptPasswordEncoder().encode("123456"), authorities);
        }

        private UserDetails getUserDetails(String username, String password, Set<GrantedAuthority> authorities) {
            return new UserDetails() {
                @Override
                public Collection<? extends GrantedAuthority> getAuthorities() {
                    return authorities;
                }

                @Override
                public String getPassword() {
                    return password;
                }

                @Override
                public String getUsername() {
                    return username;
                }

                @Override
                public boolean isAccountNonExpired() {
                    return UserDetails.super.isAccountNonExpired();
                }

                @Override
                public boolean isAccountNonLocked() {
                    return UserDetails.super.isAccountNonLocked();
                }

                @Override
                public boolean isCredentialsNonExpired() {
                    return UserDetails.super.isCredentialsNonExpired();
                }

                @Override
                public boolean isEnabled() {
                    return UserDetails.super.isEnabled();
                }
            };
        }
    }


    @Bean
    protected SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        return httpSecurity
                // 不使用session,禁用CSRF
                .csrf(csrf -> csrf.disable())
                // 禁用HTTP响应标头
                .headers((headersCustomizer) -> {
                    headersCustomizer.cacheControl(cache -> cache.disable()).frameOptions(options -> options.sameOrigin());
                })
                // 定义未授权访问处理逻辑
                .exceptionHandling(exception -> exception.authenticationEntryPoint(new AuthenticationEntryPointImpl()))
                // 不使用session
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                // 记允许匿名访问的url
                .authorizeHttpRequests((requests) -> {
                    requests.requestMatchers("/user/login", "/user/register").permitAll()
                            // 除上面外的所有请求全部需要鉴权认证
                            .anyRequest().authenticated();
                })
                // 定义退出处理逻辑
                .logout(logout -> logout.logoutUrl("/user/logout").logoutSuccessHandler(new LogoutSuccessHandlerImpl()))
                // 定义token过滤器
                .addFilterBefore(new MyOncePerRequestFilter(), UsernamePasswordAuthenticationFilter.class).build();
    }

    /**
     * 身份验证实现
     */
    @Bean
    public AuthenticationManager authenticationManager() {
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
        daoAuthenticationProvider.setUserDetailsService(new UserDetailsServiceImpl());
        daoAuthenticationProvider.setPasswordEncoder(new BCryptPasswordEncoder());
        return new ProviderManager(daoAuthenticationProvider);
    }


    /**
     * 跨域配置
     */
    @Bean
    public CorsFilter corsFilter() {
        CorsConfiguration config = new CorsConfiguration();
        config.setAllowCredentials(true);
        // 设置访问源地址
        config.addAllowedOriginPattern("*");
        // 设置访问源请求头
        config.addAllowedHeader("*");
        // 设置访问源请求方法
        config.addAllowedMethod("*");
        // 有效期 1800秒
        config.setMaxAge(1800L);
        // 添加映射路径,拦截一切请求
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", config);
        // 返回新的CorsFilter
        return new CorsFilter(source);
    }

}

3 测试

  1. 启动项目访问http://localhost:8080/user/hello,可以看到提示"无权限访问该资源",由于未登录,请求被正常拦截。
    在这里插入图片描述
  2. post调用 http://localhost:8080/user/login进行登录操作,用户名随意,密码123456(在认证方法中自定义的)。然后可以看到返回了data即自定义的token值。
    在这里插入图片描述
    在这里插入图片描述
  3. 再次访问http://localhost:8080/user/hello,并提前将token值放到header中。可以看到成功返回,表示请求通过了权限验证。这与我们设置的权限标识刚好一致。
    在这里插入图片描述
    在这里插入图片描述在这里插入图片描述4. 用该token继续访问http://localhost:8080/user/hello1,可以看到 “无权限访问该资源”,由于我们没有赋予用户"user:hello1"的权限标识,请求被正常拦截。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2088749.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

深入理解 XSS 漏洞:原理、危害与防范

在网络安全领域&#xff0c;跨站脚本攻击&#xff08;Cross-Site Scripting&#xff0c;XSS&#xff09;一直是一个备受关注的问题。XSS 漏洞的存在可能导致严重的安全后果&#xff0c;影响网站的正常运行和用户的信息安全。本文将深入探讨 XSS 漏洞的原理、危害以及有效的防范…

Mysql在服务器中的源码部署

1.在Linux下部署mysql 1.安装依赖性 [rootmysql1 ~]# dnf install cmake gcc-c openssl-devel \ ncurses-devel.x86_64 libtirpc-devel-1.3.3-8.el9_4.x86_64.rpm rpcgen.x86_64 2.下载并解压源码包 [rootmysql1 ~]# tar zxf mysql-boost-5.7.44.tar.gz [rootmysql1 ~]# cd…

讲述Navicat for MySQL定时备份数据库和数据恢复等功能

一. 设置计划任务定时备份数据库 计划任务就是让电脑在指定的时间内执行指定的动作&#xff0c;这些动作可以是一个程序&#xff0c;也可以是一个批处理&#xff0c;但是至少是可以运行的&#xff01;其实再通俗一点也就是相当于你在那个时间里面进行了对某个东西对鼠标双击的…

Android 开发兼容性问题,TaskExecutionException等问题。

1、问题描述&#xff1a; kapt com.github.bumptech.glide:compiler:4.12.0 org.gradle.api.tasks.TaskExecutionException: Execution failed for task :app:kaptJlbDebugKotlin. 2、问题分析&#xff1a; 如果多人协作开发&#xff0c;从仓库 clone \ 下载的项目代码&…

6个装进手机里能涨知识的手机应用app,每个都有大学问!

分享6个装进手机里能涨知识的手机应用app&#xff0c;每个都有大学问&#xff01; 1.TED 一个著名的演讲平台&#xff0c;它汇集了全球众多领域专家和思想领袖的精彩演讲。这些演讲覆盖了科技、艺术、设计、心理学、教育等多个领域&#xff0c;为观众提供了丰富的知识和启发性…

网络安全人才缺口大 每年相关专业毕业生仅8千余人

&#x1f91f; 基于入门网络安全打造的&#xff1a;&#x1f449;黑客&网络安全入门&进阶学习资源包 前言 “目前我国网络安全方面人才缺口仍然很大&#xff0c;相关专业每年本科、硕士、博士毕业生之和仅8000余人&#xff0c;而我国网民数量近7亿人。”网信办网络安全…

vue3 动态style[‘background‘] 图片url 打包后图片不显示没有打包到目录的为你

做了一个项目需求是 动态赋予多个div的背景图片&#xff0c;背景svg是后台数据中给的。刚开始显示不出来后来解决了&#xff08;好用代码也如下可参考&#xff09;&#xff0c;后来又发现一个问题是 开发环境下可以正常显示&#xff0c;但部署后 svg图片不显示&#xff0c;排查…

1万多条教师资格证考试题库ACCESS\EXCEL数据库

今天这个数据库是具备独特教#师资格模拟备考训练学习的题库&#xff0c;内置大小二级分类&#xff0c;包含幼#儿教#师资格证、小#学教#师资格证、中#学教#师资格证&#xff0c;数据结构也很简单&#xff0c;就一个表格&#xff0c;可以非常方便的应用在各个方面。 幼#儿教#师资…

初识Linux | Linux的环境搭建与基本指令

&#x1f36c; mooridy-CSDN博客 &#x1f9c1;C专栏&#xff08;更新中&#xff01;&#xff09; 目录 Linux环境搭建 step1:购买云服务器 step2:使用 XShell 远程登陆到 Linux 快捷键 Linux基本指令 打印所处路径&#xff1a;pwd 创建目录 mkdir 【目录名】 ls指令 新…

初识C++|list类的使用及模拟实现

&#x1f36c; mooridy-CSDN博客 &#x1f9c1;C专栏&#xff08;更新中&#xff01;&#xff09; 目录 list的介绍 list的使用 list的构造 list 容量 list 访问 list 增删查改 迭代器 迭代器失效问题 list模拟实现 list与vector的对比 emplace_back和push_back的区别…

回溯法-n皇后

N皇后问题 问题定义 棋盘: 一个nn的网格。皇后: 一种特殊棋子&#xff0c;可以攻击同一行、同一列或两条对角线上的任何棋子。目标: 在棋盘上放置n个皇后&#xff0c;使得它们之间没有任何一个能够攻击到对方。 问题难点 确保皇后之间不在同一行或列。避免皇后在对角线上相…

英伟达:相同的剧本

财报超预期&#xff0c;盘后却大跌8%&#xff0c;最近好公司好像都犯了这种病。 英伟达在美股财报季压轴登场&#xff0c; 营收净利那可都是三位数的增长&#xff0c;再创新高。 都说炒股看的的是未来&#xff0c;在英伟达这贯彻地很彻底&#xff0c;业绩爆表只能算及格&#…

【操作系统】有A、B和C三个作业同时到达,执行时间分别为4,3,6,且在系统中以单道方式运行,则可以获得最短的平均周转时间的执行顺序为()。

目录 题目分析答案类似题 题目 有A、B和C三个作业同时到达&#xff0c;执行时间分别为4,3,6&#xff0c;且在系统中以单道方式运行&#xff0c;则可以获得最短的平均周转时间的执行顺序为&#xff08;&#xff09;。 分析 周转时间&#xff1a;程序从进入系统到完成的时间总…

nodejs基于微信小程序的书籍销售系统论文源码调试讲解

2 开发环境与相关技术 2.1 NODEJS技术 Nodejs语言是目前使用率最高的一个语言类程序&#xff0c;并且他的代码还是开源的&#xff0c;任何的软件开发者都可以进行使用&#xff0c;目前已经在人类计算机编程语言发展史上产生了深远影响。所以Nodejs语言是很成熟的&#xff0c;将…

平价运动耳机品牌推荐有哪些?五大爆款推荐,小白购前必看

对于很多人来说&#xff0c;运动可能是为了减肥&#xff0c;但是对我而言&#xff0c;运动从来不是为了身材焦虑&#xff0c;而是为了享受挥洒汗水后的畅快淋漓&#xff0c;尤其在天气渐暖的时节&#xff0c;约上三五好友&#xff0c;一起在夕阳下奔跑&#xff0c;在微风中骑行…

在线流程图制作指南:轻松绘制高质量流程图的方法!

流程图作为一种过程诊断工具&#xff0c;广泛应用于工作和生活中。无论是软件程序的算法流程图、请假审批流程图、产品工艺流程图&#xff0c;还是医院就诊流程等&#xff0c;流程图都能直观地描述具体的工作步骤&#xff0c;帮助决策者识别问题并制定解决方案。本文将通过即时…

800道软件测试面试题与答案+pdf+在线版

2024年软件测试行情不行&#xff0c;今年很多人想着金九银十换一个好工作&#xff0c;几次面试总感觉很多东西明明记住了&#xff0c;突然又忘了。 在整理资料的时候&#xff0c;被我发现一个宝藏内容&#xff01;&#xff01;⚠ 如何准备好面试&#xff0c;大家都头疼我总结…

C++语法基础(二)

C复合类型 结构体 1. C的结构&#xff0c;定义结构体类型的变量时&#xff0c;可以省略struct关键字 2. 可以定义成员函数&#xff0c;在结构体中的成员函数内部可以直接访问本结构体的成员&#xff0c;无需通过“.”或“->” 联合 1. C的联合,定义联合体类型的变…

聊聊Promise,catch和then的关系,rejected状态如何在then链中”透传“直到被处理

Promise在前端开发中用的很多了&#xff0c;感觉好像很熟了&#xff0c;但真的有些细节追究起来好像又有点是是而非。 今天聊聊Promise中的then和catch&#xff0c;以下面这个代码片段为例&#xff0c;如果能正确说出打印的内容&#xff0c;说明已经掌握了&#xff0c;后面的内…

Linux教程六:linux系统目录介绍

一、Linux系统目录介绍 1、关于目录的命令行讲解 需要确保自己使用了root账号登陆 cd / # 进入根目录 cd 目录路径 #进入到指定目录中去 #路径有绝对路径和相对路径&#xff0c;在Linux中&#xff0c;绝对路径以/开头ll #列举当前目录下所有文件和文件夹 &#xff08;ls -l…