动力节点springsecurity笔记14~18SpringSecurity 集成thymeleaf

news2025/1/10 16:06:31

15 SpringSecurity 集成thymeleaf

此项目是在springsecurity-12-database-authorization-method 的基础上进行
复制springsecurity-12-database-authorization-method 并重命名为springsecurity-13-thymeleaf

15.1 添加thymeleaf依赖

|

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-thymeleaf</artifactId>

15.2 修改application.yml

加入thymeleaf的配置

| spring:

thymeleaf:

cache: false # 不使用缓存check-template: true  # 检查thymeleaf模板是否存在 |

| — |

15.3 idea 添加thymeleaf模板

【File】—》【Settings…】

模板名称thymeleaf ,扩展名html,具体内容如下:

|

#[[$Title$]]#

#[[ E N D END END]]#

简要说明:

#[[ T i t l e Title Title]]# #[[ E N D END END]]# 这两处的作用是,当你新建一个模板页面时,在标签中输入标题内容后,只需要点击回车键,光标就会直接跳到内,省去了你挪动鼠标,或者挪动方向键的步骤,也可以给你节省一点点时间。<strong>新版****idea可能有点问题,实验一下Enable Live Template</strong>

15.4 新建LoginController

| @Controller

@RequestMapping(“/login”)

public class LoginController {

_/**

 * 跳转到登陆页面
 */

_@RequestMapping("/toLogin")

public String toLogin(){

    return "login";

}
}

15.5 创建thymeleaf文件login.html

在templates下面创建login.html,使用模板创建

|

<meta charset="UTF-8">

<title>用户登陆</title>

登录页面

<table>

    <tr>

        <td>用户名:</td>

        <td><input type="text" name="uname" value="thomas"></td>

    </tr>

    <tr>

        <td>密码:</td>

        <td><input type="password" name="pwd"></td>

    </tr>

    <tr>

        <td colspan="2">

            <button type="submit">登录</button>

        </td>

    </tr>

</table>

15.7 修改安全配置文件WebSecurityConfig

修改后如下:

| @EnableGlobalMethodSecurity(prePostEnabled = true)

//@Configuration

@Slf4j

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Bean

public PasswordEncoder passwordEncoder(){

    return new BCryptPasswordEncoder();

}

@Override

protected void configure(HttpSecurity http) throws Exception {

    //设置登陆方式
    http.formLogin()//使用用户名和密码的登陆方式
            .usernameParameter("uname") //页面表单的用户名的name

            .passwordParameter("pwd")//页面表单的密码的name

            .loginPage("/login/toLogin") //自己定义登陆页面的地址
            .loginProcessingUrl("/login/doLogin")//配置登陆的url

            .successForwardUrl("/index/toIndex") //登陆成功跳转的页面
            .failureForwardUrl("/login/toLogin")//登陆失败跳转的页面
            .permitAll(); //放行和登陆有关的url,别忘了写这个
    //配置退出方式
    http.logout()

            .logoutUrl("/logout")

            .logoutSuccessUrl("/login/toLogin")

            .permitAll();/放行和退出有关的url,别忘了写这个


    //配置路径拦截 的url的匹配规则
    http.authorizeRequests()

            //任何路径要求必须认证之后才能访问
            .anyRequest().authenticated();

    // 禁用csrf跨站请求攻击  后面可以使用postman工具测试,注意要禁用csrf
    http.csrf().disable();

}
}

15.8 创建IndexController

| @Controller

@RequestMapping(“/index”)

public class IndexController {

_/**

 * 登录成功后进入主页
 */

_@RequestMapping("/toIndex")

public String toIndex(){

    return "main";

}
}

15.9 创建thymeleaf文件main.html

在templates下面创建main.html

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>系统首页</title>

</head>

<body>

<h1 align="center">系统首页</h1>

<a href="/student/query">查询学生</a>

<br>

<a href="/student/add">添加学生</a>

<br>

<a href="/student/update">更新学生</a>

<br>

<a href="/student/delete">删除学生</a>

<br>

<a href="/student/export">导出学生</a>

<br>

<br><br><br>

<h2><a href="/logout">退出</a></h2>

<br>

</body>

</html> 

15.10 修改Studentcontroller

修改后如下:

@Controller

@Slf4j

@RequestMapping("/student")

  public class StudentController {

    @GetMapping("/query")

    @PreAuthorize("hasAuthority('student:query')")

    public String queryInfo(){

        return "user/query";

    }

    @GetMapping("/add")

    @PreAuthorize("hasAuthority('student:add')")

    public String addInfo(){

        return "user/add";

    }

    @GetMapping("/update")

    @PreAuthorize("hasAuthority('student:update')")

    public String updateInfo(){

        return "user/update";

    }

    @GetMapping("/delete")

    @PreAuthorize("hasAuthority('student:delete')")

    public String deleteInfo(){

        return "user/delete";

    }

    @GetMapping("/export")

    @PreAuthorize("hasAuthority('student:export')")

    public String exportInfo(){

        return "/user/export";

    }

} 

15.11 在templates/user下面创建学生管理的各个页面

创建export.html

<!DOCTYPE html>

<html lang="en" xmlns:th="http://www.thymeleaf.org">

<head>

    <meta charset="UTF-8">

    <title>系统首页-学生管理</title>

</head>

<body>

<h1 align="center">系统首页-学生管理-导出</h1>

<a href="/index/toIndex">返回</a>

<br>

</body>

</html> 

创建query.html

<!DOCTYPE html>

<html lang="en" xmlns:th="http://www.thymeleaf.org">

<head>

    <meta charset="UTF-8">

    <title>系统首页-学生管理</title>

</head>

<body>

<h1 align="center">系统首页-学生管理-查询</h1>

<a href="/index/toIndex">返回</a>

<br>

</body>

</html> 

创建add.html

<!DOCTYPE html>

<html lang="en" xmlns:th="http://www.thymeleaf.org">

<head>

    <meta charset="UTF-8">

    <title>系统首页-学生管理</title>

</head>

<body>

<h1 align="center">系统首页-学生管理-新增</h1>

<a href="/index/toIndex">返回</a>

<br>

</body>

</html> 

创建update.html

 <!DOCTYPE html>

<html lang="en" xmlns:th="http://www.thymeleaf.org">

<head>

    <meta charset="UTF-8">

    <title>系统首页-学生管理</title>

</head>

<body>

<h1 align="center">系统首页-学生管理-更新</h1>

<a href="/index/toIndex">返回</a>

<br>

</body>

</html>

创建delete.html

<!DOCTYPE html>

<html lang="en" xmlns:th="http://www.thymeleaf.org">

<head>

    <meta charset="UTF-8">

    <title>系统首页-学生管理</title>

</head>

<body>

<h1 align="center">系统首页-学生管理-删除</h1>

<a href="/index/toIndex">返回</a>

<br>

</body>

</html> 

15.12 创建403页面

在static/error下面创建403.html

 <!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="UTF-8">

    <title>403</title>

</head>

<body>

<h2>403:你没有权限访问此页面</h2>

<a href="/index/toIndex">去首页</a>

</body>

</html> 

15.13 启动测试

注意:如果出现404问题,一般不出现这个问题

 <parent>        
 <artifactId>spring-boot-starter-parent</artifactId>        <groupId>org.springframework.boot</groupId><!--        
 <version>2.3.12.RELEASE</version>-->        
 <version>2.6.13</version>        
 <!--修改sprigboot的版本,然后再修改回去,就好了-->        
 <relativePath/>    
 </parent> 

15.14 当用户没有某权限时,页面不展示该按钮(简单看下即可)

上一讲里面我们创建的项目里面是当用户点击页面上的链接请求到后台之后没有权限会跳转到403,那么如果用户没有权限,对应的按钮就不显示出来,这样岂不是更好吗?
我们接着上一个项目来改造
引入下面的依赖

 <dependency>

    <groupId>org.thymeleaf.extras</groupId>

    <artifactId>thymeleaf-extras-springsecurity5</artifactId>

</dependency> 

修改main.html即可

<!DOCTYPE html>

<html lang="en" xmlns:th="http://www.thymeleaf.org"

      xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

<head>

    <meta charset="UTF-8">

    <title>系统首页</title>

</head>

<body>

<h1 align="center">系统首页</h1>

<a href="/student/query" sec:authorize="hasAuthority('student:query')" >查询用户</a>

<br>

<a href="/student/add" sec:authorize="hasAuthority('student:save')" >添加用户</a>

<br>

<a href="/student/update" sec:authorize="hasAuthority('student:update')" >更新用户</a>

<br>

<a href="/student/delete" sec:authorize="hasAuthority('student:delete')" >删除用户</a>

<br>

<a href="/student/export" sec:authorize="hasAuthority('student:export')" >导出用户</a>

<br>

<br><br><br>

<h2><a href="/logout">退出</a></h2>

<br>

</body>

</html> 

重新启动登录后查看效果

16 springsecurity 集成图片验证码

以前因为我们自己写登陆的方法可以在自己的登陆方法里面去接收页面传过来的code,再和session里面正确的code进行比较 。

16.1 概述

上一讲里面我们集成了thymeleaf实现在页面链接的动态判断是否显示,那么在实际开发中,我们会遇到有验证码的功能,那么如何处理呢?
复制上一个工程springsecurity-13-thymeleaf ,修改名字为springsecurity-14-captcha

16.2 原理、存在问题、解决思路

Springsecurity的过滤器链

我们知道Spring Security是通过过滤器链来完成了,所以它的解决方案是创建一个过滤器放到Security的过滤器链中,在自定义的过滤器中比较验证码

16.3 添加依赖(用于生成验证码)

 <!--引入hutool-->

  <dependency>

    <groupId>cn.hutool</groupId>

    <artifactId>hutool-all</artifactId>

    <version>5.3.9</version>

</dependency> 

16.4 添加一个获取验证码的接口

@Controller

@Slf4j

  public class CaptchaController {

    @GetMapping("/code/image")

    public void getCaptcha(HttpServletRequest request, HttpServletResponse response) throws IOException {

        //创建一个验证码
        CircleCaptcha circleCaptcha = CaptchaUtil._createCircleCaptcha_(200, 100, 2, 20);

        //放到session中
        // 为什么要重构?重构的快捷键是啥?
        String captchaCode=circleCaptcha.getCode();

        _log_.info("生成的验证码为:{}",captchaCode);

        request.getSession().setAttribute("LOGIN_CAPTCHA_CODE",captchaCode);

        ImageIO._write_(circleCaptcha.getImage(),"JPEG",response.getOutputStream());

    }

} 

16.5 创建验证码过滤器

@Component

@Slf4j

  public class ValidateCodeFilter extends OncePerRequestFilter {

    @Override

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

            validateCode(request, response,filterChain);
    }

     // 验证码校验
    private void validateCode(HttpServletRequest request, HttpServletResponse response,FilterChain filterChain) throws IOException, ServletException {

        String enterCaptchaCode = request.getParameter("code");

        HttpSession session = request.getSession();

        String captchaCodeInSession = (String) session.getAttribute("LOGIN_CAPTCHA_CODE");

        _log_.info("用户输入的验证码为:{},session中的验证码为:{}",enterCaptchaCode,captchaCodeInSession);

        //移除错误信息
        session.removeAttribute("captchaCodeErrorMsg");

        if (!StringUtils._hasText_(captchaCodeInSession)) {

            session.removeAttribute("LOGIN_CAPTCHA_CODE");

        }

        if (!StringUtils._hasText_(enterCaptchaCode) &#124;&#124; !StringUtils._hasText_(captchaCodeInSession) &#124;&#124; !enterCaptchaCode.equalsIgnoreCase(captchaCodeInSession)) {

            //说明验证码不正确,返回登陆页面
            session.setAttribute("captchaCodeErrorMsg", "验证码不正确");//重定向
            response.sendRedirect("/login/toLogin");

        }else{

            filterChain.doFilter(request,response);

        }

    }    @Override    protected boolean shouldNotFilter(HttpServletRequest request) throws ServletException {        //如果不是登陆请求,直接放行,不走过滤器        return !request.getRequestURI().equals("/login/doLogin");    }

} 

16.6 修改WebSecurityConfig(重点)

@EnableGlobalMethodSecurity(prePostEnabled = true)

  @Slf4j

  public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Resource

    private ValidateCodeFilter validateCodeFilter;

    @Override
    _/**

     * Security的http请求配置
     *

     * **@param **http

     * **@throws **Exception

     */

    _@Override

    protected void configure(HttpSecurity http) throws Exception {
        //设置登陆方式
        http.formLogin()//使用用户名和密码的登陆方式
                .usernameParameter("uname") //页面表单的用户名的name

                .passwordParameter("pwd")//页面表单的密码的name

                .loginPage("/login/toLogin") //自己定义登陆页面的地址
                .loginProcessingUrl("/login/doLogin")//配置登陆的url

                .successForwardUrl("/index/toIndex") //登陆成功跳转的页面
                .failureForwardUrl("/login/toLogin")//登陆失败跳转的页面
                .permitAll(); // 这个不要忘了
        //配置退出方式
        http.logout()

                .logoutUrl("/logout")

                .logoutSuccessUrl("/login/toLogin")

                .permitAll();

        //配置路径拦截 的url的匹配规则 ,放行请求获取验证码的路径
     http.authorizeRequests().antMatchers("/code/image").permitAll()

                //任何路径要求必须认证之后才能访问
                .anyRequest().authenticated();

        // 禁用csrf跨站请求,注意不要写错了,因为前端页面没有传token,所以要禁用
        http.csrf().disable();

  **// 配置登录之前添加一个验证码的过滤器**      http.addFilterBefore(validateCodeFilter,UsernamePasswordAuthenticationFilter.class);

    }_
    _@Bean

    public PasswordEncoder passwordEncoder() {

        return new BCryptPasswordEncoder();

    }

} 

16.7 修改login.html

添加验证码表单元素和图片

|

<meta charset="UTF-8">

<title>用户登陆</title>

登录页面

<table>

    <tr>

        <td>用户名:</td>

        <td><input type="text" name="uname" value="zhangsan"></td>

    </tr>

    <tr>

        <td>密码:</td>

        <td><input type="password" name="pwd"></td>

    </tr>

    <tr>

        <td>验证码:</td>

        <td><input type="text" name="code"> <img src="/code/image" style="height:33px;cursor:pointer;" onclick="this.src=this.src">

            <span th:text="${session.captchaCodeErrorMsg}" style="color: #FF0000;" >username</span>

        </td>

    </tr>

    <tr>

        <td colspan="2">

            <button type="submit">登录</button>

        </td>

    </tr>

</table>

16.8 测试登录

故意输入错误验证码

16.9 使用debug模式,查看一下自定义过滤器执行流程

17 Base64 和JWT学习

见《base64及jwt学习文档.doc》

18 JWT+Spring Security+redis+mysql 实现认证

18.1 新建工程

复制工程springsecurity-12-database-authorization-method,改名字为
springsecurity-16-jwt-authentication
注意这个工程已经有认证功能和基于方法授权的功能了。
下面咱们看下如何设置使用jwt进行认证登录。

18.2 添加jwt依赖

<!-- 添加jwt的依赖 -->

  <dependency>

    <groupId>com.auth0</groupId>

    <artifactId>java-jwt</artifactId>

    <version>3.11.0</version>

</dependency> 

18.3 application.yml 中配置密钥

| jwt:

secretKey: mykey
| — |

18.4 jwt功能类

com.powernode.util包下创建

|

@Component

@Slf4j

  public class JwtUtils {

    //算法密钥
    @Value("${jwt.secretKey}")

    private String jwtSecretKey;

  

    _/**

     * 创建jwt

     *

     * **@param **userInfo 用户信息
     * **@param **authList 用户权限列表
     * **@return **返回jwt(JSON WEB TOKEN)
     */

    _public String createToken(String userInfo, List<String> authList) {

        //创建时间
        Date currentTime = new Date();

        //过期时间,5分钟后过期
        Date expireTime = new Date(currentTime.getTime() + (1000 * 60 * 5));

        //jwt 的header信息
        Map<String, Object> headerClaims = new HashMap<>();

        headerClaims.put("type", "JWT");

        headerClaims.put("alg", "HS256");

        //创建jwt

        return JWT._create_()

                .withHeader(headerClaims) // 头部
                .withIssuedAt(currentTime) //已注册声明:签发日期,发行日期
                .withExpiresAt(expireTime) //已注册声明 过期时间
                .withIssuer("thomas")  //已注册声明,签发人
                .withClaim("userInfo", userInfo) //私有声明,可以自己定义
                .withClaim("authList", authList) //私有声明,可以自定义
                .sign(Algorithm._HMAC256_(jwtSecretKey)); // 签名,使用HS256算法签名,并使用密钥
  //        HS256是一种对称算法,这意味着只有一个密钥,在双方之间共享。 使用相同的密钥生成签名并对其进行验证。 应特别注意钥匙是否保密。
    }

  

    _/**

     * 验证jwt的签名,简称验签
     *

     * **@param **token 需要验签的jwt

     * **@return **验签结果
     */

    _public boolean verifyToken(String token) {

        //获取验签类对象
        JWTVerifier jwtVerifier = JWT._require_(Algorithm._HMAC256_(jwtSecretKey)).build();

        try {

            //验签,如果不报错,则说明jwt是合法的,而且也没有过期
            DecodedJWT decodedJWT = jwtVerifier.verify(token);

            return true;

        } catch (JWTVerificationException e) {

            //如果报错说明jwt 为非法的,或者已过期(已过期也属于非法的)
            _log_.error("验签失败:{}", token);

            e.printStackTrace();

        }

        return false;

    }

  

    _/**

     * 获取用户id

     *

     * **@param **token jwt

     * **@return **用户id

     */

    _public String getUserInfo(String token) {

        //创建jwt验签对象
        JWTVerifier jwtVerifier = JWT._require_(Algorithm._HMAC256_(jwtSecretKey)).build();

        try {

            //验签
            DecodedJWT decodedJWT = jwtVerifier.verify(token);

            //获取payload中userInfo的值,并返回
            return decodedJWT.getClaim("userInfo").asString();

        } catch (JWTVerificationException e) {

            e.printStackTrace();

        }

        return null;

    }

  

    _/**

     * 获取用户权限
     *

     * **@param **token

     * **@return

     ***/

    _public List<String> getUserAuth(String token) {

        //创建jwt验签对象
        JWTVerifier jwtVerifier = JWT._require_(Algorithm._HMAC256_(jwtSecretKey)).build();

        try {

            //验签
            DecodedJWT decodedJWT = jwtVerifier.verify(token);

            //获取payload中的自定义数据authList(权限列表),并返回
            return decodedJWT.getClaim("authList").asList(String.class);

        } catch (JWTVerificationException e) {

            e.printStackTrace();

        }

        return null;

    }

  

} 

18.5 添加响应类

com.powernode.vo包中

@Data

@AllArgsConstructor

@NoArgsConstructor

@Builder

public class HttpResult implements Serializable {
private Integer code; //响应码
private String msg; //响应消息
private Object data; //响应对象
}
| — |

18.6 修改SecurityUser类

加入一个获取SysUser的方法,后面会用到这个方法

| public SysUser getSysUser() {
return sysUser;
}
| — |

18.7 新建认证成功处理器

|

_/**

 * 认证成功处理器,当用户登录成功后,会执行此处理器
 */

  _@Component

  public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    //使用此工具类进行序列化
    @Resource

    private ObjectMapper objectMapper;

    @Resource

    private JwtUtils jwtUtils;
  

    @Override

    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

        response.setCharacterEncoding("UTF-8");

        response.setContentType("text/html;charset=utf-8");

        //从认证对象中获取认证用户信息
        SecurityUser securityUser = (SecurityUser) authentication.getPrincipal();

        String userInfo=objectMapper.writeValueAsString(securityUser.getSysUser());

        List<SimpleGrantedAuthority> authorities = (List<SimpleGrantedAuthority>) securityUser.getAuthorities();

        //_这可以改成stream流
        _List<String> authList=new ArrayList<>();

        for (SimpleGrantedAuthority authority : authorities) {

            authList.add(authority.getAuthority());

        }//使用stream流1,使用lambda表达式
  List<String> test = authorities.stream().map(

        a -> {

           return a.getAuthority();

        }

).collect(Collectors._toList_());

  System._out_.println("test = " + test);

  //使用stream流2

  List<String> test111 = authorities.stream().map(SimpleGrantedAuthority::getAuthority).collect(Collectors._toList_());

  System._out_.println("test111 = " + test111);
        // 创建jwt

        String token = jwtUtils.createToken(userInfo,authList);

  
        //返回给前端token

        HttpResult httpResult = HttpResult._builder_().code(200).msg("OK").data(token).build();

        PrintWriter writer = response.getWriter();

        writer.write(objectMapper.writeValueAsString(httpResult));

        writer.flush();

    }

}

18.8 新建jwt过滤器,用于检查token等

com.powernode.filter包中新建类

_/**

 * 定义一次性请求过滤器
 */

  _@Component

@Slf4j

  public class JwtCheckFilter extends OncePerRequestFilter {

    @Resource

    private ObjectMapper objectMapper;

    @Resource

    private JwtUtils jwtUtils;
  

    @Override

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        //获取请求头中的Authorization

        String authorization = request.getHeader("Authorization");

        //如果Authorization为空,那么不允许用户访问,直接返回
        if (!StringUtils._hasText_(authorization)) {

            printFront(response, "没有登录!");

            return;

        }

        //Authorization 去掉头部的Bearer 信息,获取token值
        String jwtToken = authorization.replace("Bearer ", "");

        //验证签名(简称验签)
        boolean verifyTokenResult = jwtUtils.verifyToken(jwtToken);

        //验签不成功
        if (!verifyTokenResult) {

            printFront(response, "jwtToken 已过期");

            return;

        }

  
        //从payload中获取userInfo

        String userInfo = jwtUtils.getUserInfo(jwtToken);

        //从payload中获取授权列表
        List<String> userAuth = jwtUtils.getUserAuth(jwtToken);

        //创建登录用户
        SysUser sysUser = objectMapper.readValue(userInfo, SysUser.class);

        SecurityUser securityUser = new SecurityUser(sysUser);

        //设置权限
        List<SimpleGrantedAuthority> authList = userAuth.stream().map(SimpleGrantedAuthority::new).collect(Collectors._toList_());

        securityUser.setAuthorityList(authList);

  

  //创建用户名密码token
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToke = new UsernamePasswordAuthenticationToken(securityUser

                , null, authList);

        //通过安全上下文设置认证信息
        SecurityContextHolder._getContext_().setAuthentication(usernamePasswordAuthenticationToke);

        //继续访问相应的url等
        filterChain.doFilter(request, response);

  

    }

    

    private void printFront(HttpServletResponse response, String message) throws IOException {

        response.setCharacterEncoding("UTF-8");

        response.setContentType("application/json;charset=utf-8");

        PrintWriter writer = response.getWriter();

        HttpResult httpResult =HttpResult.builder().code(-1).msg(message).build();

        writer.print(objectMapper.writeValueAsString(httpResult));

        writer.flush();

    }    @Override    protected boolean shouldNotFilter(HttpServletRequest request) throws ServletException {        //如果是登陆请求,直接放行,不走过滤器        return request.getRequestURI().equals("/login");    }

} 

18.9修改 web安全配置类WebSecurityConfig

@EnableGlobalMethodSecurity(prePostEnabled = true)

  public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource

    private MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Resource

    private JwtCheckFilter jwtCheckFilter;
    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http.addFilterBefore(jwtCheckFilter, UsernamePasswordAuthenticationFilter.class);

        http.formLogin().successHandler(myAuthenticationSuccessHandler).permitAll();
  http.authorizeRequests()

        .mvcMatchers("/student/**").hasAnyAuthority("student:query","student:update")
                .anyRequest().authenticated(); //任何请求均需要认证(登录成功)才能访问//禁用跨域请求保护
        http.csrf().disable();

        //禁用session

        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy._STATELESS_);

    }

  

    @Bean

    public PasswordEncoder passwordEncoder(){

        return new BCryptPasswordEncoder();

    }

} 

18.10 启动测试

先登录系统,获取页面上返回的token,然后使用postman 在请求头中携带token发送请求即可。

使用curl 访问

curl -H “Authorization:Bearer token” localhost:8080/student/query

18.11 测试后的问题

18.11.1 实现用户退出的问题

问题:因为JWT无状态,如果要实现退出功能无法实现。
解决办法:
使用redis
步骤:
① 登陆成功之后把生成JWT存到redis中

keyvalue
logintoken:jwt认证信息authentication

② 用户退出时,从redis中删除该token
③ 用户每次访问时,先校验jwt是否合法,如果合法再从redis里面取出logintoken:jwt判断这个jwt还存不存在,如果不存在就说明用户已经退出来,就返回未登陆。

18.11.2 启动redis并使用客户端工具连接到redis

18.11.3 复制工程

复制springsecurity-16-jwt-authentication 成springsecurity-16-jwt-authentication-redis工程

18.11.4 加入redis依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-data-redis</artifactId>

</dependency>

18.11.5 配置redis信息

spring:
** **redis:
host: 192.168.43.33
port: 6379
database: 0
password: 666666

18.11.6 修改认证成功处理器

添加依赖注入

@Resource

  private StringRedisTemplate stringRedisTemplate; |
| --- |

代码中加入

| stringRedisTemplate.opsForValue().set("logintoken:"+token,objectMapper.writeValueAsString(authentication),30, TimeUnit._MINUTES_);

18.11.7 新建用户退出成功处理器

_/**

 * 退出成功处理器,用户退出成功后,执行此处理器
 */

  _@Component

  public class MyLogoutSuccessHandler implements LogoutSuccessHandler {

    //使用此工具类的对象进行序列化操作
    @Resource

    private ObjectMapper objectMapper;

    @Resource

    private StringRedisTemplate stringRedisTemplate;

    @Override

    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

        //从请求头中获取Authorization信息
        String authorization = request.getHeader("Authorization");

        //如果授权信息为空,返回前端
        if(null==authorization){

            response.setCharacterEncoding("UTF-8");

            response.setContentType("application/json;charset=utf-8");

            HttpResult httpResult=HttpResult._builder_().code(-1).msg("token不能为空").build();

            PrintWriter writer = response.getWriter();

            writer.write(objectMapper.writeValueAsString(httpResult));

            writer.flush();

            return;

        }

        //如果Authorization信息不为空,去掉头部的Bearer字符串
        String token = authorization.replace("Bearer ", "");

        //redis中删除token,这是关键点
        stringRedisTemplate.delete("logintoken:"+token);

        response.setCharacterEncoding("UTF-8");

        response.setContentType("application/json;charset=utf-8");

        HttpResult httpResult=HttpResult._builder_().code(200).msg("退出成功").build();

        PrintWriter writer = response.getWriter();

        writer.write(objectMapper.writeValueAsString(httpResult));

        writer.flush();

    }

} 

配置用户成功退出处理器
修改WebSecurityConfig
依赖注入

@Resource

private MyLogoutSuccessHandler myLogoutSuccessHandler;

添加代码

http.logout().logoutSuccessHandler(myLogoutSuccessHandler);http.csrf().disable(); //注意:禁用跨域请求保护 要不然logout不能访问

18.11.8 修改jwtcheckfilter

添加依赖注入

| @Resource

private StringRedisTemplate stringRedisTemplate;

代码中加入

| // 从redis中获取token
String tokenInRedis = stringRedisTemplate.opsForValue().get(“logintoken:” + jwtToken);
if(!StringUtils.hasText(tokenInRedis)){
printFront(response, “用户已退出,请重新登录”);
return;
}

18.11.9 启动程序并登录测试

登录后查看redis中是否存储了token

18.11.10 使用jwt token访问/student/query

使用postman测试,发现可以正常访问

18.11.11 使用postman 退出系统


注意携带token,才能退出啊
注意:要禁用跨域请求保护,要不然使用postman无法访问logout端点

http.csrf().disable(); //禁用跨域请求保护

18.11.12 再次使用token访问/student/query

现象:发现已经不能正常访问了
原因:虽然token本身并没有过期,但是redis中已经删除了该token,所以不能正常访问了
使用curl 访问

curl -H “Authorization:Bearer token” localhost:8080/student/query

18.11.13 使用debug模式,理解整个流程

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/457825.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

vue3+vite3+typescript使用wangEditor编辑器

文章目录 ⭐写在前面⭐步入正题&#x1f680;1.安装&#x1f680;2.配置2.1 存数据2.2 读数据 &#x1f680;3.跨域及其他问题3.1 跨域3.2 其他问题 &#x1f680;4.写在最后 ⭐写在前面 &#x1f680; 框架Vue3 Vite3 TypeScript&#xff1a; &#x1f449; Vue3&#xff…

地铁站人流检测硬件部分

目录 一、概述 二、驱动程序 2.1debug串口 2.2体重传感器HX711 2.3滴答定时器 2.4ESP8266 2.5人体检测 2.6 IIC的GPIO 2.7 OLED的IIC 2.8 LED 三、应用 四、中断 一、概述 使用STM32C8T6作为主控 A9 ---> tx&#xff08;调试串口&#xff09; A10 ---> …

算法训练 Day41 | 动态规划

343. 整数拆分 思路&#xff1a; 确定dp数组&#xff08;dp table&#xff09;以及下标的含义&#xff1a;dp[i]&#xff1a;分拆数字i&#xff0c;可以得到的最大乘积为dp[i]。 确定递推公式&#xff1a;dp[i] max(dp[i], max((i - j) * j, dp[i - j] * j)) 可以想 dp[i]最…

【python装饰器:看懂这10个例子你就掌握了!】

基本说明 Python 装饰器是一种函数&#xff0c;它可以用来修改其他函数的功能。它是 Python 中的一项高级编程技术&#xff0c;也是 Python 中比较重要的语法之一。 简单来说&#xff0c;装饰器就是一个函数&#xff0c;它可以接受一个函数作为参数&#xff0c;并返回一个函数…

Obsidian+坚果云+FolderSync解决电脑端和安卓端同步方案

目录1.Obsidian电脑端准备 2.Obsidian安卓端准备 3.坚果云电脑端准备 4.坚果云手机端准备 5.FolderSync手机端准备 6.百度云冗余备份 1.Obsidian电脑端准备 这里以windows版本为例&#xff0c;下载后安装 1.Obsidian官网&#xff1a;https://obsidian.md/ 官网下载有时候…

电力电网行业IT运维方案

智能电网背景下&#xff0c;电力、电网企业信息化逐渐渗透到其业务链的各个环节&#xff0c;云计算、物联网、移动互联网等新技术的应用&#xff0c;更驱动信息化与业务创新深度融合。电力、电网企业集团信息系统群逐渐朝着一体化方向发展&#xff0c;信息链越来越长&#xff0…

银行数字化转型导师坚鹏:宏观经济趋势与资本行业机遇和挑战

2023年宏观经济趋势与资本行业机遇和挑战 课程背景&#xff1a; 很多学员存在以下问题&#xff1a; 不知道我国目前的宏观经济形势&#xff1f; 不清楚宏观环境对我国经济的影响&#xff1f; 不知道资本行业未来主要发展趋势&#xff1f; 课程特色&#xff1a; 精彩解…

基于php的校园校园兼职网站的设计与实现

摘要 近年来&#xff0c;信息技术在大学校园中得到了广泛的应用&#xff0c;主要体现在两个方面&#xff1a;一是学校管理系统&#xff0c;包括教务管理、行政管理和分校管理&#xff0c;是我国大学管理和信息传递的主要渠道。二是学生生活服务平台。而随着大学生毕业人数的年…

leetcode重点题目分类别记录(四)图论深入

文章目录 入度出度最大网络秩可以到达所有点的最少点数目 并查集省份数量等式方程的可满足性按字典序排列最小的等效字符串以图判树 二分图判断二分图 深度优先搜索封闭岛屿数量太平洋大西洋水流问题 广度优先搜索树上逃逸最短路径多源最短路径 拓扑排序DFS解决拓扑排序BFS解决…

MIPS指令集-mars-cpu

MIPS通用寄存器 MIPS有32个通用寄存器&#xff08;$0-$31&#xff09;&#xff0c;各寄存器的功能及汇编程序中使用约定如下&#xff1a; 下表描述32个通用寄存器的别名和用途 REGISTER NAME USAGE $0 $zero 常量0(constant value 0) $1 $at 保留给汇编器(Reserved f…

K近邻算法(手写代码+图像识别实践)

k近邻算法作为一个分类算法&#xff0c;他通过计算不同特征值之间的距离来进行分类&#xff0c;它的工作原理是存在一个样本集合作为训练样本集&#xff0c;且每个样本都存在一个标签&#xff0c;此时&#xff0c;输入一个新的样本不存在标签&#xff0c;我们通过计算这个新样本…

【Android车载系列】第10章 系统服务-SystemServer源码分析(API28)

1 SystemServer启动 &emps;&emps;SystemServer进程启动&#xff0c;首先从SystemServer.java文件的main()方法开始。 290 /** 291 * The main entry point from zygote. 292 */ 293 public static void main(String[] args) { 294 new SystemSe…

S32K3系列单片机开发笔记(SIUL是什么/配置引脚复用的功能·)

前言 今天花时间看了一下&#xff0c;SIUL2模块的相关内容&#xff0c;并参照文档&#xff0c;以及例程作了一些小记录&#xff0c;知道该如何使用这个外设&#xff0c;包括引脚的配置&#xff0c;中断配置&#xff0c;以及常用函数的使用等&#xff0c;但对其中的一些细节还需…

如何利用代码快速生成mapper.xml的<resultMap>

一&#xff0c;问题引入 当我们开发 mapper.xml ---->dao接层 ---->service接口---->serviceImp ---->controller层&#xff0c; 其中在mapper.xml编写查询语句的sql时会遇到sql查询到的结果 涉及到多张表的字段&#xff0c;或者单张表的字段过多时&#xff0c; 这…

Python文件处理

文章目录 1️⃣基本语法2️⃣读取文件⚜️读取整个文件read()⚜️with 关键词⚜️逐行读取 3️⃣写入文件⚜️写入文件write()⚜️写入数字⚜️追加内容到文件 4️⃣读取和写入二进制文件 简介 读完本篇你将学会文件的创建、读取、写入等。 1️⃣基本语法 在Python中使用文件的…

ThreadLocal机制解读和源码分析

目录 线程数据共享和安全 -ThreadLocal 什么是 ThreadLocal 代码演示 创建Dog.java 创建Pig.java T2DAO.java T2DAO T1解读set T1Service 解读 get ThreadLocalTest这个是换一种法 ThreadLocal 原理分析图 1. ThreadLocal 原理分析图(重点 set 和 get) 线程数据共…

Go Fuzzing:发现你未曾发现的漏洞

文章目录 Fuzzing(模糊测试)要求示例模拟crash 总结参考资料 Fuzzing(模糊测试) go fuzz文档 对于软件开发者而言&#xff0c;一项重要的任务就是确保程序的安全性。而其中一种风险就是软件中可能存在的漏洞。传统的测试方法往往需要耗费大量的时间和人力&#xff0c;而使用F…

【C++: 模块二 ---运算符、流程控制语句】

C&#xff1a; 模块二 ---运算符、流程控制语句 一、运算符&#xff1a;1.1算数运算符&#xff1a;1.2赋值运算符&#xff1a;1.3比较运算符&#xff1a;1.4逻辑运算符&#xff1a;1.5三目运算符&#xff1a; 二、程序流程结构2.1顺序结构&#xff1a;2.2选择结构&#xff1a;&…

ChatGPT免费第一版本

最近利用空余时间做了一个供大家免费体验的chatgpt国内可直接访问的版本 输入12345gpt.com可直接访问 贴上GPT给我回复的内容&#xff0c;&#x1f600; 当今社会&#xff0c;交流已经成为人们日常不可或缺的一部分。然而&#xff0c;随着技术的发展&#xff0c;人们对于交流工…

【Linux 裸机篇(七)】I.MX6U 中断系统

目录 一、中断向量表1. 中断向量偏移 二、中断系统简介1. 创建中断向量表 三、GIC 控制器简介1. 中断 ID 四、GIC 逻辑分块1. Distributor(分发器端)2. CPU Interface(CPU 接口端) 五、CP15 协处理器六、中断使能1. IRQ 和 FIQ 总中断使能2. ID0~ID1019 中断使能和禁止 七、中断…