SpringSecurity+Redis認證過程小結
由於今天用Security進行權限管理的時候出現瞭一些Bug,特此發這篇博客來補習一下對SpringSecurity的理解
前言引入
當今市面上用於權限管理的流行的技術棧組合是
- ssm+shrio
- SpringCloud+SpringBoot+SpringSecurity
這種搭配自然有其搭配的特點,由於SpringBoot的自動註入配置原理,在創建項目時就自動註入管理SpringSecurity的過濾器容器(DelegatingFilterProxy),而這個過濾器是整個SpringSercurity的核心。掌握著SpringSercurity整個權限認證過程,而SpringBoot很香的幫你將其自動註入瞭,而用ssm
去整合Security,將會耗用大量的配置文件,不易於開發,而Security的微服務權限方案,更是能和Cloud完美融合,於是Security比Shrio更強大,功能更齊全。
Security的核心配置文件
核心:Class SecurityConfig extends WebSecurityConfigurerAdapter
繼承瞭WebSecurityConfigurerAdapter後我們關註於configure方法對於在整個安全認證的過程進行相關的配置,當然在配置之前我們先簡單瞭解一下流程
簡單的看瞭整個權限認證的流程,很輕易的總結得出,SpringSecurity核心的就是以下幾種配置項瞭
- 攔截器(Interceptor)
- 過濾器(Filter)
- 處理器(Handler,異常處理器,登錄成功處理器)
那我們就首先通過配置來完成認證過程吧!!!!
Security的認證過程
假設我們要實現一下的認證功能
1. 是登錄請求
- 我們需要先判斷驗證碼是否正確(驗證碼過濾器,通過addFilerbefore實現前置攔截)
- 再判斷用戶名密碼是否正確(使用自帶的用戶名密碼過濾器,UsernamePasswordAuthenticationFilter)
- 配置異常處理器(Handler)通過IO流將異常信息寫出
關於密碼校驗的流程:
UsernamePasswordAuthenticationFilter的密碼校驗規則是基於AuthenticationManagerBuilder(認證管理器)下的 UserDetailsService裡的規則進行驗證的:
其中的核心方法:
1.public UserDetails *loadUserByUsername(String username)
通過請求參數的用戶名去數據庫查詢是否存在,存在則將其封裝在UserDetails裡面,而驗證過程是通過AuthenticationManagerBuilder獲取到UserDetail裡的username和password來校驗的,
這樣我們就可以通過
- 配置yaml文件設置賬號密碼
- 通過數據庫結合UserDetail來設置賬號密碼
(UserDetailsService中的方法,註意需要將UserDetailsService註入AuthenticationManagerBuilder中)
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SysUser sysUser = sysUserService.getByUsername(username);
if (sysUser == null) {
throw new UsernameNotFoundException("用戶名或密碼不正確");
}
// 註意匹配參數,前者是明文後者是暗紋
System.out.println("是否正確"+bCryptPasswordEncoder.matches("111111",sysUser.getPassword()));
return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
}
通過瞭這個驗證後,過濾器放行,不通過就用自定義或者默認的處理器處理
核心配置文件:
package com.markerhub.config;
import com.markerhub.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
LoginFailureHandler loginFailureHandler;
@Autowired
LoginSuccessHandler loginSuccessHandler;
@Autowired
CaptchaFilter captchaFilter;
@Autowired
JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
@Autowired
JwtAccessDeniedHandler jwtAccessDeniedHandler;
@Autowired
UserDetailServiceImpl userDetailService;
@Autowired
JwtLogoutSuccessHandler jwtLogoutSuccessHandler;
@Bean
JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
return jwtAuthenticationFilter;
}
@Bean
BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}
private static final String[] URL_WHITELIST = {
"/login",
"/logout",
"/captcha",
"/favicon.ico",
};
protected void configure(HttpSecurity http) throws Exception {
http.cors().and().csrf().disable()
// 登錄配置
.formLogin()
.successHandler(loginSuccessHandler)
.failureHandler(loginFailureHandler)
.and()
.logout()
.logoutSuccessHandler(jwtLogoutSuccessHandler)
// 禁用session
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
// 配置攔截規則
.and()
.authorizeRequests()
.antMatchers(URL_WHITELIST).permitAll()
.anyRequest().authenticated()
// 異常處理器
.and()
.exceptionHandling()
.authenticationEntryPoint(jwtAuthenticationEntryPoint)
.accessDeniedHandler(jwtAccessDeniedHandler)
// 配置自定義的過濾器
.and()
.addFilter(jwtAuthenticationFilter())
.addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)
;
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailService);
}
}
2. 不是登錄請求
- 通過JwtfFilter來查看是否為登錄狀態
使用Redis整合時的註意事項
本質上還是編寫過濾器鏈:
- 在登錄請求前添加過濾器
- 註意驗證碼存儲在redis的失效時間,如果超過失效時間將會被驗證碼攔截器攔截下來
- 需要準備一個生成驗證碼的接口,存儲在Redis中
- 使用完驗證碼需要將其刪除
// 校驗驗證碼邏輯
private void validate(HttpServletRequest httpServletRequest) {
String code = httpServletRequest.getParameter("code");
String key = httpServletRequest.getParameter("token");
if (StringUtils.isBlank(code) || StringUtils.isBlank(key)) {
System.out.println("驗證碼校驗失敗2");
throw new CaptchaException("驗證碼錯誤");
}
System.out.println("驗證碼:"+redisUtil.hget(Const.CAPTCHA_KEY, key));
if (!code.equals(redisUtil.hget(Const.CAPTCHA_KEY, key))) {
System.out.println("驗證碼校驗失敗3");
throw new CaptchaException("驗證碼錯誤");
}
// 一次性使用
redisUtil.hdel(Const.CAPTCHA_KEY, key);
}
到此這篇關於SpringSecurity+Redis認證過程總結的文章就介紹到這瞭,更多相關SpringSecurity Redis認證內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!
推薦閱讀:
- SpringSecurity從數據庫中獲取用戶信息進行驗證的案例詳解
- 淺談SpringSecurity基本原理
- 關於SpringSecurity配置403權限訪問頁面的完整代碼
- java SpringSecurity使用詳解
- springSecurity實現簡單的登錄功能