Compartir tecnología

SpringSecurity Framework [Autenticación]

2024-07-12

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

Tabla de contenido

1. Inicio rápido

2. Certificación

2.1 Proceso de verificación de inicio de sesión

2.2 Exploración preliminar del principio

2.3 Resuelve el problema

2.3.1 Análisis de ideas

2.3.2 Preparación

2.3.3 Implementación

2.3.3.1 Usuario de verificación de base de datos

2.3.3.2 Almacenamiento cifrado con contraseña

2.3.3.3 Interfaz de inicio de sesión

2.3.3.4 Filtro de autenticación

2.3.3.5 Cerrar sesión

Spring Security es un marco de gestión de seguridad de la familia Spring. En comparación con Shiro, otro marco de seguridad, proporciona funciones y recursos comunitarios más ricos que Shiro.

En términos generales, Spring Security se usa más comúnmente en proyectos a gran escala, y Shiro se usa más comúnmente en proyectos pequeños, porque en comparación con Spring Security, es más fácil comenzar con Shiro.

Las aplicaciones web generales debenCertificaciónyAutorizar

  • Autenticación: verifique si el usuario actual que accede al sistema es el usuario del sistema y confirme qué usuario es.
  • Autorización: después de la autenticación, determine si el usuario actual tiene permiso para realizar una operación.

¡La autenticación y la autorización son las funciones principales de Spring Security como marco de seguridad!

1. Inicio rápido

Primero, simplemente construyamos un proyecto SpringBoot.

En este momento, accedemos a una interfaz de saludo simple que escribimos para verificar si la construcción fue exitosa.

Luego presente SpringSecurity.

En este momento, echemos un vistazo al efecto de la interfaz de acceso.

Después de introducir SpringSecurity, la interfaz de acceso saltará automáticamente a una página de inicio de sesión. El nombre de usuario predeterminado es usuario y la contraseña se enviará a la consola. Debe iniciar sesión para acceder a la interfaz.

2. Certificación

2.1 Proceso de verificación de inicio de sesión

En primer lugar, debemos comprender el proceso de verificación de inicio de sesión. Primero, la interfaz lleva el nombre de usuario y la contraseña para acceder a la interfaz de inicio de sesión. Después de que el servidor obtiene el nombre de usuario y la contraseña, los compara con los de la base de datos. Si el nombre de usuario / ID de usuario se usa correctamente, se genera un jwt y luego Responde jwt al front-end y luego accede a otras solicitudes después de iniciar sesión y llevará el token en el encabezado de la solicitud Cada vez que el servidor obtenga el token. el encabezado de la solicitud para el análisis, obtiene la ID de usuario y obtiene información relacionada con el usuario y permisos de visualización en función de la ID del nombre de usuario. Si tiene permiso, responda al front-end.

2.2 Exploración preliminar del principio

El principio de SpringSecurity es en realidad una cadena de filtros, que proporciona filtros con varias funciones. Aquí primero veremos los filtros involucrados en el inicio rápido anterior.

  • UsernamePasswordAuthenticationFilter es responsable de procesar las solicitudes de inicio de sesión después de completar el nombre de usuario y la contraseña en la página de inicio de sesión.
  • ExceptionTranslationFilter maneja cualquier AccessDeniedException y AuthenticationException lanzada en la cadena de filtro
  • FilterSecurityInterceptor es un filtro responsable de la verificación de permisos

También podemos usar Debug para ver qué filtros están en la cadena de filtros SpringSecurity en el sistema actual y su orden.

A continuación, echemos un vistazo al análisis del diagrama de flujo de autenticación.

Aquí solo necesitamos poder entender el proceso. En pocas palabras:

El usuario envió el nombre de usuario y la contraseña, UsernamePasswordAuthenticationFilter lo encapsula como un objeto de autenticación y llama al método de autenticación para la autenticación. Luego llama al método de autenticación de DaoAuthenticationProvider para la autenticación y luego llama al método loadUserByUserName para consultar al usuario. es buscar en la memoria y luego encapsular la información del usuario correspondiente en un objeto UserDetails, usar PasswordEncoder para comparar la contraseña en UserDetails y la contraseña de autenticación para ver si es correcta. Si es correcta, establezca la información de permiso en UserDetails en el objeto de autenticación. , luego devuelve el objeto de autenticación y finalmente usa el método SecurityContextHolder.getContext( ).setAuthentication almacena este objeto y otros filtros obtendrán la información del usuario actual a través de SecurityContextHoder. (No es necesario memorizar este párrafo para entenderlo)

Luego conocemos el proceso antes de poder modificarlo. En primer lugar, cuando buscamos desde la memoria, debemos buscar desde la base de datos (aquí necesitamos personalizar una clase de implementación UserDetailsService) y no usaremos el nombre de usuario y la contraseña predeterminados. Y la interfaz de inicio de sesión debe ser escrita por usted mismo, y no es necesario utilizar la página de inicio de sesión predeterminada proporcionada por él.

Según la situación que analizamos, podemos obtener esa imagen.

En este momento, se devuelve un jwt al front-end y otras solicitudes realizadas por el front-end transportarán el token. Entonces, nuestro primer paso es verificar si el token se transporta, analizarlo, obtener el ID de usuario correspondiente y encapsularlo. it as El objeto Anthentication se almacena en SecurityContextHolder (para que otros filtros puedan obtenerlo).

Entonces hay otra pregunta aquí. ¿Cómo obtener información completa del usuario después de obtener el ID de usuario del filtro de autenticación jwt?

Aquí usamos redis. Cuando el servidor se autentica usando la identificación de usuario para generar jwt en el front-end, la identificación de usuario se usa como clave y la información del usuario se almacena en redis como valor. Luego se puede obtener la información completa del usuario. desde redis a través del ID de usuario.

2.3 Resuelve el problema

2.3.1 Análisis de ideas

A partir de la exploración preliminar de los principios anteriores, también hemos analizado aproximadamente lo que debemos hacer si implementamos el proceso de autenticación de separación de front-end y back-end por nuestra cuenta.

Acceso:

a. interfaz de inicio de sesión personalizada

Llame al método ProviderManager para la autenticación. Si la autenticación pasa, se genera un jwt.

Almacenar información del usuario en redis

b. Personalizar el servicio de detalles del usuario

Consultar la base de datos en esta clase de implementación.

controlar:

a. Personalizar el filtro de autenticación jwt.

Obtener token

Analizar el token para obtener su ID de usuario.

Obtenga información completa del usuario de redis

Almacenar en SecurityContextHolder

2.3.2 Preparación

Primero necesitas agregar las dependencias correspondientes.

  1.         <!--   SpringSecurity启动器     -->
  2.         <dependency>
  3.             <groupId>org.springframework.boot</groupId>
  4.             <artifactId>spring-boot-starter-security</artifactId>
  5.         </dependency>
  6.  
  7.         <!--   redis依赖     -->
  8.         <dependency>
  9.             <groupId>org.springframework.boot</groupId>
  10.             <artifactId>spring-boot-starter-data-redis</artifactId>
  11.         </dependency>
  12.         <!--   fastjson依赖     -->
  13.         <dependency>
  14.             <groupId>com.alibaba</groupId>
  15.             <artifactId>fastjson</artifactId>
  16.             <version>1.2.33</version>
  17.         </dependency>
  18.         <!--   jwt依赖     -->
  19.         <dependency>
  20.             <groupId>io.jsonwebtoken</groupId>
  21.             <artifactId>jjwt</artifactId>
  22.             <version>0.9.0</version>
  23.         </dependency>

Luego necesitamos usar Redis y agregar configuraciones relacionadas con Redis.

El primero es el serializador de FastJson.

  1. package org.example.utils;
  2. import com.alibaba.fastjson.JSON;
  3. import com.alibaba.fastjson.parser.ParserConfig;
  4. import com.alibaba.fastjson.serializer.SerializerFeature;
  5. import com.fasterxml.jackson.databind.JavaType;
  6. import com.fasterxml.jackson.databind.type.TypeFactory;
  7. import org.springframework.data.redis.serializer.RedisSerializer;
  8. import org.springframework.data.redis.serializer.SerializationException;
  9.  
  10. import java.nio.charset.Charset;
  11.  
  12. /**
  13.  * Redis使用fastjson序列化
  14.  * @param <T>
  15.  */
  16. public class FastJsonRedisSerializer<T> implements RedisSerializer<T> {
  17.  
  18.     public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");
  19.  
  20.     private Class<T> clazz;
  21.  
  22.     static {
  23.         ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
  24.     }
  25.  
  26.     public FastJsonRedisSerializer(Class<T> clazz){
  27.         super();
  28.         this.clazz=clazz;
  29.     }
  30.     
  31.     @Override
  32.     public byte[] serialize(T t) throws SerializationException {
  33.         if (t == null){
  34.             return new byte[0];
  35.         }
  36.         return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
  37.     }
  38.  
  39.     @Override
  40.     public T deserialize(byte[] bytes) throws SerializationException {
  41.         if (bytes==null || bytes.length<=0){
  42.             return null;
  43.         }
  44.         String str = new String(bytes,DEFAULT_CHARSET);
  45.  
  46.         return JSON.parseObject(str,clazz);
  47.     }
  48.  
  49.     protected JavaType getJavaType(Class<?> clazz){
  50.         return TypeFactory.defaultInstance().constructType(clazz);
  51.     }
  52.     
  53. }

Cree RedisConfig y cree un serializador en él para resolver problemas como caracteres confusos.

  1. package org.example.config;
  2. import org.example.utils.FastJsonRedisSerializer;
  3. import org.springframework.context.annotation.Bean;
  4. import org.springframework.context.annotation.Configuration;
  5. import org.springframework.data.redis.connection.RedisConnectionFactory;
  6. import org.springframework.data.redis.core.RedisTemplate;
  7. import org.springframework.data.redis.serializer.StringRedisSerializer;
  8.  
  9. @Configuration
  10. public class RedisConfig {
  11.     @Bean
  12.     @SuppressWarnings(value = {"unchecked","rawtypes"})
  13.     public RedisTemplate<Object,Object> redisTemplate(RedisConnectionFactory connectionFactory){
  14.         RedisTemplate<Object,Object> template = new RedisTemplate<>();
  15.         template.setConnectionFactory(connectionFactory);
  16.  
  17.         FastJsonRedisSerializer serializer = new FastJsonRedisSerializer(Object.class);
  18.  
  19.         //使用StringRedisSerializer来序列化和反序列化redus的key值
  20.         template.setKeySerializer(new StringRedisSerializer());
  21.         template.setValueSerializer(serializer);
  22.  
  23.         template.afterPropertiesSet();
  24.         return template;
  25.     }
  26. }

También es necesario unificar la clase de respuesta.

  1. package org.example.domain;
  2. import com.fasterxml.jackson.annotation.JsonInclude;
  3. @JsonInclude(JsonInclude.Include.NON_NULL)
  4. public class ResponseResult<T>{
  5.     /**
  6.      * 状态码
  7.      */
  8.     private Integer code;
  9.     /**
  10.      * 提示信息,如果有错误时,前端可以获取该字段进行提示
  11.      */
  12.     private String msg;
  13.     /**
  14.      * 查询到的结果数据
  15.      */
  16.     private T data;
  17.  
  18.     public ResponseResult(Integer code,String msg){
  19.         this.code = code;
  20.         this.msg = msg;
  21.     }
  22.  
  23.     public ResponseResult(Integer code,T data){
  24.         this.code = code;
  25.         this.data = data;
  26.     }
  27.  
  28.     public Integer getCode() {
  29.         return code;
  30.     }
  31.  
  32.     public void setCode(Integer code) {
  33.         this.code = code;
  34.     }
  35.  
  36.     public String getMsg() {
  37.         return msg;
  38.     }
  39.  
  40.     public void setMsg(String msg) {
  41.         this.msg = msg;
  42.     }
  43.  
  44.     public T getData() {
  45.         return data;
  46.     }
  47.  
  48.     public void setData(T data) {
  49.         this.data = data;
  50.     }
  51.  
  52.     public ResponseResult(Integer code,String msg,T data){
  53.         this.code = code;
  54.         this.msg = msg;
  55.         this.data = data;
  56.     }
  57. }

Necesita clases de herramientas jwt para generar jwt y analizar jwt.

  1. package org.example.utils;
  2.  
  3. import io.jsonwebtoken.Claims;
  4. import io.jsonwebtoken.JwtBuilder;
  5. import io.jsonwebtoken.Jwts;
  6. import io.jsonwebtoken.SignatureAlgorithm;
  7.  
  8. import javax.crypto.SecretKey;
  9. import javax.crypto.spec.SecretKeySpec;
  10. import java.util.Base64;
  11. import java.util.Date;
  12. import java.util.UUID;
  13.  
  14. public class JwtUtil {
  15.  
  16.     //有效期为
  17.     public static final Long JWT_TTL = 60*60*1000L; //一个小时
  18.     //设置密钥明文
  19.     public static final String JWT_KEY = "hzj";
  20.  
  21.     public static String getUUID(){
  22.         String token = UUID.randomUUID().toString().replaceAll("-","");
  23.         return token;
  24.     }
  25.  
  26.     /**
  27.      * 生成jwt
  28.      * @param subject token中要存放的数据(json格式)
  29.      * @return
  30.      */
  31.     public static String createJWT(String subject){
  32.         JwtBuilder builder = getJwtBuilder(subject,null,getUUID()); //设置过期时间
  33.         return builder.compact();
  34.     }
  35.  
  36.     /**
  37.      * 生成jwt
  38.      * @param subject token中要存放的数据(json格式)
  39.      * @param ttlMillis token超时时间
  40.      * @return
  41.      */
  42.     public static String createJWT(String subject,Long ttlMillis){
  43.         JwtBuilder builder = getJwtBuilder(subject,ttlMillis,getUUID()); //设置过期时间
  44.         return builder.compact();
  45.     }
  46.  
  47.     private static JwtBuilder getJwtBuilder(String subject,Long ttlMillis,String uuid){
  48.         SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
  49.         SecretKey secretKey = generalkey();
  50.         long nowMillis = System.currentTimeMillis();
  51.         Date now = new Date(nowMillis);
  52.         if(ttlMillis==null){
  53.             ttlMillis=JwtUtil.JWT_TTL;
  54.         }
  55.         long expMillis = nowMillis + ttlMillis;
  56.         Date expDate = new Date(expMillis);
  57.         return Jwts.builder()
  58.                 .setId(uuid) //唯一的Id
  59.                 .setSubject(subject) //主题 可以是Json数据
  60.                 .setIssuer("hzj") //签发者
  61.                 .setIssuedAt(now) //签发时间
  62.                 .signWith(signatureAlgorithm,secretKey) //使用HS256对称加密算法签名,第二个参数为密钥
  63.                 .setExpiration(expDate);
  64.     }
  65.  
  66.     /**
  67.      * 创建token
  68.      * @param id
  69.      * @param subject
  70.      * @param ttlMillis
  71.      * @return
  72.      */
  73.     public static String createJWT(String id,String subject,Long ttlMillis){
  74.         JwtBuilder builder = getJwtBuilder(subject,ttlMillis,id);//设置过期时间
  75.         return builder.compact();
  76.     }
  77.  
  78.     public static void main(String[] args) throws Exception{
  79.         String token =
  80. "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE1OTg0MjU5MzIsInVzZX" +
  81. "JJZCI6MTExLCJ1c2VybmFtZSI6Ik1hcmtaUVAifQ.PTlOdRG7ROVJqPrA0q2ac7rKFzNNFR3lTMyP_8fIw9Q";
  82.         Claims claims = parseJWT(token);
  83.         System.out.println(claims);
  84.     }
  85.  
  86.     /**
  87.      * 生成加密后的密钥secretkey
  88.      * @return
  89.      */
  90.     public static SecretKey generalkey(){
  91.         byte[] encodeedkey = Base64.getDecoder().decode(JwtUtil.JWT_KEY);
  92.         SecretKey key = new SecretKeySpec(encodeedkey,0,encodeedkey.length,"AES");
  93.         return key;
  94.     }
  95.  
  96.     /**
  97.      * 解析
  98.      * @param jwt
  99.      * @return
  100.      * @throws Exception
  101.      */
  102.     public static Claims parseJWT(String jwt) throws Exception{
  103.         SecretKey secretKey = generalkey();
  104.         return Jwts.parser()
  105.                 .setSigningKey(secretKey)
  106.                 .parseClaimsJws(jwt)
  107.                 .getBody();
  108.     }
  109. }

Defina otra clase de herramienta Redis, RedisCache, que nos facilite llamar a redistemplate

  1. package org.example.utils;
  2.  
  3.  
  4. import org.springframework.beans.factory.annotation.Autowired;
  5. import org.springframework.data.redis.core.BoundSetOperations;
  6. import org.springframework.data.redis.core.HashOperations;
  7. import org.springframework.data.redis.core.RedisTemplate;
  8. import org.springframework.data.redis.core.ValueOperations;
  9. import org.springframework.stereotype.Component;
  10.  
  11. import java.util.*;
  12. import java.util.concurrent.TimeUnit;
  13.  
  14. @SuppressWarnings(value = { "unchecked", "rawtypes" })
  15. @Component
  16. public class RedisCache
  17. {
  18.     @Autowired
  19.     public RedisTemplate redisTemplate;
  20.  
  21.     /**
  22.      * 缓存基本的对象,Integer、String、实体类等
  23.      *
  24.      * @param key 缓存的键值
  25.      * @param value 缓存的值
  26.      */
  27.     public <T> void setCacheObject(final String key, final T value)
  28.     {
  29.         redisTemplate.opsForValue().set(key, value);
  30.     }
  31.  
  32.     /**
  33.      * 缓存基本的对象,Integer、String、实体类等
  34.      *
  35.      * @param key 缓存的键值
  36.      * @param value 缓存的值
  37.      * @param timeout 时间
  38.      * @param timeUnit 时间颗粒度
  39.      */
  40.     public <T> void setCacheObject(final String key, final T value, final Integer timeout, final TimeUnit timeUnit)
  41.     {
  42.         redisTemplate.opsForValue().set(key, value, timeout, timeUnit);
  43.     }
  44.  
  45.     /**
  46.      * 设置有效时间
  47.      *
  48.      * @param key Redis键
  49.      * @param timeout 超时时间
  50.      * @return true=设置成功;false=设置失败
  51.      */
  52.     public boolean expire(final String key, final long timeout)
  53.     {
  54.         return expire(key, timeout, TimeUnit.SECONDS);
  55.     }
  56.  
  57.     /**
  58.      * 设置有效时间
  59.      *
  60.      * @param key Redis键
  61.      * @param timeout 超时时间
  62.      * @param unit 时间单位
  63.      * @return true=设置成功;false=设置失败
  64.      */
  65.     public boolean expire(final String key, final long timeout, final TimeUnit unit)
  66.     {
  67.         return redisTemplate.expire(key, timeout, unit);
  68.     }
  69.  
  70.     /**
  71.      * 获得缓存的基本对象。
  72.      *
  73.      * @param key 缓存键值
  74.      * @return 缓存键值对应的数据
  75.      */
  76.     public <T> T getCacheObject(final String key)
  77.     {
  78.         ValueOperations<String, T> operation = redisTemplate.opsForValue();
  79.         return operation.get(key);
  80.     }
  81.  
  82.     /**
  83.      * 删除单个对象
  84.      *
  85.      * @param key
  86.      */
  87.     public boolean deleteObject(final String key)
  88.     {
  89.         return redisTemplate.delete(key);
  90.     }
  91.  
  92.     /**
  93.      * 删除集合对象
  94.      *
  95.      * @param collection 多个对象
  96.      * @return
  97.      */
  98.     public long deleteObject(final Collection collection)
  99.     {
  100.         return redisTemplate.delete(collection);
  101.     }
  102.  
  103.     /**
  104.      * 缓存List数据
  105.      *
  106.      * @param key 缓存的键值
  107.      * @param dataList 待缓存的List数据
  108.      * @return 缓存的对象
  109.      */
  110.     public <T> long setCacheList(final String key, final List<T> dataList)
  111.     {
  112.         Long count = redisTemplate.opsForList().rightPushAll(key, dataList);
  113.         return count == null ? 0 : count;
  114.     }
  115.  
  116.     /**
  117.      * 获得缓存的list对象
  118.      *
  119.      * @param key 缓存的键值
  120.      * @return 缓存键值对应的数据
  121.      */
  122.     public <T> List<T> getCacheList(final String key)
  123.     {
  124.         return redisTemplate.opsForList().range(key, 0, -1);
  125.     }
  126.  
  127.     /**
  128.      * 缓存Set
  129.      *
  130.      * @param key 缓存键值
  131.      * @param dataSet 缓存的数据
  132.      * @return 缓存数据的对象
  133.      */
  134.     public <T> BoundSetOperations<String, T> setCacheSet(final String key, final Set<T> dataSet)
  135.     {
  136.         BoundSetOperations<String, T> setOperation = redisTemplate.boundSetOps(key);
  137.         Iterator<T> it = dataSet.iterator();
  138.         while (it.hasNext())
  139.         {
  140.             setOperation.add(it.next());
  141.         }
  142.         return setOperation;
  143.     }
  144.  
  145.     /**
  146.      * 获得缓存的set
  147.      *
  148.      * @param key
  149.      * @return
  150.      */
  151.     public <T> Set<T> getCacheSet(final String key)
  152.     {
  153.         return redisTemplate.opsForSet().members(key);
  154.     }
  155.  
  156.     /**
  157.      * 缓存Map
  158.      *
  159.      * @param key
  160.      * @param dataMap
  161.      */
  162.     public <T> void setCacheMap(final String key, final Map<String, T> dataMap)
  163.     {
  164.         if (dataMap != null) {
  165.             redisTemplate.opsForHash().putAll(key, dataMap);
  166.         }
  167.     }
  168.  
  169.     /**
  170.      * 获得缓存的Map
  171.      *
  172.      * @param key
  173.      * @return
  174.      */
  175.     public <T> Map<String, T> getCacheMap(final String key)
  176.     {
  177.         return redisTemplate.opsForHash().entries(key);
  178.     }
  179.  
  180.     /**
  181.      * 往Hash中存入数据
  182.      *
  183.      * @param key Redis键
  184.      * @param hKey Hash键
  185.      * @param value 值
  186.      */
  187.     public <T> void setCacheMapValue(final String key, final String hKey, final T value)
  188.     {
  189.         redisTemplate.opsForHash().put(key, hKey, value);
  190.     }
  191.  
  192.     /**
  193.      * 获取Hash中的数据
  194.      *
  195.      * @param key Redis键
  196.      * @param hKey Hash键
  197.      * @return Hash中的对象
  198.      */
  199.     public <T> T getCacheMapValue(final String key, final String hKey)
  200.     {
  201.         HashOperations<String, String, T> opsForHash = redisTemplate.opsForHash();
  202.         return opsForHash.get(key, hKey);
  203.     }
  204.  
  205.     /**
  206.      * 删除Hash中的数据
  207.      *
  208.      * @param key
  209.      * @param hkey
  210.      */
  211.     public void delCacheMapValue(final String key, final String hkey)
  212.     {
  213.         HashOperations hashOperations = redisTemplate.opsForHash();
  214.         hashOperations.delete(key, hkey);
  215.     }
  216.  
  217.     /**
  218.      * 获取多个Hash中的数据
  219.      *
  220.      * @param key Redis键
  221.      * @param hKeys Hash键集合
  222.      * @return Hash对象集合
  223.      */
  224.     public <T> List<T> getMultiCacheMapValue(final String key, final Collection<Object> hKeys)
  225.     {
  226.         return redisTemplate.opsForHash().multiGet(key, hKeys);
  227.     }
  228.  
  229.     /**
  230.      * 获得缓存的基本对象列表
  231.      *
  232.      * @param pattern 字符串前缀
  233.      * @return 对象列表
  234.      */
  235.     public Collection<String> keys(final String pattern)
  236.     {
  237.         return redisTemplate.keys(pattern);
  238.     }
  239. }
  240.

También podemos escribir datos en la respuesta, por lo que también necesitamos una clase de herramienta WebUtils.

  1. package org.example.utils;
  2.  
  3. import javax.servlet.http.HttpServletResponse;
  4. import java.io.IOException;
  5.  
  6. public class WebUtils {
  7.     /**
  8.      * 将字符串渲染到客户端
  9.      *
  10.      * @param response 渲染对象
  11.      * @param string 待渲染的字符串
  12.      * @return null
  13.      */
  14.     public static String renderString(HttpServletResponse response, String string) {
  15.         try
  16.         {
  17.             response.setStatus(200);
  18.             response.setContentType("application/json");
  19.             response.setCharacterEncoding("utf-8");
  20.             response.getWriter().print(string);
  21.         }
  22.         catch (IOException e)
  23.         {
  24.             e.printStackTrace();
  25.         }
  26.         return null;
  27.     }
  28. }

Finalmente escriba la clase de entidad de usuario correspondiente.

  1. package org.example.domain;
  2.  
  3. import lombok.AllArgsConstructor;
  4. import lombok.Data;
  5. import lombok.NoArgsConstructor;
  6. import java.io.Serializable;
  7. import java.util.Date;
  8. /**
  9.  * 用户表(User)实体类
  10.  */
  11. @Data
  12. @AllArgsConstructor
  13. @NoArgsConstructor
  14. public class User implements Serializable {
  15.     private static final long serialVersionUID = -40356785423868312L;
  16.     /**
  17.      * 主键
  18.      */
  19.     private Long id;
  20.     /**
  21.      * 用户名
  22.      */
  23.     private String userName;
  24.     /**
  25.      * 昵称
  26.      */
  27.     private String nickName;
  28.     /**
  29.      * 密码
  30.      */
  31.     private String password;
  32.     /**
  33.      * 账号状态(0正常 1停用)
  34.      */
  35.     private String status;
  36.     /**
  37.      * 邮箱
  38.      */
  39.     private String email;
  40.     /**
  41.      * 手机号
  42.      */
  43.     private String phonenumber;
  44.     /**
  45.      * 用户性别(0男,1女,2未知)
  46.      */
  47.     private String sex;
  48.     /**
  49.      * 头像
  50.      */
  51.     private String avatar;
  52.     /**
  53.      * 用户类型(0管理员,1普通用户)
  54.      */
  55.     private String userType;
  56.     /**
  57.      * 创建人的用户id
  58.      */
  59.     private Long createBy;
  60.     /**
  61.      * 创建时间
  62.      */
  63.     private Date createTime;
  64.     /**
  65.      * 更新人
  66.      */
  67.     private Long updateBy;
  68.     /**
  69.      * 更新时间
  70.      */
  71.     private Date updateTime;
  72.     /**
  73.      * 删除标志(0代表未删除,1代表已删除)
  74.      */
  75.     private Integer delFlag;
  76. }
  77.

Según nuestro análisis anterior, necesitamos personalizar un UserDetailsService para permitir que SpringSecuriry use nuestro UserDetailsService. Nuestro propio UserDetailsService puede consultar el nombre de usuario y la contraseña de la base de datos.

Primero creamos una tabla de base de datos sys_user.

  1. CREATE TABLE `sys_user` (
  2.   `id` bigint NOT NULL AUTO_INCREMENT COMMENT '主键',
  3.   `user_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '用户名',
  4.   `nick_name` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '呢称',
  5.   `password` varchar(64) NOT NULL DEFAULT 'NULL' COMMENT '密码',
  6.   `status` char(1) DEFAULT '0' COMMENT '账号状态(0正常1停用)',
  7.   `email` varchar(64) DEFAULT NULL COMMENT '邮箱',
  8.   `phonenumber` varchar(32) DEFAULT NULL COMMENT '手机号',
  9.   `sex` char(1) DEFAULT NULL COMMENT '用户性别(0男,1女,2未知)',
  10.   `avatar` varchar(128) DEFAULT NULL COMMENT '头像',
  11.   `user_type` char(1) NOT NULL DEFAULT '1' COMMENT '用户类型(O管理员,1普通用户)',
  12.   `create_by` bigint DEFAULT NULL COMMENT '创建人的用户id',
  13.   `create_time` datetime DEFAULT NULL COMMENT '创建时间',
  14.   `update_by` bigint DEFAULT NULL COMMENT '更新人',
  15.   `update_time` datetime DEFAULT NULL COMMENT '更新时间',
  16.   `del_flag` int DEFAULT '0' COMMENT '删除标志(O代表未删除,1代表已删除)',
  17.   PRIMARY KEY (`id`)
  18. ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci COMMENT='用户表';

Luego introduzca los controladores myBatisPlus y mysql.

  1.         <dependency>
  2.             <groupId>com.baomidou</groupId>
  3.             <artifactId>mybatis-plus-boot-starter</artifactId>
  4.             <version>3.4.3</version>
  5.         </dependency>
  6.         <dependency>
  7.             <groupId>mysql</groupId>
  8.             <artifactId>mysql-connector-java</artifactId>
  9.         </dependency>

Luego configure la información relevante de la base de datos.

Luego defina la interfaz del mapeador UserMapper y use mybatisplus para agregar las anotaciones correspondientes.

  1. package org.example.mapper;
  2.  
  3. import com.baomidou.mybatisplus.core.mapper.BaseMapper;
  4. import org.example.domain.User;
  5.  
  6. public interface UserMapper extends BaseMapper<User> {
  7. }

Luego configure el escaneo de componentes

Finalmente, pruebe si el mp se puede utilizar normalmente.

Introducir junit

De esta forma se podrá utilizar con normalidad.

2.3.3 Implementación

2.3.3.1 Usuario de verificación de base de datos

A continuación necesitamos implementar el código central.

Primero, personalicemos UserDetailsService.

  1. package org.example.service.impl;
  2. import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
  3. import org.example.domain.LoginUser;
  4. import org.example.domain.User;
  5. import org.example.mapper.UserMapper;
  6. import org.springframework.beans.factory.annotation.Autowired;
  7. import org.springframework.security.core.userdetails.UserDetails;
  8. import org.springframework.security.core.userdetails.UserDetailsService;
  9. import org.springframework.security.core.userdetails.UsernameNotFoundException;
  10. import org.springframework.stereotype.Service;
  11. import java.util.Objects;
  12. @Service
  13. public class UserDetailsServiceImpl implements UserDetailsService {
  14.     @Autowired
  15.     private UserMapper userMapper;
  16.     @Override
  17.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
  18.         //查询用户信息 [InMemoryUserDetailsManager是在内存中查找]
  19.         LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
  20.         wrapper.eq(User::getUserName,username);
  21.         User user = userMapper.selectOne(wrapper);
  22.         //如果查询不到数据就抛出异常,给出提示
  23.         if(Objects.isNull(user)){
  24.             throw new RuntimeException("用户名或密码错误!");
  25.         }
  26.  
  27.         //TODO 查询权限信息
  28.  
  29.         //封装为UserDetails对象返回
  30.         return new LoginUser(user);
  31.     }
  32. }

Aquí el usuario se encapsula como UserDetails y se devuelve.

  1. package org.example.domain;
  2. import lombok.AllArgsConstructor;
  3. import lombok.Data;
  4. import lombok.NoArgsConstructor;
  5. import org.springframework.security.core.GrantedAuthority;
  6. import org.springframework.security.core.userdetails.UserDetails;
  7. import java.util.Collection;
  8. @Data
  9. @AllArgsConstructor
  10. @NoArgsConstructor
  11. public class LoginUser implements UserDetails {
  12.     private User user;
  13.     @Override
  14.     public Collection<? extends GrantedAuthority> getAuthorities() {
  15.         return null;
  16.     }
  17.  
  18.     @Override
  19.     public String getPassword() {
  20.         return user.getPassword();
  21.     }
  22.  
  23.     @Override
  24.     public String getUsername() {
  25.         return user.getUserName();
  26.     }
  27.  
  28.     @Override
  29.     public boolean isAccountNonExpired() {
  30.         return true;
  31.     }
  32.  
  33.     @Override
  34.     public boolean isAccountNonLocked() {
  35.         return true;
  36.     }
  37.  
  38.     @Override
  39.     public boolean isCredentialsNonExpired() {
  40.         return true;
  41.     }
  42.  
  43.     @Override
  44.     public boolean isEnabled() {
  45.         return true;
  46.     }
  47. }

Finalmente, hay un punto aquí, es decir, debemos realizar una prueba de inicio de sesión para obtener datos de la base de datos. Necesitamos escribir los datos del usuario en la tabla y, si desea, la contraseña del usuario se transmitirá en texto sin cifrar. , debes agregar {noop} antes de la contraseña.

Aquí puede ingresar el nombre de usuario y contraseña en la base de datos para iniciar sesión.

2.3.3.2 Almacenamiento cifrado con contraseña

Hablemos de por qué se agrega {noop} delante de la contraseña, porque el PasswordEncoder predeterminado requiere que el formato de contraseña en la base de datos sea {id}contraseña. Determinará el método de cifrado de la contraseña según la identificación, pero generalmente lo hacemos. no adopte este método, por lo que es necesario reemplazar PasswordEncoder.

A continuación lo probaremos y veremos.

Puede ver que las dos contraseñas originales que ingresamos aquí son las mismas, pero obtuvimos resultados diferentes. En realidad, esto está relacionado con el algoritmo de sal. También escribiré un artículo sobre cifrado personalizado más adelante.

Después de obtener la contraseña cifrada, puede almacenarla en la base de datos. Luego puede iniciar sesión verificando la contraseña en texto plano pasada desde el front-end con la contraseña cifrada en la base de datos.

En este momento, iniciamos el proyecto para iniciar sesión y descubrimos que ya no podíamos iniciar sesión con la contraseña anterior, porque la base de datos debería almacenar la contraseña cifrada almacenada en la base de datos durante la fase de registro, no la contraseña original (porque yo no se registró, cifraré la contraseña) La contraseña se escribe sola en la base de datos).

2.3.3.3 Interfaz de inicio de sesión

Necesitamos implementar una interfaz de inicio de sesión y luego dejar que SpringSecuruty lo permita. Si no está permitido, será contradictorio que la autenticación del usuario se realice a través del método de autenticación de AuthenticationManager en la interfaz, por lo que debemos configurar el AuthenticationManager para que se inyecte. en el contenedor en SecurityConfig.

Si la autenticación es exitosa, se debe generar un jwt y colocarlo en la respuesta. Para que el usuario identifique al usuario específico a través del jwt al realizar la siguiente solicitud, la información del usuario debe almacenarse en redis y el usuario. La identificación se puede utilizar como clave.

Escribe LoginController primero

Luego escribe el Servicio correspondiente.

Inyecte AuthenticationManager en SecurityConfig y libere la interfaz de inicio de sesión.

En la lógica empresarial del servicio, si la autenticación falla, se devolverá una excepción personalizada, pero si la autenticación es exitosa, ¿cómo obtenemos la información correspondiente?

Aquí podemos depurar y ver los objetos obtenidos.

Se encuentra aquí que la información requerida correspondiente se puede obtener en el Principal.

Luego completa el código.

Finalmente, pruébalo.

2.3.3.4 Filtro de autenticación

Primero pegaré el código.

  1. @Component
  2. public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
  3.  
  4.     @Autowired
  5.     private RedisCache redisCache;
  6.  
  7.     @Override
  8.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
  9.         //获取token
  10.         String token = request.getHeader("token");
  11.         if (!StringUtils.hasText(token)) {
  12.             //放行
  13.             filterChain.doFilter(request, response); //这里放行是因为还有后续的过滤器会给出对应的异常
  14.             return; //token为空 不执行后续流程
  15.         }
  16.         //解析token
  17.         String userid;
  18.         try {
  19.             Claims claims = JwtUtil.parseJWT(token);
  20.             userid = claims.getSubject();
  21.         } catch (Exception e) {
  22.             e.printStackTrace();
  23.             throw new RuntimeException("token非法!");
  24.         }
  25.         //从redis中获取用户信息
  26.         String redisKey = "login:" + userid;
  27.         LoginUser loginUser = redisCache.getCacheObject(redisKey);
  28.         if (Objects.isNull(loginUser)){
  29.             throw new RuntimeException("用户未登录!");
  30.         }
  31.         //将信息存入SecurityContextHolder(因为过滤器链后面的filter都是从中获取认证信息进行对应放行)
  32.         //TODO 获取权限信息封装到Authentication中
  33.         UsernamePasswordAuthenticationToken authenticationToken =
  34.                 new UsernamePasswordAuthenticationToken(loginUser,null,null);
  35.         SecurityContextHolder.getContext().setAuthentication(authenticationToken);
  36.  
  37.         //放行
  38.         filterChain.doFilter(request,response); //此时的放行是携带认证的,不同于上方token为空的放行
  39.     }
  40. }

En primer lugar, para obtener el token aquí, obtenemos el token correspondiente del encabezado de la solicitud y luego verificamos que esté vacío. Si está vacío, lo liberaremos directamente sin pasar por el proceso de seguimiento. analizará el token, obtendrá el ID de usuario dentro y luego usará el ID de usuario según Obtenga la información de usuario correspondiente de redis y finalmente la almacenará en SecurityContextHolder, porque los filtros posteriores deben obtener la información de autenticación diaria de él y finalmente realizar operaciones de análisis.

Otro punto que necesita atención es que SecurityContextHolder.getContext().setAuthentication() necesita pasar el objeto de autenticación. Cuando construimos el objeto, usamos tres parámetros, porque el tercer parámetro es la clave para determinar si autenticar o no.

A continuación necesitamos configurar este filtro.

Luego, cuando accedamos a la interfaz de usuario/inicio de sesión, se nos devolverá un cuerpo de respuesta con un token. Cuando accedamos a la interfaz de saludo nuevamente, será 403. Debido a que no lleva un token, corresponde al código anterior. Sin un token, el cuerpo de la respuesta se liberará y la devolución no ejecutará el proceso posterior (la liberación aquí se debe a que hay otros filtros que arrojan excepciones específicamente para su procesamiento posterior, y la devolución es para evitar que pase por la respuesta. proceso)

En este momento, si colocamos el token generado por el usuario/inicio de sesión en el encabezado de solicitud de la interfaz de saludo, podemos acceder a él normalmente.

Luego se logró el propósito de nuestro conjunto de filtros (obtener tokens, analizar tokens y almacenarlos en SecurityContextHolder)

2.3.3.5 Cerrar sesión

En este punto, es más fácil para nosotros cerrar sesión. Solo necesitamos eliminar los datos correspondientes en redis. Cuando traigamos el token para acceder más tarde, la información del usuario correspondiente en redis se obtendrá en nuestro filtro personalizado. No puedes obtenerlo, significa que no has iniciado sesión.

Llevamos este token para acceder a la interfaz /user/logout.

Luego se implementa la función de cierre de sesión.

¡Este artículo se aprendió de la tercera actualización de la estación b! ! !

Perfil personal

Se ha dedicado a la investigación de tecnología durante más de 30 años y domina varios lenguajes como java, linux, javascript, php, css, etc. Ha realizado muchas contribuciones en el campo del código abierto. Estación de documentación para desarrolladores para compartir algunos problemas en el desarrollo de tecnología para referencia futura.

Mi informacion de contacto

Correo