Technologieaustausch

SpringSecurity Framework [Authentifizierung]

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Inhaltsverzeichnis

1. Schnellstart

2. Zertifizierung

2.1 Anmeldebestätigungsprozess

2.2 Vorläufige Untersuchung des Prinzips

2.3 Lösen Sie das Problem

2.3.1 Ideenanalyse

2.3.2 Vorbereitung

2.3.3 Umsetzung

2.3.3.1 Benutzer der Datenbanküberprüfung

2.3.3.2 Passwortverschlüsselter Speicher

2.3.3.3 Login-Schnittstelle

2.3.3.4 Authentifizierungsfilter

2.3.3.5 Abmelden

Spring Security ist ein Sicherheitsmanagement-Framework der Spring-Familie und bietet im Vergleich zu Shiro, einem anderen Sicherheits-Framework, umfangreichere Funktionen und umfangreichere Community-Ressourcen.

Im Allgemeinen wird Spring Security häufiger in Großprojekten und Shiro häufiger in kleinen Projekten verwendet, da Shiro im Vergleich zu Spring Security einfacher zu verwenden ist.

Allgemeine Webanwendungen müssenZertifizierungUndAutorisieren

  • Authentifizierung: Überprüfen Sie, ob der aktuelle Benutzer, der auf das System zugreift, der Systembenutzer ist, und bestätigen Sie, um welchen Benutzer es sich handelt.
  • Autorisierung: Stellen Sie nach der Authentifizierung fest, ob der aktuelle Benutzer berechtigt ist, einen Vorgang auszuführen

Authentifizierung und Autorisierung sind die Kernfunktionen von Spring Security als Sicherheitsframework!

1. Schnellstart

Lassen Sie uns zunächst einfach ein SpringBoot-Projekt erstellen.

Zu diesem Zeitpunkt greifen wir auf eine einfache Hallo-Schnittstelle zu, die wir geschrieben haben, um zu überprüfen, ob die Konstruktion erfolgreich ist.

Dann stellen Sie SpringSecurity vor.

Schauen wir uns zu diesem Zeitpunkt die Auswirkungen der Zugriffsschnittstelle an.

Nach der Einführung von SpringSecurity springt die Zugriffsoberfläche automatisch zu einer Anmeldeseite und das Kennwort wird an die Konsole ausgegeben. Sie müssen sich anmelden, um auf die Schnittstelle zuzugreifen.

2. Zertifizierung

2.1 Anmeldebestätigungsprozess

Zunächst müssen wir den Anmeldeüberprüfungsprozess verstehen. Zuerst übermittelt das Frontend den Benutzernamen und das Kennwort, um auf die Anmeldeschnittstelle zuzugreifen. Nachdem der Server den Benutzernamen und das Kennwort erhalten hat, vergleicht er diese mit denen in der Datenbank. Wenn der Benutzername/die Benutzer-ID korrekt verwendet wird, wird ein JWT generiert, und dann antwortet der JWT an das Front-End und greift dann nach der Anmeldung auf andere Anforderungen zu. Jedes Mal, wenn der Server das Token erhält, wird es im Anforderungsheader angezeigt Analysieren Sie den Anforderungsheader, rufen Sie die Benutzer-ID ab und erhalten Sie benutzerbezogene Informationen und Betrachterberechtigungen basierend auf der Benutzernamen-ID. Wenn Sie über die entsprechende Berechtigung verfügen, antworten Sie dem Front-End.

2.2 Vorläufige Untersuchung des Prinzips

Das Prinzip von SpringSecurity ist eigentlich eine Filterkette, die Filter mit verschiedenen Funktionen bereitstellt. Hier betrachten wir zunächst die beteiligten Filter im obigen Schnellstart.

  • UsernamePasswordAuthenticationFilter ist für die Verarbeitung von Anmeldeanfragen verantwortlich, nachdem der Benutzername und das Kennwort auf der Anmeldeseite eingegeben wurden.
  • ExceptionTranslationFilter behandelt alle in der Filterkette ausgelösten AccessDeniedException und AuthenticationException
  • FilterSecurityInterceptor ist ein Filter, der für die Berechtigungsüberprüfung verantwortlich ist

Wir können Debug auch verwenden, um zu sehen, welche Filter sich in der SpringSecurity-Filterkette im aktuellen System befinden und in welcher Reihenfolge.

Schauen wir uns als Nächstes die Analyse des Authentifizierungsflussdiagramms an.

Hier müssen wir nur in der Lage sein, den Prozess zu verstehen:

Der Benutzer hat den Benutzernamen und das Kennwort übermittelt, UsernamePasswordAuthenticationFilter kapselt es als Authentifizierungsobjekt und ruft die Authentifizierungsmethode von DaoAuthenticationProvider zur Authentifizierung auf und ruft dann die LoadUserByUserName-Methode auf, um den Benutzer abzufragen besteht darin, im Speicher zu suchen und dann die entsprechenden Benutzerinformationen in ein UserDetails-Objekt zu kapseln. Verwenden Sie PasswordEncoder, um das Kennwort in UserDetails und das Authentifizierungskennwort zu vergleichen, um festzustellen, ob es korrekt ist, und legen Sie die Berechtigungsinformationen in UserDetails für das Authentifizierungsobjekt fest Geben Sie dann das Authentifizierungsobjekt zurück und verwenden Sie schließlich SecurityContextHolder.getContext(). Die setAuthentication-Methode speichert dieses Objekt, und andere Filter erhalten die aktuellen Benutzerinformationen über SecurityContextHoder. (Sie müssen diesen Absatz nicht auswendig lernen, um ihn zu verstehen)

Dann kennen wir den Prozess, bevor wir ihn ändern können. Wenn wir aus dem Speicher suchen, müssen wir zunächst in der Datenbank suchen (hier müssen wir eine UserDetailsService-Implementierungsklasse anpassen) und verwenden nicht den Standardbenutzernamen und das Kennwort Die Anmeldeschnittstelle muss von Ihnen selbst geschrieben werden und es besteht keine Notwendigkeit, die von ihm bereitgestellte Standardanmeldeseite zu verwenden.

Basierend auf der von uns analysierten Situation können wir uns ein solches Bild machen.

Zu diesem Zeitpunkt wird ein JWT an das Front-End zurückgegeben, und andere vom Front-End gestellte Anforderungen übertragen das Token. Unser erster Schritt besteht also darin, zu prüfen, ob das Token übertragen wird, das Token zu analysieren, die entsprechende Benutzer-ID abzurufen und zu kapseln es als Das Anthentication-Objekt wird im SecurityContextHolder gespeichert (damit andere Filter es abrufen können).

Hier stellt sich also eine weitere Frage: Wie erhalte ich vollständige Benutzerinformationen, nachdem ich die Benutzer-ID vom JWT-Authentifizierungsfilter erhalten habe?

Hier verwenden wir Redis. Wenn der Server die Benutzer-ID zum Generieren von JWT authentifiziert, wird die Benutzer-ID als Schlüssel verwendet und die Benutzerinformationen werden in Redis als Wert gespeichert. Anschließend können die vollständigen Benutzerinformationen abgerufen werden von Redis über die Benutzer-ID.

2.3 Lösen Sie das Problem

2.3.1 Ideenanalyse

Aus der vorläufigen Untersuchung der oben genannten Prinzipien haben wir auch grob analysiert, was wir tun müssen, wenn wir den Authentifizierungsprozess der Front-End- und Back-End-Trennung selbst implementieren.

Anmeldung:

a. Benutzerdefinierte Anmeldeschnittstelle

Rufen Sie die ProviderManager-Methode zur Authentifizierung auf. Wenn die Authentifizierung erfolgreich ist, wird ein JWT generiert.

Speichern Sie Benutzerinformationen in Redis

b. Passen Sie UserDetailsService an

Fragen Sie die Datenbank in dieser Implementierungsklasse ab

überprüfen:

a. Passen Sie den JWT-Authentifizierungsfilter an

Bekomme Token

Analysieren Sie das Token, um seine Benutzer-ID zu erhalten

Erhalten Sie vollständige Benutzerinformationen von Redis

Im SecurityContextHolder speichern

2.3.2 Vorbereitung

Zuerst müssen Sie die entsprechenden Abhängigkeiten hinzufügen

  1.         <!--   SpringSecurity启动器     -->
  2.         <dependency>
  3.             <groupId>org.springframework.boot</groupId>
  4.             <artifactId>spring-boot-starter-security</artifactId>
  5.         </dependency>
  6.  
  7.         <!--   redis依赖     -->
  8.         <dependency>
  9.             <groupId>org.springframework.boot</groupId>
  10.             <artifactId>spring-boot-starter-data-redis</artifactId>
  11.         </dependency>
  12.         <!--   fastjson依赖     -->
  13.         <dependency>
  14.             <groupId>com.alibaba</groupId>
  15.             <artifactId>fastjson</artifactId>
  16.             <version>1.2.33</version>
  17.         </dependency>
  18.         <!--   jwt依赖     -->
  19.         <dependency>
  20.             <groupId>io.jsonwebtoken</groupId>
  21.             <artifactId>jjwt</artifactId>
  22.             <version>0.9.0</version>
  23.         </dependency>

Dann müssen wir Redis verwenden und Redis-bezogene Konfigurationen hinzufügen.

Erstens ist der Serialisierer von FastJson

  1. package org.example.utils;
  2. import com.alibaba.fastjson.JSON;
  3. import com.alibaba.fastjson.parser.ParserConfig;
  4. import com.alibaba.fastjson.serializer.SerializerFeature;
  5. import com.fasterxml.jackson.databind.JavaType;
  6. import com.fasterxml.jackson.databind.type.TypeFactory;
  7. import org.springframework.data.redis.serializer.RedisSerializer;
  8. import org.springframework.data.redis.serializer.SerializationException;
  9.  
  10. import java.nio.charset.Charset;
  11.  
  12. /**
  13.  * Redis使用fastjson序列化
  14.  * @param <T>
  15.  */
  16. public class FastJsonRedisSerializer<T> implements RedisSerializer<T> {
  17.  
  18.     public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");
  19.  
  20.     private Class<T> clazz;
  21.  
  22.     static {
  23.         ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
  24.     }
  25.  
  26.     public FastJsonRedisSerializer(Class<T> clazz){
  27.         super();
  28.         this.clazz=clazz;
  29.     }
  30.     
  31.     @Override
  32.     public byte[] serialize(T t) throws SerializationException {
  33.         if (t == null){
  34.             return new byte[0];
  35.         }
  36.         return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
  37.     }
  38.  
  39.     @Override
  40.     public T deserialize(byte[] bytes) throws SerializationException {
  41.         if (bytes==null || bytes.length<=0){
  42.             return null;
  43.         }
  44.         String str = new String(bytes,DEFAULT_CHARSET);
  45.  
  46.         return JSON.parseObject(str,clazz);
  47.     }
  48.  
  49.     protected JavaType getJavaType(Class<?> clazz){
  50.         return TypeFactory.defaultInstance().constructType(clazz);
  51.     }
  52.     
  53. }

Erstellen Sie RedisConfig und erstellen Sie darin einen Serializer, um Probleme wie verstümmelte Zeichen zu lösen.

  1. package org.example.config;
  2. import org.example.utils.FastJsonRedisSerializer;
  3. import org.springframework.context.annotation.Bean;
  4. import org.springframework.context.annotation.Configuration;
  5. import org.springframework.data.redis.connection.RedisConnectionFactory;
  6. import org.springframework.data.redis.core.RedisTemplate;
  7. import org.springframework.data.redis.serializer.StringRedisSerializer;
  8.  
  9. @Configuration
  10. public class RedisConfig {
  11.     @Bean
  12.     @SuppressWarnings(value = {"unchecked","rawtypes"})
  13.     public RedisTemplate<Object,Object> redisTemplate(RedisConnectionFactory connectionFactory){
  14.         RedisTemplate<Object,Object> template = new RedisTemplate<>();
  15.         template.setConnectionFactory(connectionFactory);
  16.  
  17.         FastJsonRedisSerializer serializer = new FastJsonRedisSerializer(Object.class);
  18.  
  19.         //使用StringRedisSerializer来序列化和反序列化redus的key值
  20.         template.setKeySerializer(new StringRedisSerializer());
  21.         template.setValueSerializer(serializer);
  22.  
  23.         template.afterPropertiesSet();
  24.         return template;
  25.     }
  26. }

Es ist auch notwendig, die Antwortklasse zu vereinheitlichen

  1. package org.example.domain;
  2. import com.fasterxml.jackson.annotation.JsonInclude;
  3. @JsonInclude(JsonInclude.Include.NON_NULL)
  4. public class ResponseResult<T>{
  5.     /**
  6.      * 状态码
  7.      */
  8.     private Integer code;
  9.     /**
  10.      * 提示信息,如果有错误时,前端可以获取该字段进行提示
  11.      */
  12.     private String msg;
  13.     /**
  14.      * 查询到的结果数据
  15.      */
  16.     private T data;
  17.  
  18.     public ResponseResult(Integer code,String msg){
  19.         this.code = code;
  20.         this.msg = msg;
  21.     }
  22.  
  23.     public ResponseResult(Integer code,T data){
  24.         this.code = code;
  25.         this.data = data;
  26.     }
  27.  
  28.     public Integer getCode() {
  29.         return code;
  30.     }
  31.  
  32.     public void setCode(Integer code) {
  33.         this.code = code;
  34.     }
  35.  
  36.     public String getMsg() {
  37.         return msg;
  38.     }
  39.  
  40.     public void setMsg(String msg) {
  41.         this.msg = msg;
  42.     }
  43.  
  44.     public T getData() {
  45.         return data;
  46.     }
  47.  
  48.     public void setData(T data) {
  49.         this.data = data;
  50.     }
  51.  
  52.     public ResponseResult(Integer code,String msg,T data){
  53.         this.code = code;
  54.         this.msg = msg;
  55.         this.data = data;
  56.     }
  57. }

Sie benötigen JWT-Toolklassen, um JWT zu generieren und JWT zu analysieren.

  1. package org.example.utils;
  2.  
  3. import io.jsonwebtoken.Claims;
  4. import io.jsonwebtoken.JwtBuilder;
  5. import io.jsonwebtoken.Jwts;
  6. import io.jsonwebtoken.SignatureAlgorithm;
  7.  
  8. import javax.crypto.SecretKey;
  9. import javax.crypto.spec.SecretKeySpec;
  10. import java.util.Base64;
  11. import java.util.Date;
  12. import java.util.UUID;
  13.  
  14. public class JwtUtil {
  15.  
  16.     //有效期为
  17.     public static final Long JWT_TTL = 60*60*1000L; //一个小时
  18.     //设置密钥明文
  19.     public static final String JWT_KEY = "hzj";
  20.  
  21.     public static String getUUID(){
  22.         String token = UUID.randomUUID().toString().replaceAll("-","");
  23.         return token;
  24.     }
  25.  
  26.     /**
  27.      * 生成jwt
  28.      * @param subject token中要存放的数据(json格式)
  29.      * @return
  30.      */
  31.     public static String createJWT(String subject){
  32.         JwtBuilder builder = getJwtBuilder(subject,null,getUUID()); //设置过期时间
  33.         return builder.compact();
  34.     }
  35.  
  36.     /**
  37.      * 生成jwt
  38.      * @param subject token中要存放的数据(json格式)
  39.      * @param ttlMillis token超时时间
  40.      * @return
  41.      */
  42.     public static String createJWT(String subject,Long ttlMillis){
  43.         JwtBuilder builder = getJwtBuilder(subject,ttlMillis,getUUID()); //设置过期时间
  44.         return builder.compact();
  45.     }
  46.  
  47.     private static JwtBuilder getJwtBuilder(String subject,Long ttlMillis,String uuid){
  48.         SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
  49.         SecretKey secretKey = generalkey();
  50.         long nowMillis = System.currentTimeMillis();
  51.         Date now = new Date(nowMillis);
  52.         if(ttlMillis==null){
  53.             ttlMillis=JwtUtil.JWT_TTL;
  54.         }
  55.         long expMillis = nowMillis + ttlMillis;
  56.         Date expDate = new Date(expMillis);
  57.         return Jwts.builder()
  58.                 .setId(uuid) //唯一的Id
  59.                 .setSubject(subject) //主题 可以是Json数据
  60.                 .setIssuer("hzj") //签发者
  61.                 .setIssuedAt(now) //签发时间
  62.                 .signWith(signatureAlgorithm,secretKey) //使用HS256对称加密算法签名,第二个参数为密钥
  63.                 .setExpiration(expDate);
  64.     }
  65.  
  66.     /**
  67.      * 创建token
  68.      * @param id
  69.      * @param subject
  70.      * @param ttlMillis
  71.      * @return
  72.      */
  73.     public static String createJWT(String id,String subject,Long ttlMillis){
  74.         JwtBuilder builder = getJwtBuilder(subject,ttlMillis,id);//设置过期时间
  75.         return builder.compact();
  76.     }
  77.  
  78.     public static void main(String[] args) throws Exception{
  79.         String token =
  80. "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1OTg0MjU5MzIsInVzZX" +
  81. "JJZCI6MTExLCJ1c2VybmFtZSI6Ik1hcmtaUVAifQ.PTlOdRG7ROVJqPrA0q2ac7rKFzNNFR3lTMyP_8fIw9Q";
  82.         Claims claims = parseJWT(token);
  83.         System.out.println(claims);
  84.     }
  85.  
  86.     /**
  87.      * 生成加密后的密钥secretkey
  88.      * @return
  89.      */
  90.     public static SecretKey generalkey(){
  91.         byte[] encodeedkey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
  92.         SecretKey key = new SecretKeySpec(encodeedkey,0,encodeedkey.length,"AES");
  93.         return key;
  94.     }
  95.  
  96.     /**
  97.      * 解析
  98.      * @param jwt
  99.      * @return
  100.      * @throws Exception
  101.      */
  102.     public static Claims parseJWT(String jwt) throws Exception{
  103.         SecretKey secretKey = generalkey();
  104.         return Jwts.parser()
  105.                 .setSigningKey(secretKey)
  106.                 .parseClaimsJws(jwt)
  107.                 .getBody();
  108.     }
  109. }

Definieren Sie eine weitere Redis-Toolklasse RedisCache, die es uns erleichtert, Redistemplate aufzurufen

  1. package org.example.utils;
  2.  
  3.  
  4. import org.springframework.beans.factory.annotation.Autowired;
  5. import org.springframework.data.redis.core.BoundSetOperations;
  6. import org.springframework.data.redis.core.HashOperations;
  7. import org.springframework.data.redis.core.RedisTemplate;
  8. import org.springframework.data.redis.core.ValueOperations;
  9. import org.springframework.stereotype.Component;
  10.  
  11. import java.util.*;
  12. import java.util.concurrent.TimeUnit;
  13.  
  14. @SuppressWarnings(value = { "unchecked", "rawtypes" })
  15. @Component
  16. public class RedisCache
  17. {
  18.     @Autowired
  19.     public RedisTemplate redisTemplate;
  20.  
  21.     /**
  22.      * 缓存基本的对象,Integer、String、实体类等
  23.      *
  24.      * @param key 缓存的键值
  25.      * @param value 缓存的值
  26.      */
  27.     public <T> void setCacheObject(final String key, final T value)
  28.     {
  29.         redisTemplate.opsForValue().set(key, value);
  30.     }
  31.  
  32.     /**
  33.      * 缓存基本的对象,Integer、String、实体类等
  34.      *
  35.      * @param key 缓存的键值
  36.      * @param value 缓存的值
  37.      * @param timeout 时间
  38.      * @param timeUnit 时间颗粒度
  39.      */
  40.     public <T> void setCacheObject(final String key, final T value, final Integer timeout, final TimeUnit timeUnit)
  41.     {
  42.         redisTemplate.opsForValue().set(key, value, timeout, timeUnit);
  43.     }
  44.  
  45.     /**
  46.      * 设置有效时间
  47.      *
  48.      * @param key Redis键
  49.      * @param timeout 超时时间
  50.      * @return true=设置成功;false=设置失败
  51.      */
  52.     public boolean expire(final String key, final long timeout)
  53.     {
  54.         return expire(key, timeout, TimeUnit.SECONDS);
  55.     }
  56.  
  57.     /**
  58.      * 设置有效时间
  59.      *
  60.      * @param key Redis键
  61.      * @param timeout 超时时间
  62.      * @param unit 时间单位
  63.      * @return true=设置成功;false=设置失败
  64.      */
  65.     public boolean expire(final String key, final long timeout, final TimeUnit unit)
  66.     {
  67.         return redisTemplate.expire(key, timeout, unit);
  68.     }
  69.  
  70.     /**
  71.      * 获得缓存的基本对象。
  72.      *
  73.      * @param key 缓存键值
  74.      * @return 缓存键值对应的数据
  75.      */
  76.     public <T> T getCacheObject(final String key)
  77.     {
  78.         ValueOperations<String, T> operation = redisTemplate.opsForValue();
  79.         return operation.get(key);
  80.     }
  81.  
  82.     /**
  83.      * 删除单个对象
  84.      *
  85.      * @param key
  86.      */
  87.     public boolean deleteObject(final String key)
  88.     {
  89.         return redisTemplate.delete(key);
  90.     }
  91.  
  92.     /**
  93.      * 删除集合对象
  94.      *
  95.      * @param collection 多个对象
  96.      * @return
  97.      */
  98.     public long deleteObject(final Collection collection)
  99.     {
  100.         return redisTemplate.delete(collection);
  101.     }
  102.  
  103.     /**
  104.      * 缓存List数据
  105.      *
  106.      * @param key 缓存的键值
  107.      * @param dataList 待缓存的List数据
  108.      * @return 缓存的对象
  109.      */
  110.     public <T> long setCacheList(final String key, final List<T> dataList)
  111.     {
  112.         Long count = redisTemplate.opsForList().rightPushAll(key, dataList);
  113.         return count == null ? 0 : count;
  114.     }
  115.  
  116.     /**
  117.      * 获得缓存的list对象
  118.      *
  119.      * @param key 缓存的键值
  120.      * @return 缓存键值对应的数据
  121.      */
  122.     public <T> List<T> getCacheList(final String key)
  123.     {
  124.         return redisTemplate.opsForList().range(key, 0, -1);
  125.     }
  126.  
  127.     /**
  128.      * 缓存Set
  129.      *
  130.      * @param key 缓存键值
  131.      * @param dataSet 缓存的数据
  132.      * @return 缓存数据的对象
  133.      */
  134.     public <T> BoundSetOperations<String, T> setCacheSet(final String key, final Set<T> dataSet)
  135.     {
  136.         BoundSetOperations<String, T> setOperation = redisTemplate.boundSetOps(key);
  137.         Iterator<T> it = dataSet.iterator();
  138.         while (it.hasNext())
  139.         {
  140.             setOperation.add(it.next());
  141.         }
  142.         return setOperation;
  143.     }
  144.  
  145.     /**
  146.      * 获得缓存的set
  147.      *
  148.      * @param key
  149.      * @return
  150.      */
  151.     public <T> Set<T> getCacheSet(final String key)
  152.     {
  153.         return redisTemplate.opsForSet().members(key);
  154.     }
  155.  
  156.     /**
  157.      * 缓存Map
  158.      *
  159.      * @param key
  160.      * @param dataMap
  161.      */
  162.     public <T> void setCacheMap(final String key, final Map<String, T> dataMap)
  163.     {
  164.         if (dataMap != null) {
  165.             redisTemplate.opsForHash().putAll(key, dataMap);
  166.         }
  167.     }
  168.  
  169.     /**
  170.      * 获得缓存的Map
  171.      *
  172.      * @param key
  173.      * @return
  174.      */
  175.     public <T> Map<String, T> getCacheMap(final String key)
  176.     {
  177.         return redisTemplate.opsForHash().entries(key);
  178.     }
  179.  
  180.     /**
  181.      * 往Hash中存入数据
  182.      *
  183.      * @param key Redis键
  184.      * @param hKey Hash键
  185.      * @param value 值
  186.      */
  187.     public <T> void setCacheMapValue(final String key, final String hKey, final T value)
  188.     {
  189.         redisTemplate.opsForHash().put(key, hKey, value);
  190.     }
  191.  
  192.     /**
  193.      * 获取Hash中的数据
  194.      *
  195.      * @param key Redis键
  196.      * @param hKey Hash键
  197.      * @return Hash中的对象
  198.      */
  199.     public <T> T getCacheMapValue(final String key, final String hKey)
  200.     {
  201.         HashOperations<String, String, T> opsForHash = redisTemplate.opsForHash();
  202.         return opsForHash.get(key, hKey);
  203.     }
  204.  
  205.     /**
  206.      * 删除Hash中的数据
  207.      *
  208.      * @param key
  209.      * @param hkey
  210.      */
  211.     public void delCacheMapValue(final String key, final String hkey)
  212.     {
  213.         HashOperations hashOperations = redisTemplate.opsForHash();
  214.         hashOperations.delete(key, hkey);
  215.     }
  216.  
  217.     /**
  218.      * 获取多个Hash中的数据
  219.      *
  220.      * @param key Redis键
  221.      * @param hKeys Hash键集合
  222.      * @return Hash对象集合
  223.      */
  224.     public <T> List<T> getMultiCacheMapValue(final String key, final Collection<Object> hKeys)
  225.     {
  226.         return redisTemplate.opsForHash().multiGet(key, hKeys);
  227.     }
  228.  
  229.     /**
  230.      * 获得缓存的基本对象列表
  231.      *
  232.      * @param pattern 字符串前缀
  233.      * @return 对象列表
  234.      */
  235.     public Collection<String> keys(final String pattern)
  236.     {
  237.         return redisTemplate.keys(pattern);
  238.     }
  239. }
  240.

Möglicherweise schreiben wir auch Daten in die Antwort, daher benötigen wir auch eine Toolklasse WebUtils

  1. package org.example.utils;
  2.  
  3. import javax.servlet.http.HttpServletResponse;
  4. import java.io.IOException;
  5.  
  6. public class WebUtils {
  7.     /**
  8.      * 将字符串渲染到客户端
  9.      *
  10.      * @param response 渲染对象
  11.      * @param string 待渲染的字符串
  12.      * @return null
  13.      */
  14.     public static String renderString(HttpServletResponse response, String string) {
  15.         try
  16.         {
  17.             response.setStatus(200);
  18.             response.setContentType("application/json");
  19.             response.setCharacterEncoding("utf-8");
  20.             response.getWriter().print(string);
  21.         }
  22.         catch (IOException e)
  23.         {
  24.             e.printStackTrace();
  25.         }
  26.         return null;
  27.     }
  28. }

Schreiben Sie abschließend die entsprechende Benutzerentitätsklasse

  1. package org.example.domain;
  2.  
  3. import lombok.AllArgsConstructor;
  4. import lombok.Data;
  5. import lombok.NoArgsConstructor;
  6. import java.io.Serializable;
  7. import java.util.Date;
  8. /**
  9.  * 用户表(User)实体类
  10.  */
  11. @Data
  12. @AllArgsConstructor
  13. @NoArgsConstructor
  14. public class User implements Serializable {
  15.     private static final long serialVersionUID = -40356785423868312L;
  16.     /**
  17.      * 主键
  18.      */
  19.     private Long id;
  20.     /**
  21.      * 用户名
  22.      */
  23.     private String userName;
  24.     /**
  25.      * 昵称
  26.      */
  27.     private String nickName;
  28.     /**
  29.      * 密码
  30.      */
  31.     private String password;
  32.     /**
  33.      * 账号状态(0正常 1停用)
  34.      */
  35.     private String status;
  36.     /**
  37.      * 邮箱
  38.      */
  39.     private String email;
  40.     /**
  41.      * 手机号
  42.      */
  43.     private String phonenumber;
  44.     /**
  45.      * 用户性别(0男,1女,2未知)
  46.      */
  47.     private String sex;
  48.     /**
  49.      * 头像
  50.      */
  51.     private String avatar;
  52.     /**
  53.      * 用户类型(0管理员,1普通用户)
  54.      */
  55.     private String userType;
  56.     /**
  57.      * 创建人的用户id
  58.      */
  59.     private Long createBy;
  60.     /**
  61.      * 创建时间
  62.      */
  63.     private Date createTime;
  64.     /**
  65.      * 更新人
  66.      */
  67.     private Long updateBy;
  68.     /**
  69.      * 更新时间
  70.      */
  71.     private Date updateTime;
  72.     /**
  73.      * 删除标志(0代表未删除,1代表已删除)
  74.      */
  75.     private Integer delFlag;
  76. }
  77.

Gemäß unserer obigen Analyse müssen wir einen UserDetailsService anpassen, damit SpringSecuriry unseren UserDetailsService verwenden kann. Unser eigener UserDetailsService kann den Benutzernamen und das Passwort aus der Datenbank abfragen.

Wir erstellen zunächst eine Datenbanktabelle sys_user.

  1. CREATE TABLE `sys_user` (
  2.   `id` bigint NOT NULL AUTO_INCREMENT COMMENT '主键',
  3.   `user_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '用户名',
  4.   `nick_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '呢称',
  5.   `password` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '密码',
  6.   `status` char(1) DEFAULT '0' COMMENT '账号状态(0正常1停用)',
  7.   `email` varchar(64) DEFAULT NULL COMMENT '邮箱',
  8.   `phonenumber` varchar(32) DEFAULT NULL COMMENT '手机号',
  9.   `sex` char(1) DEFAULT NULL COMMENT '用户性别(0男,1女,2未知)',
  10.   `avatar` varchar(128) DEFAULT NULL COMMENT '头像',
  11.   `user_type` char(1) NOT NULL DEFAULT '1' COMMENT '用户类型(O管理员,1普通用户)',
  12.   `create_by` bigint DEFAULT NULL COMMENT '创建人的用户id',
  13.   `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  14.   `update_by` bigint DEFAULT NULL COMMENT '更新人',
  15.   `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  16.   `del_flag` int DEFAULT '0' COMMENT '删除标志(O代表未删除,1代表已删除)',
  17.   PRIMARY KEY (`id`)
  18. ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户表';

Stellen Sie dann myBatisPlus- und MySQL-Treiber vor.

  1.         <dependency>
  2.             <groupId>com.baomidou</groupId>
  3.             <artifactId>mybatis-plus-boot-starter</artifactId>
  4.             <version>3.4.3</version>
  5.         </dependency>
  6.         <dependency>
  7.             <groupId>mysql</groupId>
  8.             <artifactId>mysql-connector-java</artifactId>
  9.         </dependency>

Anschließend konfigurieren Sie die relevanten Informationen der Datenbank.

Definieren Sie dann die Mapper-Schnittstelle UserMapper und fügen Sie mit mybatisplus entsprechende Anmerkungen hinzu.

  1. package org.example.mapper;
  2.  
  3. import com.baomidou.mybatisplus.core.mapper.BaseMapper;
  4. import org.example.domain.User;
  5.  
  6. public interface UserMapper extends BaseMapper<User> {
  7. }

Konfigurieren Sie dann das Scannen der Komponenten

Testen Sie abschließend, ob der MP normal verwendet werden kann.

Junit vorstellen

Auf diese Weise kann es normal verwendet werden.

2.3.3 Umsetzung

2.3.3.1 Benutzer der Datenbanküberprüfung

Als nächstes müssen wir den Kerncode implementieren.

Passen wir zunächst UserDetailsService an.

  1. package org.example.service.impl;
  2. import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
  3. import org.example.domain.LoginUser;
  4. import org.example.domain.User;
  5. import org.example.mapper.UserMapper;
  6. import org.springframework.beans.factory.annotation.Autowired;
  7. import org.springframework.security.core.userdetails.UserDetails;
  8. import org.springframework.security.core.userdetails.UserDetailsService;
  9. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  10. import org.springframework.stereotype.Service;
  11. import java.util.Objects;
  12. @Service
  13. public class UserDetailsServiceImpl implements UserDetailsService {
  14.     @Autowired
  15.     private UserMapper userMapper;
  16.     @Override
  17.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  18.         //查询用户信息 [InMemoryUserDetailsManager是在内存中查找]
  19.         LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
  20.         wrapper.eq(User::getUserName,username);
  21.         User user = userMapper.selectOne(wrapper);
  22.         //如果查询不到数据就抛出异常,给出提示
  23.         if(Objects.isNull(user)){
  24.             throw new RuntimeException("用户名或密码错误!");
  25.         }
  26.  
  27.         //TODO 查询权限信息
  28.  
  29.         //封装为UserDetails对象返回
  30.         return new LoginUser(user);
  31.     }
  32. }

Hier wird der Benutzer als UserDetails gekapselt und zurückgegeben.

  1. package org.example.domain;
  2. import lombok.AllArgsConstructor;
  3. import lombok.Data;
  4. import lombok.NoArgsConstructor;
  5. import org.springframework.security.core.GrantedAuthority;
  6. import org.springframework.security.core.userdetails.UserDetails;
  7. import java.util.Collection;
  8. @Data
  9. @AllArgsConstructor
  10. @NoArgsConstructor
  11. public class LoginUser implements UserDetails {
  12.     private User user;
  13.     @Override
  14.     public Collection<? extends GrantedAuthority> getAuthorities() {
  15.         return null;
  16.     }
  17.  
  18.     @Override
  19.     public String getPassword() {
  20.         return user.getPassword();
  21.     }
  22.  
  23.     @Override
  24.     public String getUsername() {
  25.         return user.getUserName();
  26.     }
  27.  
  28.     @Override
  29.     public boolean isAccountNonExpired() {
  30.         return true;
  31.     }
  32.  
  33.     @Override
  34.     public boolean isAccountNonLocked() {
  35.         return true;
  36.     }
  37.  
  38.     @Override
  39.     public boolean isCredentialsNonExpired() {
  40.         return true;
  41.     }
  42.  
  43.     @Override
  44.     public boolean isEnabled() {
  45.         return true;
  46.     }
  47. }

Schließlich gibt es hier noch einen Punkt: Wir müssen einen Anmeldetest durchführen, um Daten aus der Datenbank abzurufen. Wir müssen Benutzerdaten in die Tabelle schreiben und das Kennwort des Benutzers im Klartext übertragen , müssen Sie {noop} vor dem Passwort hinzufügen.

Hier können Sie den Benutzernamen und das Passwort in die Datenbank eingeben, um sich anzumelden.

2.3.3.2 Passwortverschlüsselter Speicher

Lassen Sie uns darüber sprechen, warum {noop} vor dem Passwort hinzugefügt wird, da der Standard-PasswordEncoder erfordert, dass das Passwortformat in der Datenbank {id}password ist. Es bestimmt die Verschlüsselungsmethode des Passworts basierend auf der ID, aber wir verwenden es im Allgemeinen Übernehmen Sie diese Methode nicht, daher muss PasswordEncoder ersetzt werden.

Als nächstes werden wir es testen und sehen.

Sie können sehen, dass die beiden ursprünglichen Passwörter, die wir hier eingegeben haben, gleich sind, aber wir haben unterschiedliche Ergebnisse erhalten. Dies hängt tatsächlich mit dem Salting-Algorithmus zusammen. Ich werde später auch einen Artikel über benutzerdefinierte Verschlüsselung schreiben.

Nachdem Sie das verschlüsselte Passwort erhalten haben, können Sie das verschlüsselte Passwort in der Datenbank speichern. Anschließend können Sie sich anmelden, indem Sie das vom Frontend übergebene Klartext-Passwort mit dem verschlüsselten Passwort in der Datenbank überprüfen.

Zu diesem Zeitpunkt starteten wir das Anmeldeprojekt und stellten fest, dass wir uns nicht mehr mit dem vorherigen Kennwort anmelden konnten, da die Datenbank das während der Registrierungsphase in der Datenbank gespeicherte verschlüsselte Kennwort und nicht das ursprüngliche Kennwort speichern sollte (weil ich nicht registriert, ich werde das Passwort verschlüsseln) Das Passwort wird von selbst in die Datenbank geschrieben).

2.3.3.3 Login-Schnittstelle

Wir müssen eine Anmeldeschnittstelle implementieren und diese dann von SpringSecurity zulassen lassen. Wenn dies nicht zulässig ist, erfolgt die Benutzerauthentifizierung über die Authentifizierungsmethode von AuthenticationManager. Daher müssen wir den AuthenticationManager für die Injektion konfigurieren in den Container in SecurityConfig.

Wenn die Authentifizierung erfolgreich ist, muss ein JWT generiert und in die Antwort eingefügt werden. Damit der Benutzer den spezifischen Benutzer bei der nächsten Anfrage über das JWT identifizieren kann, müssen die Benutzerinformationen in Redis gespeichert werden Als Schlüssel kann die ID verwendet werden.

Schreiben Sie zuerst LoginController

Dann schreiben Sie den entsprechenden Service.

Fügen Sie AuthenticationManager in SecurityConfig ein und geben Sie die Anmeldeschnittstelle frei.

Wenn in der Geschäftslogik im Dienst die Authentifizierung fehlschlägt, wird eine benutzerdefinierte Ausnahme zurückgegeben. Wenn die Authentifizierung jedoch erfolgreich ist, wie erhalten wir die entsprechenden Informationen?

Hier können wir debuggen und die erhaltenen Objekte sehen.

Hier finden Sie, dass die entsprechenden erforderlichen Informationen im Auftraggeber eingeholt werden können.

Vervollständigen Sie dann den Code.

Testen Sie es abschließend.

2.3.3.4 Authentifizierungsfilter

Ich füge zuerst den Code ein.

  1. @Component
  2. public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
  3.  
  4.     @Autowired
  5.     private RedisCache redisCache;
  6.  
  7.     @Override
  8.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
  9.         //获取token
  10.         String token = request.getHeader("token");
  11.         if (!StringUtils.hasText(token)) {
  12.             //放行
  13.             filterChain.doFilter(request, response); //这里放行是因为还有后续的过滤器会给出对应的异常
  14.             return; //token为空 不执行后续流程
  15.         }
  16.         //解析token
  17.         String userid;
  18.         try {
  19.             Claims claims = JwtUtil.parseJWT(token);
  20.             userid = claims.getSubject();
  21.         } catch (Exception e) {
  22.             e.printStackTrace();
  23.             throw new RuntimeException("token非法!");
  24.         }
  25.         //从redis中获取用户信息
  26.         String redisKey = "login:" + userid;
  27.         LoginUser loginUser = redisCache.getCacheObject(redisKey);
  28.         if (Objects.isNull(loginUser)){
  29.             throw new RuntimeException("用户未登录!");
  30.         }
  31.         //将信息存入SecurityContextHolder(因为过滤器链后面的filter都是从中获取认证信息进行对应放行)
  32.         //TODO 获取权限信息封装到Authentication中
  33.         UsernamePasswordAuthenticationToken authenticationToken =
  34.                 new UsernamePasswordAuthenticationToken(loginUser,null,null);
  35.         SecurityContextHolder.getContext().setAuthentication(authenticationToken);
  36.  
  37.         //放行
  38.         filterChain.doFilter(request,response); //此时的放行是携带认证的,不同于上方token为空的放行
  39.     }
  40. }

Um das Token hier abzurufen, holen wir uns zunächst das entsprechende Token aus dem Anforderungsheader und prüfen dann, ob es leer ist. Wenn es leer ist, geben wir es direkt frei, ohne den Folgeprozess zu durchlaufen Analysiert das Token, ruft die darin enthaltene Benutzer-ID ab und verwendet dann die Benutzer-ID basierend auf dem. Rufen Sie die entsprechenden Benutzerinformationen von Redis ab und speichern Sie sie schließlich im SecurityContextHolder, da nachfolgende Filter die täglichen Authentifizierungsinformationen daraus abrufen und schließlich ausführen müssen Analyseoperationen.

Ein weiterer Punkt, der Aufmerksamkeit erfordert, ist, dass SecurityContextHolder.getContext().setAuthentication() das Authentifizierungsobjekt übergeben muss. Wenn wir das Objekt erstellen, verwenden wir drei Parameter, da der dritte Parameter der Schlüssel ist, um zu bestimmen, ob eine Authentifizierung durchgeführt werden soll oder nicht.

Als nächstes müssen wir diesen Filter konfigurieren.

Wenn wir dann auf die Benutzer-/Anmeldeschnittstelle zugreifen, wird uns ein Antworttext mit einem Token zurückgegeben. Wenn wir erneut auf die Hallo-Schnittstelle zugreifen, lautet dieser 403. Da er kein Token enthält, entspricht er dem obigen Code. Ohne Token wird der Antworttext freigegeben und die Rückgabe führt den nachfolgenden Prozess nicht aus (Die Freigabe erfolgt hier, weil es andere Filter gibt, die speziell Ausnahmen für die spätere Verarbeitung auslösen, und die Rückgabe soll verhindern, dass die Antwort durchlaufen wird Verfahren)

Wenn wir zu diesem Zeitpunkt das von Benutzer/Anmeldung generierte Token in den Anforderungsheader der Hallo-Schnittstelle einfügen, können wir normal darauf zugreifen.

Dann ist der Zweck unseres Filtersatzes erreicht (Token erhalten, Token analysieren und im SecurityContextHolder speichern).

2.3.3.5 Abmelden

Zu diesem Zeitpunkt ist es für uns einfacher, die entsprechenden Daten in Redis zu löschen. Wenn wir später auf das Token zugreifen, werden die entsprechenden Benutzerinformationen in unserem benutzerdefinierten Filter abgerufen Sie können es nicht abrufen. Das bedeutet, dass Sie nicht angemeldet sind.

Wir tragen dieses Token, um auf die /user/logout-Schnittstelle zuzugreifen.

Anschließend wird die Abmeldefunktion implementiert.

Dieser Artikel wurde aus dem dritten Update von Station B gelernt! ! !

Persönliches Profil

Er widmet sich seit mehr als 30 Jahren der Technologieforschung und beherrscht verschiedene Sprachen wie Java, Linux, Javascript, PHP, CSS usw. Er hat viele Beiträge im Open-Source-Bereich geleistet Entwicklerdokumentationsstation, um einige Themen in der Technologieentwicklung als zukünftige Referenz zu teilen

meine Kontaktdaten

Post