ToB企服应用市场:ToB评测及商务社交产业平台

标题: 3.SpringSecurity+登录功能+jwt校验过滤器+redis配置 [打印本页]

---

作者: 尚未崩坏    时间: 2023-2-7 16:54
标题: 3.SpringSecurity+登录功能+jwt校验过滤器+redis配置
SpringSecurity+登录功能+jwt校验过滤器+redis配置

一、思路分析

1.登录

1. ①自定义登录接口  
3.                         调用ProviderManager的方法进行认证 如果认证通过生成jwt
5.                         把用户信息存入redis中
7. ②自定义UserDetailsService
9.                         在这个实现类中去查询数据库
11. 注意配置passwordEncoder为BCryptPasswordEncoder

复制代码

2.校验：

1. ①定义Jwt认证过滤器
3.                         获取token
5.                         解析token获取其中的userid
7.                         从redis中获取用户信息
9.                         存入SecurityContextHolder

复制代码

二、登录接口代码实现（第一次登陆获取jwt）

1.业务代码

1.         @Autowired
2.     private AuthenticationManager authenticationManager;
4.     @Autowired
5.     private RedisCache redisCache;
7.         @Override
8.     public ResponseResult login(User user) {
9.         //1,使用springsecurity功能认证,把用户名密码存入令牌
10.         UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(),user.getPassword());
11.         //2.1,默认使用UserDetailService去内存中找user用户，需要定义Impl实现类来重写查询方法，改成从数据库查询
12.         //2.2,UserDetailServiceImpl从数据库查询出user返回到authenticate这里。具体查看a类
13.         Authentication authenticate = authenticationManager.authenticate(authenticationToken);
14.         //2.3，判断是否认证通过
15.         if(Objects.isNull(authenticate)){
16.             throw new RuntimeException("用户名或密码错误");
17.         }
18.         //3.1,获取userid 生成token
19.         LoginUser loginUser = (LoginUser) authenticate.getPrincipal();
20.         String userId = loginUser.getUser().getId().toString();
21.         //3.2,生成jwt
22.         String jwt = JwtUtil.createJWT(userId);
23.         //3.3,把用户信息存入redis
24.         redisCache.setCacheObject("bloglogin:"+userId,loginUser);
26.         //4.1,把token和userinfo封装 返回
27.         //4.2,把User转换成UserInfoVo
28.         UserInfoVo userInfoVo = BeanCopyUtils.copyBean(loginUser.getUser(), UserInfoVo.class);
29.         BlogUserLoginVo vo = new BlogUserLoginVo(jwt,userInfoVo);
30.         return ResponseResult.okResult(vo);
31.     }

复制代码

2.a类:UserDetailsServiceImpl

1. @Service
2. public class UserDetailsServiceImpl implements UserDetailsService {
4.     @Autowired
5.     private UserMapper userMapper;
7.     @Override
8.     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
9.         //根据用户名查询用户信息
10.         LambdaQueryWrapper<User> queryWrapper = new LambdaQueryWrapper<>();
11.         queryWrapper.eq(User::getUserName,username);
12.         User user = userMapper.selectOne(queryWrapper);
13.         //判断是否查到用户  如果没查到抛出异常
14.         if(Objects.isNull(user)){
15.             throw new RuntimeException("用户不存在");
16.         }
17.         //返回用户信息
18.         // TODO 查询权限信息封装
19.         return new LoginUser(user);
20.     }
21. }

复制代码

3.SecurityConfig配置类

1. @Configuration
2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
4.     @Bean
5.     public PasswordEncoder passwordEncoder(){
6.         return new BCryptPasswordEncoder();
7.     }
8.     @Override
9.     protected void configure(HttpSecurity http) throws Exception {
10.         http
11.                 //关闭csrf
12.                 .csrf().disable()
13.                 //不通过Session获取SecurityContext
14.                 .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
15.                 .and()
16.                 .authorizeRequests()
17.                 // 对于登录接口 允许匿名访问
18.                 .antMatchers("/login").anonymous()
19.                 // 除上面外的所有请求全部不需要认证即可访问
20.                 .anyRequest().permitAll();
23.         http.logout().disable();
24.         //允许跨域
25.         http.cors();
26.     }
27.     @Override
28.     @Bean
29.     public AuthenticationManager authenticationManagerBean() throws Exception {
30.         return super.authenticationManagerBean();
31.     }
32. }

复制代码

三、登录校验过滤器代码实现（校验jwt）

1.登录校验过滤器

1. @Component
2. public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
4.     @Autowired
5.     private RedisCache redisCache;
7.     @Override
8.     protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException, IOException, ServletException {
9.         //1,获取请求头中的token
10.         String token = request.getHeader("token");
11.         if(!StringUtils.hasText(token)){
12.             //说明该接口不需要登录直接放行，如果是第一次登陆的话跳转到登陆去获取token
13.             filterChain.doFilter(request, response);
14.             return;
15.         }
16.         //2,解析获取userid
17.         Claims claims = null;
18.         try {
19.             //String jwt = JwtUtil.createJWT(userId);jwt内容为id
20.             claims = JwtUtil.parseJWT(token);
21.         } catch (Exception e) {
22.             e.printStackTrace();
23.             //token超时  token非法
24.             //响应告诉前端需要重新登录
25.             ResponseResult result = ResponseResult.errorResult(AppHttpCodeEnum.NEED_LOGIN);
26.             WebUtils.renderString(response, JSON.toJSONString(result));
27.             return;
28.         }
29.         String userId = claims.getSubject();
30.         //3,从redis中获取用户信息
31.         LoginUser loginUser = redisCache.getCacheObject("bloglogin:" + userId);
32.         //如果获取不到
33.         if(Objects.isNull(loginUser)){
34.             //说明登录过期  提示重新登录
35.             ResponseResult result = ResponseResult.errorResult(AppHttpCodeEnum.NEED_LOGIN);
36.             WebUtils.renderString(response, JSON.toJSONString(result));
37.             return;
38.         }
39.         //4,存入SecurityContextHolder
40.         UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser,null,null);
41.         //UPToken令牌存入Security上下文的设置身份验证属性中，后面过滤器会从Security上下文这里获取用户信息
42.         SecurityContextHolder.getContext().setAuthentication(authenticationToken);
44.         filterChain.doFilter(request, response);
45.     }
48. }

复制代码

2.登录校验过滤器加入到过滤器组中

1. @Configuration
2. public class SecurityConfig extends WebSecurityConfigurerAdapter {
4.     @Override
5.     @Bean
6.     public AuthenticationManager authenticationManagerBean() throws Exception {
7.         return super.authenticationManagerBean();
8.     }
9.         //1,注入登录校验过滤器
10.     @Autowired
11.     private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
13.     @Override
14.     protected void configure(HttpSecurity http) throws Exception {
15.         http
16.                 //关闭csrf
17.                 .csrf().disable()
18.                 //不通过Session获取SecurityContext
19.                 .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
20.                 .and()
21.                 .authorizeRequests()
22.                 // 对于登录接口 允许匿名访问
23.                 .antMatchers("/login").anonymous()
24.                 //jwt过滤器测试用，如果测试没有问题吧这里删除了
25.                 .antMatchers("/link/getAllLink").authenticated()
26.                 // 除上面外的所有请求全部不需要认证即可访问
27.                 .anyRequest().permitAll();
30.         http.logout().disable();
31.         //***2，把jwtAuthenticationTokenFilter添加到SpringSecurity的过滤器链中
32.         http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
33.         //允许跨域
34.         http.cors();
35.     }
37.     @Bean
38.     public PasswordEncoder passwordEncoder(){
39.         return new BCryptPasswordEncoder();
40.     }
41. }

复制代码

*** Redis使用FastJson序列化

[code]package com.lwq.config;import com.alibaba.fastjson.JSON;import com.alibaba.fastjson.serializer.SerializerFeature;import com.fasterxml.jackson.databind.JavaType;import com.fasterxml.jackson.databind.ObjectMapper;import com.fasterxml.jackson.databind.type.TypeFactory;import org.springframework.data.redis.serializer.RedisSerializer;import org.springframework.data.redis.serializer.SerializationException;import com.alibaba.fastjson.parser.ParserConfig;import org.springframework.util.Assert;import java.nio.charset.Charset;/** * Redis使用FastJson序列化 *  * @author sg */public class FastJsonRedisSerializer implements RedisSerializer{    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");    private Class clazz;    static    {        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);    }    public FastJsonRedisSerializer(Class clazz)    {        super();        this.clazz = clazz;    }    @Override    public byte[] serialize(T t) throws SerializationException    {        if (t == null)        {            return new byte[0];        }        return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);    }    @Override    public T deserialize(byte[] bytes) throws SerializationException    {        if (bytes == null || bytes.length

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4