Partage de technologie

Cadre SpringSecurity [Authentification]

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Table des matières

1. Démarrage rapide

2. Attestation

2.1 Processus de vérification de connexion

2.2 Exploration préliminaire du principe

2.3 Résoudre le problème

2.3.1 Analyse des idées

2.3.2 Préparation

2.3.3 Mise en œuvre

2.3.3.1 Utilisateur de vérification de la base de données

2.3.3.2 Stockage crypté par mot de passe

2.3.3.3 Interface de connexion

2.3.3.4 Filtre d'authentification

2.3.3.5 Déconnexion

Spring Security est un framework de gestion de la sécurité de la famille Spring. Comparé à Shiro, un autre framework de sécurité, il offre des fonctions plus riches et des ressources communautaires plus riches que Shiro.

De manière générale, Spring Security est plus couramment utilisé dans les projets à grande échelle, et Shiro est plus couramment utilisé dans les petits projets, car comparé à Spring Security, Shiro est plus facile à démarrer.

Les applications Web générales doiventAttestationetAutoriser

  • Authentification : vérifiez si l'utilisateur actuel qui accède au système est l'utilisateur du système et confirmez de quel utilisateur il s'agit.
  • Autorisation : après l'authentification, déterminez si l'utilisateur actuel est autorisé à effectuer une opération.

L'authentification et l'autorisation sont les fonctions essentielles de Spring Security en tant que cadre de sécurité !

1. Démarrage rapide

Commençons par créer simplement un projet SpringBoot.

À ce moment-là, nous accédons à une simple interface hello que nous avons écrite pour vérifier si la construction est réussie.

Présentez ensuite SpringSecurity.

À ce stade, jetons un coup d’œil à l’effet de l’interface d’accès.

Une fois SpringSecurity introduit, l'interface d'accès passera automatiquement à une page de connexion. Le nom d'utilisateur par défaut est user et le mot de passe sera affiché sur la console. Vous devez vous connecter pour accéder à l'interface.

2. Attestation

2.1 Processus de vérification de connexion

Tout d'abord, nous devons comprendre le processus de vérification de connexion. Tout d'abord, le frontal contient le nom d'utilisateur et le mot de passe pour accéder à l'interface de connexion. Une fois que le serveur a obtenu le nom d'utilisateur et le mot de passe, il les compare avec ceux de la base de données. Si le nom d'utilisateur/l'ID utilisateur est utilisé correctement, un jwt est généré, puis Répondre à jwt au front-end, puis accéder aux autres requêtes après la connexion portera le jeton dans l'en-tête de la requête à chaque fois que le serveur obtient le jeton. l'en-tête de la demande d'analyse, obtient l'ID utilisateur et obtient les informations relatives à l'utilisateur et les autorisations du spectateur en fonction de l'identifiant du nom d'utilisateur, si vous avez l'autorisation, répondez au frontal.

2.2 Exploration préliminaire du principe

Le principe de SpringSecurity est en fait une chaîne de filtres, qui fournit aux filtres diverses fonctions. Ici, nous examinons d'abord les filtres impliqués dans le démarrage rapide ci-dessus.

  • UsernamePasswordAuthenticationFilter est responsable du traitement des demandes de connexion après avoir renseigné le nom d'utilisateur et le mot de passe sur la page de connexion.
  • ExceptionTranslationFilter gère toutes les exceptions AccessDeniedException et AuthenticationException levées dans la chaîne de filtres
  • FilterSecurityInterceptor est un filtre responsable de la vérification des autorisations

Nous pouvons également utiliser Debug pour voir quels filtres se trouvent dans la chaîne de filtres SpringSecurity dans le système actuel et leur ordre.

Jetons ensuite un coup d’œil à l’analyse de l’organigramme d’authentification.

Ici, il suffit de pouvoir comprendre le processus. Pour faire simple :

L'utilisateur a soumis le nom d'utilisateur et le mot de passe, UsernamePasswordAuthenticationFilter l'encapsule en tant qu'objet d'authentification et appelle la méthode d'authentification pour l'authentification. Il appelle ensuite la méthode d'authentification de DaoAuthenticationProvider pour l'authentification, puis appelle la méthode loadUserByUserName pour interroger l'utilisateur. consiste à rechercher en mémoire, puis à encapsuler les informations utilisateur correspondantes dans un objet UserDetails, à utiliser PasswordEncoder pour comparer le mot de passe dans UserDetails et le mot de passe d'authentification pour voir s'il est correct, s'il est correct, définissez les informations d'autorisation dans UserDetails sur l'objet d'authentification. , puis renvoyez l'objet d'authentification et enfin utilisez la méthode SecurityContextHolder.getContext().setAuthentication pour stocker cet objet, et d'autres filtres obtiendront les informations sur l'utilisateur actuel via SecurityContextHoder. (Vous n'avez pas besoin de mémoriser ce paragraphe pour le comprendre)

Ensuite, nous connaissons le processus avant de pouvoir le modifier. Tout d'abord, lors d'une recherche dans la mémoire, nous devons effectuer une recherche dans la base de données (ici nous devons personnaliser une classe d'implémentation UserDetailsService), et nous n'utiliserons pas le nom d'utilisateur et le mot de passe par défaut. , et l'interface de connexion doit être écrite par vous-même, et il n'est pas nécessaire d'utiliser la page de connexion par défaut fournie par lui.

Sur la base de la situation que nous avons analysée, nous pouvons obtenir une telle image.

À ce stade, un jwt est renvoyé au front-end et les autres requêtes effectuées par le front-end porteront le jeton. Notre première étape consiste donc à vérifier si le jeton est transporté, à analyser le jeton, à obtenir l'ID utilisateur correspondant et à l'encapsuler. L'objet Anthentication est stocké dans SecurityContextHolder (afin que d'autres filtres puissent l'obtenir).

Il y a donc une autre question ici. Comment obtenir des informations complètes sur l'utilisateur après avoir obtenu l'ID utilisateur du filtre d'authentification jwt ?

Ici, nous utilisons redis. Lorsque le serveur s'authentifie en utilisant l'identifiant utilisateur pour générer jwt sur le front-end, l'identifiant utilisateur est utilisé comme clé et les informations de l'utilisateur sont stockées dans redis comme valeur. Les informations utilisateur complètes peuvent ensuite être obtenues. de Redis via l'ID utilisateur.

2.3 Résoudre le problème

2.3.1 Analyse des idées

À partir de l'exploration préliminaire des principes ci-dessus, nous avons également analysé grossièrement ce que nous devons faire si nous mettons en œuvre nous-mêmes le processus d'authentification de séparation front-end et back-end.

Se connecter:

a. Interface de connexion personnalisée

Appelez la méthode ProviderManager pour l'authentification. Si l'authentification réussit, un jwt est généré.

Stocker les informations utilisateur dans Redis

b. Personnaliser le service UserDetails

Interroger la base de données dans cette classe d'implémentation

vérifier:

a. Personnaliser le filtre d'authentification jwt

Obtenir un jeton

Analyser le jeton pour obtenir son identifiant utilisateur

Obtenez des informations utilisateur complètes à partir de Redis

Stocker dans SecurityContextHolder

2.3.2 Préparation

Vous devez d'abord ajouter les dépendances correspondantes

  1.         <!--   SpringSecurity启动器     -->
  2.         <dependency>
  3.             <groupId>org.springframework.boot</groupId>
  4.             <artifactId>spring-boot-starter-security</artifactId>
  5.         </dependency>
  6.  
  7.         <!--   redis依赖     -->
  8.         <dependency>
  9.             <groupId>org.springframework.boot</groupId>
  10.             <artifactId>spring-boot-starter-data-redis</artifactId>
  11.         </dependency>
  12.         <!--   fastjson依赖     -->
  13.         <dependency>
  14.             <groupId>com.alibaba</groupId>
  15.             <artifactId>fastjson</artifactId>
  16.             <version>1.2.33</version>
  17.         </dependency>
  18.         <!--   jwt依赖     -->
  19.         <dependency>
  20.             <groupId>io.jsonwebtoken</groupId>
  21.             <artifactId>jjwt</artifactId>
  22.             <version>0.9.0</version>
  23.         </dependency>

Ensuite, nous devons utiliser Redis et ajouter les configurations liées à Redis.

Le premier est le sérialiseur de FastJson

  1. package org.example.utils;
  2. import com.alibaba.fastjson.JSON;
  3. import com.alibaba.fastjson.parser.ParserConfig;
  4. import com.alibaba.fastjson.serializer.SerializerFeature;
  5. import com.fasterxml.jackson.databind.JavaType;
  6. import com.fasterxml.jackson.databind.type.TypeFactory;
  7. import org.springframework.data.redis.serializer.RedisSerializer;
  8. import org.springframework.data.redis.serializer.SerializationException;
  9.  
  10. import java.nio.charset.Charset;
  11.  
  12. /**
  13.  * Redis使用fastjson序列化
  14.  * @param <T>
  15.  */
  16. public class FastJsonRedisSerializer<T> implements RedisSerializer<T> {
  17.  
  18.     public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");
  19.  
  20.     private Class<T> clazz;
  21.  
  22.     static {
  23.         ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
  24.     }
  25.  
  26.     public FastJsonRedisSerializer(Class<T> clazz){
  27.         super();
  28.         this.clazz=clazz;
  29.     }
  30.     
  31.     @Override
  32.     public byte[] serialize(T t) throws SerializationException {
  33.         if (t == null){
  34.             return new byte[0];
  35.         }
  36.         return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
  37.     }
  38.  
  39.     @Override
  40.     public T deserialize(byte[] bytes) throws SerializationException {
  41.         if (bytes==null || bytes.length<=0){
  42.             return null;
  43.         }
  44.         String str = new String(bytes,DEFAULT_CHARSET);
  45.  
  46.         return JSON.parseObject(str,clazz);
  47.     }
  48.  
  49.     protected JavaType getJavaType(Class<?> clazz){
  50.         return TypeFactory.defaultInstance().constructType(clazz);
  51.     }
  52.     
  53. }

Créez RedisConfig et créez-y un sérialiseur pour résoudre des problèmes tels que des caractères tronqués.

  1. package org.example.config;
  2. import org.example.utils.FastJsonRedisSerializer;
  3. import org.springframework.context.annotation.Bean;
  4. import org.springframework.context.annotation.Configuration;
  5. import org.springframework.data.redis.connection.RedisConnectionFactory;
  6. import org.springframework.data.redis.core.RedisTemplate;
  7. import org.springframework.data.redis.serializer.StringRedisSerializer;
  8.  
  9. @Configuration
  10. public class RedisConfig {
  11.     @Bean
  12.     @SuppressWarnings(value = {"unchecked","rawtypes"})
  13.     public RedisTemplate<Object,Object> redisTemplate(RedisConnectionFactory connectionFactory){
  14.         RedisTemplate<Object,Object> template = new RedisTemplate<>();
  15.         template.setConnectionFactory(connectionFactory);
  16.  
  17.         FastJsonRedisSerializer serializer = new FastJsonRedisSerializer(Object.class);
  18.  
  19.         //使用StringRedisSerializer来序列化和反序列化redus的key值
  20.         template.setKeySerializer(new StringRedisSerializer());
  21.         template.setValueSerializer(serializer);
  22.  
  23.         template.afterPropertiesSet();
  24.         return template;
  25.     }
  26. }

Il est également nécessaire d'unifier la classe de réponse

  1. package org.example.domain;
  2. import com.fasterxml.jackson.annotation.JsonInclude;
  3. @JsonInclude(JsonInclude.Include.NON_NULL)
  4. public class ResponseResult<T>{
  5.     /**
  6.      * 状态码
  7.      */
  8.     private Integer code;
  9.     /**
  10.      * 提示信息,如果有错误时,前端可以获取该字段进行提示
  11.      */
  12.     private String msg;
  13.     /**
  14.      * 查询到的结果数据
  15.      */
  16.     private T data;
  17.  
  18.     public ResponseResult(Integer code,String msg){
  19.         this.code = code;
  20.         this.msg = msg;
  21.     }
  22.  
  23.     public ResponseResult(Integer code,T data){
  24.         this.code = code;
  25.         this.data = data;
  26.     }
  27.  
  28.     public Integer getCode() {
  29.         return code;
  30.     }
  31.  
  32.     public void setCode(Integer code) {
  33.         this.code = code;
  34.     }
  35.  
  36.     public String getMsg() {
  37.         return msg;
  38.     }
  39.  
  40.     public void setMsg(String msg) {
  41.         this.msg = msg;
  42.     }
  43.  
  44.     public T getData() {
  45.         return data;
  46.     }
  47.  
  48.     public void setData(T data) {
  49.         this.data = data;
  50.     }
  51.  
  52.     public ResponseResult(Integer code,String msg,T data){
  53.         this.code = code;
  54.         this.msg = msg;
  55.         this.data = data;
  56.     }
  57. }

Vous avez besoin de classes d'outils jwt pour générer jwt et analyser jwt.

  1. package org.example.utils;
  2.  
  3. import io.jsonwebtoken.Claims;
  4. import io.jsonwebtoken.JwtBuilder;
  5. import io.jsonwebtoken.Jwts;
  6. import io.jsonwebtoken.SignatureAlgorithm;
  7.  
  8. import javax.crypto.SecretKey;
  9. import javax.crypto.spec.SecretKeySpec;
  10. import java.util.Base64;
  11. import java.util.Date;
  12. import java.util.UUID;
  13.  
  14. public class JwtUtil {
  15.  
  16.     //有效期为
  17.     public static final Long JWT_TTL = 60*60*1000L; //一个小时
  18.     //设置密钥明文
  19.     public static final String JWT_KEY = "hzj";
  20.  
  21.     public static String getUUID(){
  22.         String token = UUID.randomUUID().toString().replaceAll("-","");
  23.         return token;
  24.     }
  25.  
  26.     /**
  27.      * 生成jwt
  28.      * @param subject token中要存放的数据(json格式)
  29.      * @return
  30.      */
  31.     public static String createJWT(String subject){
  32.         JwtBuilder builder = getJwtBuilder(subject,null,getUUID()); //设置过期时间
  33.         return builder.compact();
  34.     }
  35.  
  36.     /**
  37.      * 生成jwt
  38.      * @param subject token中要存放的数据(json格式)
  39.      * @param ttlMillis token超时时间
  40.      * @return
  41.      */
  42.     public static String createJWT(String subject,Long ttlMillis){
  43.         JwtBuilder builder = getJwtBuilder(subject,ttlMillis,getUUID()); //设置过期时间
  44.         return builder.compact();
  45.     }
  46.  
  47.     private static JwtBuilder getJwtBuilder(String subject,Long ttlMillis,String uuid){
  48.         SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
  49.         SecretKey secretKey = generalkey();
  50.         long nowMillis = System.currentTimeMillis();
  51.         Date now = new Date(nowMillis);
  52.         if(ttlMillis==null){
  53.             ttlMillis=JwtUtil.JWT_TTL;
  54.         }
  55.         long expMillis = nowMillis + ttlMillis;
  56.         Date expDate = new Date(expMillis);
  57.         return Jwts.builder()
  58.                 .setId(uuid) //唯一的Id
  59.                 .setSubject(subject) //主题 可以是Json数据
  60.                 .setIssuer("hzj") //签发者
  61.                 .setIssuedAt(now) //签发时间
  62.                 .signWith(signatureAlgorithm,secretKey) //使用HS256对称加密算法签名,第二个参数为密钥
  63.                 .setExpiration(expDate);
  64.     }
  65.  
  66.     /**
  67.      * 创建token
  68.      * @param id
  69.      * @param subject
  70.      * @param ttlMillis
  71.      * @return
  72.      */
  73.     public static String createJWT(String id,String subject,Long ttlMillis){
  74.         JwtBuilder builder = getJwtBuilder(subject,ttlMillis,id);//设置过期时间
  75.         return builder.compact();
  76.     }
  77.  
  78.     public static void main(String[] args) throws Exception{
  79.         String token =
  80. "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1OTg0MjU5MzIsInVzZX" +
  81. "JJZCI6MTExLCJ1c2VybmFtZSI6Ik1hcmtaUVAifQ.PTlOdRG7ROVJqPrA0q2ac7rKFzNNFR3lTMyP_8fIw9Q";
  82.         Claims claims = parseJWT(token);
  83.         System.out.println(claims);
  84.     }
  85.  
  86.     /**
  87.      * 生成加密后的密钥secretkey
  88.      * @return
  89.      */
  90.     public static SecretKey generalkey(){
  91.         byte[] encodeedkey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
  92.         SecretKey key = new SecretKeySpec(encodeedkey,0,encodeedkey.length,"AES");
  93.         return key;
  94.     }
  95.  
  96.     /**
  97.      * 解析
  98.      * @param jwt
  99.      * @return
  100.      * @throws Exception
  101.      */
  102.     public static Claims parseJWT(String jwt) throws Exception{
  103.         SecretKey secretKey = generalkey();
  104.         return Jwts.parser()
  105.                 .setSigningKey(secretKey)
  106.                 .parseClaimsJws(jwt)
  107.                 .getBody();
  108.     }
  109. }

Définir une autre classe d'outils Redis RedisCache, ce qui nous permet d'appeler plus facilement Redistemplate

  1. package org.example.utils;
  2.  
  3.  
  4. import org.springframework.beans.factory.annotation.Autowired;
  5. import org.springframework.data.redis.core.BoundSetOperations;
  6. import org.springframework.data.redis.core.HashOperations;
  7. import org.springframework.data.redis.core.RedisTemplate;
  8. import org.springframework.data.redis.core.ValueOperations;
  9. import org.springframework.stereotype.Component;
  10.  
  11. import java.util.*;
  12. import java.util.concurrent.TimeUnit;
  13.  
  14. @SuppressWarnings(value = { "unchecked", "rawtypes" })
  15. @Component
  16. public class RedisCache
  17. {
  18.     @Autowired
  19.     public RedisTemplate redisTemplate;
  20.  
  21.     /**
  22.      * 缓存基本的对象,Integer、String、实体类等
  23.      *
  24.      * @param key 缓存的键值
  25.      * @param value 缓存的值
  26.      */
  27.     public <T> void setCacheObject(final String key, final T value)
  28.     {
  29.         redisTemplate.opsForValue().set(key, value);
  30.     }
  31.  
  32.     /**
  33.      * 缓存基本的对象,Integer、String、实体类等
  34.      *
  35.      * @param key 缓存的键值
  36.      * @param value 缓存的值
  37.      * @param timeout 时间
  38.      * @param timeUnit 时间颗粒度
  39.      */
  40.     public <T> void setCacheObject(final String key, final T value, final Integer timeout, final TimeUnit timeUnit)
  41.     {
  42.         redisTemplate.opsForValue().set(key, value, timeout, timeUnit);
  43.     }
  44.  
  45.     /**
  46.      * 设置有效时间
  47.      *
  48.      * @param key Redis键
  49.      * @param timeout 超时时间
  50.      * @return true=设置成功;false=设置失败
  51.      */
  52.     public boolean expire(final String key, final long timeout)
  53.     {
  54.         return expire(key, timeout, TimeUnit.SECONDS);
  55.     }
  56.  
  57.     /**
  58.      * 设置有效时间
  59.      *
  60.      * @param key Redis键
  61.      * @param timeout 超时时间
  62.      * @param unit 时间单位
  63.      * @return true=设置成功;false=设置失败
  64.      */
  65.     public boolean expire(final String key, final long timeout, final TimeUnit unit)
  66.     {
  67.         return redisTemplate.expire(key, timeout, unit);
  68.     }
  69.  
  70.     /**
  71.      * 获得缓存的基本对象。
  72.      *
  73.      * @param key 缓存键值
  74.      * @return 缓存键值对应的数据
  75.      */
  76.     public <T> T getCacheObject(final String key)
  77.     {
  78.         ValueOperations<String, T> operation = redisTemplate.opsForValue();
  79.         return operation.get(key);
  80.     }
  81.  
  82.     /**
  83.      * 删除单个对象
  84.      *
  85.      * @param key
  86.      */
  87.     public boolean deleteObject(final String key)
  88.     {
  89.         return redisTemplate.delete(key);
  90.     }
  91.  
  92.     /**
  93.      * 删除集合对象
  94.      *
  95.      * @param collection 多个对象
  96.      * @return
  97.      */
  98.     public long deleteObject(final Collection collection)
  99.     {
  100.         return redisTemplate.delete(collection);
  101.     }
  102.  
  103.     /**
  104.      * 缓存List数据
  105.      *
  106.      * @param key 缓存的键值
  107.      * @param dataList 待缓存的List数据
  108.      * @return 缓存的对象
  109.      */
  110.     public <T> long setCacheList(final String key, final List<T> dataList)
  111.     {
  112.         Long count = redisTemplate.opsForList().rightPushAll(key, dataList);
  113.         return count == null ? 0 : count;
  114.     }
  115.  
  116.     /**
  117.      * 获得缓存的list对象
  118.      *
  119.      * @param key 缓存的键值
  120.      * @return 缓存键值对应的数据
  121.      */
  122.     public <T> List<T> getCacheList(final String key)
  123.     {
  124.         return redisTemplate.opsForList().range(key, 0, -1);
  125.     }
  126.  
  127.     /**
  128.      * 缓存Set
  129.      *
  130.      * @param key 缓存键值
  131.      * @param dataSet 缓存的数据
  132.      * @return 缓存数据的对象
  133.      */
  134.     public <T> BoundSetOperations<String, T> setCacheSet(final String key, final Set<T> dataSet)
  135.     {
  136.         BoundSetOperations<String, T> setOperation = redisTemplate.boundSetOps(key);
  137.         Iterator<T> it = dataSet.iterator();
  138.         while (it.hasNext())
  139.         {
  140.             setOperation.add(it.next());
  141.         }
  142.         return setOperation;
  143.     }
  144.  
  145.     /**
  146.      * 获得缓存的set
  147.      *
  148.      * @param key
  149.      * @return
  150.      */
  151.     public <T> Set<T> getCacheSet(final String key)
  152.     {
  153.         return redisTemplate.opsForSet().members(key);
  154.     }
  155.  
  156.     /**
  157.      * 缓存Map
  158.      *
  159.      * @param key
  160.      * @param dataMap
  161.      */
  162.     public <T> void setCacheMap(final String key, final Map<String, T> dataMap)
  163.     {
  164.         if (dataMap != null) {
  165.             redisTemplate.opsForHash().putAll(key, dataMap);
  166.         }
  167.     }
  168.  
  169.     /**
  170.      * 获得缓存的Map
  171.      *
  172.      * @param key
  173.      * @return
  174.      */
  175.     public <T> Map<String, T> getCacheMap(final String key)
  176.     {
  177.         return redisTemplate.opsForHash().entries(key);
  178.     }
  179.  
  180.     /**
  181.      * 往Hash中存入数据
  182.      *
  183.      * @param key Redis键
  184.      * @param hKey Hash键
  185.      * @param value 值
  186.      */
  187.     public <T> void setCacheMapValue(final String key, final String hKey, final T value)
  188.     {
  189.         redisTemplate.opsForHash().put(key, hKey, value);
  190.     }
  191.  
  192.     /**
  193.      * 获取Hash中的数据
  194.      *
  195.      * @param key Redis键
  196.      * @param hKey Hash键
  197.      * @return Hash中的对象
  198.      */
  199.     public <T> T getCacheMapValue(final String key, final String hKey)
  200.     {
  201.         HashOperations<String, String, T> opsForHash = redisTemplate.opsForHash();
  202.         return opsForHash.get(key, hKey);
  203.     }
  204.  
  205.     /**
  206.      * 删除Hash中的数据
  207.      *
  208.      * @param key
  209.      * @param hkey
  210.      */
  211.     public void delCacheMapValue(final String key, final String hkey)
  212.     {
  213.         HashOperations hashOperations = redisTemplate.opsForHash();
  214.         hashOperations.delete(key, hkey);
  215.     }
  216.  
  217.     /**
  218.      * 获取多个Hash中的数据
  219.      *
  220.      * @param key Redis键
  221.      * @param hKeys Hash键集合
  222.      * @return Hash对象集合
  223.      */
  224.     public <T> List<T> getMultiCacheMapValue(final String key, final Collection<Object> hKeys)
  225.     {
  226.         return redisTemplate.opsForHash().multiGet(key, hKeys);
  227.     }
  228.  
  229.     /**
  230.      * 获得缓存的基本对象列表
  231.      *
  232.      * @param pattern 字符串前缀
  233.      * @return 对象列表
  234.      */
  235.     public Collection<String> keys(final String pattern)
  236.     {
  237.         return redisTemplate.keys(pattern);
  238.     }
  239. }
  240.

Nous pouvons également écrire des données dans la réponse, nous avons donc également besoin d'une classe d'outils WebUtils

  1. package org.example.utils;
  2.  
  3. import javax.servlet.http.HttpServletResponse;
  4. import java.io.IOException;
  5.  
  6. public class WebUtils {
  7.     /**
  8.      * 将字符串渲染到客户端
  9.      *
  10.      * @param response 渲染对象
  11.      * @param string 待渲染的字符串
  12.      * @return null
  13.      */
  14.     public static String renderString(HttpServletResponse response, String string) {
  15.         try
  16.         {
  17.             response.setStatus(200);
  18.             response.setContentType("application/json");
  19.             response.setCharacterEncoding("utf-8");
  20.             response.getWriter().print(string);
  21.         }
  22.         catch (IOException e)
  23.         {
  24.             e.printStackTrace();
  25.         }
  26.         return null;
  27.     }
  28. }

Enfin, écrivez la classe d'entité utilisateur correspondante

  1. package org.example.domain;
  2.  
  3. import lombok.AllArgsConstructor;
  4. import lombok.Data;
  5. import lombok.NoArgsConstructor;
  6. import java.io.Serializable;
  7. import java.util.Date;
  8. /**
  9.  * 用户表(User)实体类
  10.  */
  11. @Data
  12. @AllArgsConstructor
  13. @NoArgsConstructor
  14. public class User implements Serializable {
  15.     private static final long serialVersionUID = -40356785423868312L;
  16.     /**
  17.      * 主键
  18.      */
  19.     private Long id;
  20.     /**
  21.      * 用户名
  22.      */
  23.     private String userName;
  24.     /**
  25.      * 昵称
  26.      */
  27.     private String nickName;
  28.     /**
  29.      * 密码
  30.      */
  31.     private String password;
  32.     /**
  33.      * 账号状态(0正常 1停用)
  34.      */
  35.     private String status;
  36.     /**
  37.      * 邮箱
  38.      */
  39.     private String email;
  40.     /**
  41.      * 手机号
  42.      */
  43.     private String phonenumber;
  44.     /**
  45.      * 用户性别(0男,1女,2未知)
  46.      */
  47.     private String sex;
  48.     /**
  49.      * 头像
  50.      */
  51.     private String avatar;
  52.     /**
  53.      * 用户类型(0管理员,1普通用户)
  54.      */
  55.     private String userType;
  56.     /**
  57.      * 创建人的用户id
  58.      */
  59.     private Long createBy;
  60.     /**
  61.      * 创建时间
  62.      */
  63.     private Date createTime;
  64.     /**
  65.      * 更新人
  66.      */
  67.     private Long updateBy;
  68.     /**
  69.      * 更新时间
  70.      */
  71.     private Date updateTime;
  72.     /**
  73.      * 删除标志(0代表未删除,1代表已删除)
  74.      */
  75.     private Integer delFlag;
  76. }
  77.

Selon notre analyse ci-dessus, nous devons personnaliser un UserDetailsService pour permettre à SpringSecuriry d'utiliser notre UserDetailsService. Notre propre UserDetailsService peut interroger le nom d'utilisateur et le mot de passe dans la base de données.

Nous créons d’abord une table de base de données sys_user.

  1. CREATE TABLE `sys_user` (
  2.   `id` bigint NOT NULL AUTO_INCREMENT COMMENT '主键',
  3.   `user_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '用户名',
  4.   `nick_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '呢称',
  5.   `password` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '密码',
  6.   `status` char(1) DEFAULT '0' COMMENT '账号状态(0正常1停用)',
  7.   `email` varchar(64) DEFAULT NULL COMMENT '邮箱',
  8.   `phonenumber` varchar(32) DEFAULT NULL COMMENT '手机号',
  9.   `sex` char(1) DEFAULT NULL COMMENT '用户性别(0男,1女,2未知)',
  10.   `avatar` varchar(128) DEFAULT NULL COMMENT '头像',
  11.   `user_type` char(1) NOT NULL DEFAULT '1' COMMENT '用户类型(O管理员,1普通用户)',
  12.   `create_by` bigint DEFAULT NULL COMMENT '创建人的用户id',
  13.   `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  14.   `update_by` bigint DEFAULT NULL COMMENT '更新人',
  15.   `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  16.   `del_flag` int DEFAULT '0' COMMENT '删除标志(O代表未删除,1代表已删除)',
  17.   PRIMARY KEY (`id`)
  18. ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户表';

Présentez ensuite les pilotes myBatisPlus et mysql.

  1.         <dependency>
  2.             <groupId>com.baomidou</groupId>
  3.             <artifactId>mybatis-plus-boot-starter</artifactId>
  4.             <version>3.4.3</version>
  5.         </dependency>
  6.         <dependency>
  7.             <groupId>mysql</groupId>
  8.             <artifactId>mysql-connector-java</artifactId>
  9.         </dependency>

Configurez ensuite les informations pertinentes de la base de données.

Définissez ensuite l'interface du mappeur UserMapper et utilisez mybatisplus pour ajouter les annotations correspondantes.

  1. package org.example.mapper;
  2.  
  3. import com.baomidou.mybatisplus.core.mapper.BaseMapper;
  4. import org.example.domain.User;
  5.  
  6. public interface UserMapper extends BaseMapper<User> {
  7. }

Configurez ensuite l'analyse des composants

Enfin, testez si le mp peut être utilisé normalement.

Présentation de Junit

De cette façon, il peut être utilisé normalement.

2.3.3 Mise en œuvre

2.3.3.1 Utilisateur de vérification de la base de données

Ensuite, nous devons implémenter le code principal.

Tout d’abord, personnalisons UserDetailsService.

  1. package org.example.service.impl;
  2. import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
  3. import org.example.domain.LoginUser;
  4. import org.example.domain.User;
  5. import org.example.mapper.UserMapper;
  6. import org.springframework.beans.factory.annotation.Autowired;
  7. import org.springframework.security.core.userdetails.UserDetails;
  8. import org.springframework.security.core.userdetails.UserDetailsService;
  9. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  10. import org.springframework.stereotype.Service;
  11. import java.util.Objects;
  12. @Service
  13. public class UserDetailsServiceImpl implements UserDetailsService {
  14.     @Autowired
  15.     private UserMapper userMapper;
  16.     @Override
  17.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  18.         //查询用户信息 [InMemoryUserDetailsManager是在内存中查找]
  19.         LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
  20.         wrapper.eq(User::getUserName,username);
  21.         User user = userMapper.selectOne(wrapper);
  22.         //如果查询不到数据就抛出异常,给出提示
  23.         if(Objects.isNull(user)){
  24.             throw new RuntimeException("用户名或密码错误!");
  25.         }
  26.  
  27.         //TODO 查询权限信息
  28.  
  29.         //封装为UserDetails对象返回
  30.         return new LoginUser(user);
  31.     }
  32. }

Ici, l'utilisateur est encapsulé sous UserDetails et renvoyé.

  1. package org.example.domain;
  2. import lombok.AllArgsConstructor;
  3. import lombok.Data;
  4. import lombok.NoArgsConstructor;
  5. import org.springframework.security.core.GrantedAuthority;
  6. import org.springframework.security.core.userdetails.UserDetails;
  7. import java.util.Collection;
  8. @Data
  9. @AllArgsConstructor
  10. @NoArgsConstructor
  11. public class LoginUser implements UserDetails {
  12.     private User user;
  13.     @Override
  14.     public Collection<? extends GrantedAuthority> getAuthorities() {
  15.         return null;
  16.     }
  17.  
  18.     @Override
  19.     public String getPassword() {
  20.         return user.getPassword();
  21.     }
  22.  
  23.     @Override
  24.     public String getUsername() {
  25.         return user.getUserName();
  26.     }
  27.  
  28.     @Override
  29.     public boolean isAccountNonExpired() {
  30.         return true;
  31.     }
  32.  
  33.     @Override
  34.     public boolean isAccountNonLocked() {
  35.         return true;
  36.     }
  37.  
  38.     @Override
  39.     public boolean isCredentialsNonExpired() {
  40.         return true;
  41.     }
  42.  
  43.     @Override
  44.     public boolean isEnabled() {
  45.         return true;
  46.     }
  47. }

Enfin, il y a un point ici, c'est-à-dire que nous devons effectuer un test de connexion pour obtenir les données de la base de données. Nous devons écrire les données utilisateur dans le tableau, et si vous souhaitez que le mot de passe de l'utilisateur soit transmis en texte clair. , vous devez ajouter {noop} avant le mot de passe.

Ici, vous pouvez saisir le nom d'utilisateur et le mot de passe dans la base de données pour vous connecter.

2.3.3.2 Stockage crypté par mot de passe

Parlons de la raison pour laquelle {noop} est ajouté devant le mot de passe, car le PasswordEncoder par défaut nécessite que le format du mot de passe dans la base de données soit {id}mot de passe. Il déterminera la méthode de cryptage du mot de passe en fonction de l'identifiant, mais nous en général. n'adoptez pas cette méthode, donc PasswordEncoder doit être remplacé.

Ensuite, nous allons le tester et voir.

Vous pouvez voir que les deux mots de passe d'origine que nous avons transmis ici sont les mêmes, mais nous avons obtenu des résultats différents. Cela est en fait lié à l'algorithme de salage. J'écrirai également un article sur le cryptage personnalisé plus tard.

Après avoir obtenu le mot de passe crypté, vous pouvez stocker le mot de passe crypté dans la base de données. Vous pouvez ensuite vous connecter en vérifiant le mot de passe en clair transmis depuis le front-end avec le mot de passe crypté dans la base de données.

À ce moment-là, nous avons démarré le projet pour nous connecter et avons constaté que nous ne pouvions plus nous connecter avec le mot de passe précédent, car la base de données devait stocker le mot de passe crypté stocké dans la base de données pendant la phase d'enregistrement, pas le mot de passe d'origine (car je Je ne me suis pas inscrit, je vais crypter le mot de passe) Le mot de passe est écrit tout seul dans la base de données).

2.3.3.3 Interface de connexion

Nous devons implémenter une interface de connexion, puis laisser SpringSecuruty l'autoriser. Si cela n'est pas autorisé, cela sera contradictoire. Dans l'interface, l'authentification de l'utilisateur est effectuée via la méthode d'authentification d'AuthentificationManager, nous devons donc configurer l'authentificationManager à injecter. dans le conteneur dans SecurityConfig.

Si l'authentification réussit, un jwt doit être généré et inséré dans la réponse. Pour que l'utilisateur puisse identifier l'utilisateur spécifique via le jwt lors de la prochaine requête, les informations utilisateur doivent être stockées dans Redis et l'utilisateur. L’ID peut être utilisé comme clé.

Écrivez d'abord LoginController

Écrivez ensuite le Service correspondant.

Injectez AuthenticationManager dans SecurityConfig et libérez l’interface de connexion.

Dans la logique métier du service, si l'authentification échoue, une exception personnalisée sera renvoyée, mais si l'authentification réussit, comment obtenons-nous les informations correspondantes.

Ici, nous pouvons déboguer et voir les objets obtenus.

On constate ici que les informations requises correspondantes peuvent être obtenues dans le Principal.

Complétez ensuite le code.

Enfin, testez-le.

2.3.3.4 Filtre d'authentification

Je vais d'abord coller le code.

  1. @Component
  2. public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
  3.  
  4.     @Autowired
  5.     private RedisCache redisCache;
  6.  
  7.     @Override
  8.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
  9.         //获取token
  10.         String token = request.getHeader("token");
  11.         if (!StringUtils.hasText(token)) {
  12.             //放行
  13.             filterChain.doFilter(request, response); //这里放行是因为还有后续的过滤器会给出对应的异常
  14.             return; //token为空 不执行后续流程
  15.         }
  16.         //解析token
  17.         String userid;
  18.         try {
  19.             Claims claims = JwtUtil.parseJWT(token);
  20.             userid = claims.getSubject();
  21.         } catch (Exception e) {
  22.             e.printStackTrace();
  23.             throw new RuntimeException("token非法!");
  24.         }
  25.         //从redis中获取用户信息
  26.         String redisKey = "login:" + userid;
  27.         LoginUser loginUser = redisCache.getCacheObject(redisKey);
  28.         if (Objects.isNull(loginUser)){
  29.             throw new RuntimeException("用户未登录!");
  30.         }
  31.         //将信息存入SecurityContextHolder(因为过滤器链后面的filter都是从中获取认证信息进行对应放行)
  32.         //TODO 获取权限信息封装到Authentication中
  33.         UsernamePasswordAuthenticationToken authenticationToken =
  34.                 new UsernamePasswordAuthenticationToken(loginUser,null,null);
  35.         SecurityContextHolder.getContext().setAuthentication(authenticationToken);
  36.  
  37.         //放行
  38.         filterChain.doFilter(request,response); //此时的放行是携带认证的,不同于上方token为空的放行
  39.     }
  40. }

Tout d'abord, pour obtenir le jeton ici, nous récupérons le jeton correspondant de l'en-tête de la requête, puis vérifions qu'il est vide, nous le libérerons directement sans passer par le processus de suivi. analysera le jeton, obtiendra l'ID utilisateur à l'intérieur, puis utilisera l'ID utilisateur en fonction de l'obtention des informations utilisateur correspondantes à partir de Redis, et enfin les stockera dans SecurityContextHolder, car les filtres suivants doivent en obtenir les informations d'authentification quotidiennes et enfin effectuer opérations d’analyse.

Un autre point qui mérite attention est que SecurityContextHolder.getContext().setAuthentication() doit transmettre l'objet d'authentification. Lorsque nous construisons l'objet, nous utilisons trois paramètres, car le troisième paramètre est la clé pour déterminer s'il faut s'authentifier ou non.

Ensuite, nous devons configurer ce filtre.

Ensuite, lorsque nous accéderons à l'interface utilisateur/connexion, un corps de réponse avec un jeton nous sera renvoyé Lorsque nous accéderons à nouveau à l'interface hello, ce sera 403. Comme il ne contient pas de jeton, il correspond au code ci-dessus. Sans jeton, le corps de la réponse sera libéré et le retour n'exécutera pas le processus suivant (la version ici est due au fait qu'il existe d'autres filtres qui lèvent spécifiquement des exceptions pour un traitement ultérieur, et le retour vise à l'empêcher de passer par la réponse. processus)

À ce stade, si nous mettons le jeton généré par l'utilisateur/connexion dans l'en-tête de requête de l'interface hello, nous pouvons y accéder normalement.

Ensuite, l'objectif de notre ensemble de filtres a été atteint (obtention de jetons, analyse des jetons et stockage dans SecurityContextHolder).

2.3.3.5 Déconnexion

À ce stade, il nous est plus facile de nous déconnecter. Il nous suffit de supprimer les données correspondantes dans redis. Lorsque nous apporterons le jeton pour un accès ultérieur, les informations utilisateur correspondantes dans redis seront obtenues dans notre filtre personnalisé à ce moment-là. vous ne pouvez pas l'obtenir, cela signifie que vous n'êtes pas connecté.

Nous transportons ce jeton pour accéder à l'interface /user/logout.

Ensuite, la fonction de déconnexion est implémentée.

Cet article a été tiré de la troisième mise à jour de la station b ! ! !

Profil personnel

Il se consacre à la recherche technologique depuis plus de 30 ans et maîtrise divers langages tels que java, linux, javascript, php, css, etc. Il a apporté de nombreuses contributions dans le domaine de l'open source. station de documentation pour les développeurs pour partager certains problèmes de développement technologique pour référence future.

mes coordonnées

Mail