SpringBoot3安全管理

西河刘卡车医  金牌会员 | 2023-8-14 11:11:33 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 939|帖子 939|积分 2817

目录

标签:Security.登录.权限;
一、简介

SpringSecurity组件可以为服务提供安全管理的能力,比如身份验证、授权和针对常见攻击的保护,是保护基于spring应用程序的事实上的标准;
在实际开发中,最常用的是登录验证和权限体系两大功能,在登录时完成身份的验证,加载相关信息和角色权限,在访问其他系统资源时,进行权限的验证,保护系统的安全;
二、工程搭建

1、工程结构


2、依赖管理

在starter-security依赖中,实际上是依赖spring-security组件的6.1.1版本,对于该框架的使用,主要是通过自定义配置类进行控制;
  1. <dependency>
  2.     <groupId>org.springframework.boot</groupId>
  3.     <artifactId>spring-boot-starter-security</artifactId>
  4.     <version>${spring-boot.version}</version>
  5. </dependency>
复制代码
三、配置管理

1、核心配置类

在该类中涉及到的配置非常多,主要是服务的拦截控制,身份认证的处理流程以及过滤器等,很多自定义的处理类通过该配置进行加载;
  1. @EnableWebSecurity
  2. @EnableMethodSecurity
  3. @Configuration
  4. public class SecurityConfig {
  6.     /**
  7.      * 基础配置
  8.      */
  9.     @Bean
  10.     public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
  11.         // 配置拦截规则
  12.         httpSecurity.authorizeHttpRequests(authorizeHttpRequests->{
  13.             authorizeHttpRequests
  14.                     .requestMatchers(WhiteConfig.whiteList()).permitAll()
  15.                     .anyRequest().authenticated();
  16.         });
  17.         // 禁用默认的登录和退出
  18.         httpSecurity.formLogin(AbstractHttpConfigurer::disable);
  19.         httpSecurity.logout(AbstractHttpConfigurer::disable);
  20.         httpSecurity.csrf(AbstractHttpConfigurer::disable);
  22.         // 异常时认证处理流程
  23.         httpSecurity.exceptionHandling(exeConfig -> {
  24.             exeConfig.authenticationEntryPoint(authenticationEntryPoint());
  25.         });
  27.         // 添加过滤器
  28.         httpSecurity.addFilterAt(authTokenFilter(),CsrfFilter.class);
  29.         return httpSecurity.build() ;
  30.     }
  32.     @Bean
  33.     public BCryptPasswordEncoder passwordEncoder(){
  34.         return new BCryptPasswordEncoder();
  35.     }
  37.     @Bean
  38.     public AuthenticationEntryPoint authenticationEntryPoint() {
  39.         return new AuthExeHandler();
  40.     }
  42.     @Bean
  43.     public OncePerRequestFilter authTokenFilter () {
  44.         return new AuthTokenFilter();
  45.     }
  47.     /**
  48.      * 认证管理
  49.      */
  50.     @Bean
  51.     public AuthenticationManager authenticationManager() {
  52.         return new ProviderManager(authenticationProvider()) ;
  53.     }
  55.     /**
  56.      * 自定义用户认证流
  57.      */
  58.     @Bean
  59.     public AbstractUserDetailsAuthenticationProvider authenticationProvider() {
  60.         return new AuthProvider() ;
  61.     }
  62. }
复制代码
2、认证数据源

UserDetailsService是加载用户特定数据的核心接口,编写用户服务类并实现该接口,提供用户信息和权限体系的数据查询和加载,作为用户身份识别的关键凭据;
  1. @Service
  2. public class UserService implements UserDetailsService {
  4.     @Resource
  5.     private UserBaseMapper userBaseMapper;
  6.     @Resource
  7.     private BCryptPasswordEncoder passwordEncoder;
  9.     @Override
  10.     public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
  11.         UserBase queryUser = geyByUserName(userName);
  12.         if (Objects.isNull(queryUser)){
  13.             throw new AuthException("该用户不存在");
  14.         }
  15.         List<GrantedAuthority> grantedAuthorityList = new ArrayList<>() ;
  16.         grantedAuthorityList.add(new SimpleGrantedAuthority(queryUser.getUserRole())) ;
  17.         return new User(queryUser.getUserName(),queryUser.getPassWord(),grantedAuthorityList);
  18.     }
  20.     public int register (UserBase userBase){
  21.         if (!Objects.isNull(userBase)){
  22.             userBase.setPassWord(passwordEncoder.encode(userBase.getPassWord()));
  23.             userBase.setCreateTime(new Date()) ;
  24.             return userBaseMapper.insert(userBase) ;
  25.         }
  26.         return 0 ;
  27.     }
  29.     public UserBase getById (Integer id){
  30.         return userBaseMapper.selectById(id) ;
  31.     }
  33.     public UserBase geyByUserName (String userName){
  34.         List<UserBase> userBaseList = new LambdaQueryChainWrapper<>(userBaseMapper)
  35.                 .eq(UserBase::getUserName,userName).last("limit 1").list();
  36.         if (userBaseList.size() > 0){
  37.             return userBaseList.get(0) ;
  38.         }
  39.         return null ;
  40.     }
  41. }
复制代码
3、认证流程

自定义用户名和密码的身份令牌认证逻辑,基于用户名Username从上面的用户服务类中加载数据并校验,在验证成功后将用户的身份令牌返回给调用者;
  1. @Component
  2. public class AuthProvider extends AbstractUserDetailsAuthenticationProvider {
  3.     private static final Logger log = LoggerFactory.getLogger(AuthProvider.class);
  4.    
  5.     @Resource
  6.     private UserService userService;
  7.     @Resource
  8.     private BCryptPasswordEncoder passwordEncoder;
  10.     @Override
  11.     protected void additionalAuthenticationChecks(
  12.             UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)
  13.             throws AuthenticationException {
  14.         User user = (User) userDetails;
  15.         String loginPassword = authentication.getCredentials().toString();
  16.         log.info("user:{},loginPassword:{}",user.getPassword(),loginPassword);
  17.         if (!passwordEncoder.matches(loginPassword, user.getPassword())) {
  18.             throw new AuthException("账号或密码错误");
  19.         }
  20.         authentication.setDetails(user);
  21.     }
  22.     @Override
  23.     protected UserDetails retrieveUser(
  24.             String username, UsernamePasswordAuthenticationToken authentication)
  25.             throws AuthenticationException {
  26.         log.info("username:{}",username);
  27.         return userService.loadUserByUsername(username);
  28.     }
  29. }
复制代码
4、身份过滤器

通过继承OncePerRequestFilter抽象类,实现用户身份的过滤器,如果不是白名单请求,需要验证令牌是否正确有效,SecurityContextHolder默认状态下使用ThreadLocal存储信息;
  1. @Component
  2. public class AuthTokenFilter extends OncePerRequestFilter {
  3.     @Resource
  4.     private AuthTokenService authTokenService ;
  5.     @Resource
  6.     private AuthExeHandler authExeHandler ;
  8.     @Override
  9.     protected void doFilterInternal(@Nonnull HttpServletRequest request,
  10.                                     @Nonnull HttpServletResponse response,
  11.                                     @Nonnull FilterChain filterChain) throws ServletException, IOException {
  12.         String uri = request.getRequestURI();
  13.         if (Arrays.asList(WhiteConfig.whiteList()).contains(uri)){
  14.             // 如果是白名单直接放行
  15.             filterChain.doFilter(request,response);
  16.         } else {
  17.             String token = request.getHeader("Auth-Token");
  18.             if (Objects.isNull(token) || token.isEmpty()){
  19.                 // Token不存在,拦截返回
  20.                 authExeHandler.commence(request,response,null);
  21.             } else {
  22.                 Object object = authTokenService.getToken(token);
  23.                 if (!Objects.isNull(object) && object instanceof User user){
  24.                     UsernamePasswordAuthenticationToken authentication =
  25.                             new UsernamePasswordAuthenticationToken(user, null,user.getAuthorities());
  26.                     SecurityContextHolder.getContext().setAuthentication(authentication);
  27.                     filterChain.doFilter(request,response);
  28.                 } else {
  29.                     // Token验证失败,拦截返回
  30.                     authExeHandler.commence(request,response,null);
  31.                 }
  32.             }
  33.         }
  34.     }
  35. }
复制代码
四、核心功能

1、登录退出

自定义登录退出两个接口,基于用户名和密码执行上述的身份认证流程,如果认证成功则返回用户的身份令牌,在请求「非」白名单接口时需要在请求头中Auth-Token:token携带该令牌,在退出时会清除身份信息;
  1. @Service
  2. public class LoginService {
  4.     private static final Logger log = LoggerFactory.getLogger(LoginService.class);
  6.     @Resource
  7.     private AuthTokenService authTokenService ;
  8.     @Resource
  9.     private AuthenticationManager authenticationManager;
  11.     public String doLogin (UserBase userBase){
  12.         AbstractAuthenticationToken authToken = new UsernamePasswordAuthenticationToken(
  13.                 userBase.getUserName().trim(), userBase.getPassWord().trim());
  14.         Authentication authentication = authenticationManager.authenticate(authToken) ;
  15.         User user = (User) authentication.getDetails();
  16.         return authTokenService.createToken(user) ;
  17.     }
  19.     public Boolean doLogout (String authToken){
  20.         SecurityContextHolder.clearContext();
  21.         return authTokenService.deleteToken(authToken) ;
  22.     }
  23. }
  25. @Service
  26. public class AuthTokenService {
  28.     private static final Logger log = LoggerFactory.getLogger(AuthTokenService.class);
  29.     @Resource
  30.     private RedisTemplate<String,Object> redisTemplate ;
  32.     public String createToken (User user){
  33.         String userName = user.getUsername();
  34.         String token = DigestUtils.md5DigestAsHex(userName.getBytes());
  35.         log.info("user-name:{},create-token:{}",userName,token);
  36.         redisTemplate.opsForValue().set(token,user,10, TimeUnit.MINUTES);
  37.         return token ;
  38.     }
  40.     public Object getToken (String token){
  41.         return redisTemplate.opsForValue().get(token);
  42.     }
  44.     public Boolean deleteToken (String token){
  45.         return redisTemplate.delete(token);
  46.     }
  47. }
复制代码
2、权限校验

UserWeb类中提供用户的注册接口,在用户表中创建两个测试用户:admin对应ROLE_Admin角色,user对应ROLE_User角色,验证如下几个接口的权限控制;
select接口不需要鉴权,拦截器放行即可访问;getUser接口校验ROLE_User角色;getAdmin接口校验ROLE_Admin角色;query接口校验两个角色中的任意一个即可;
两个不同用户登录获取到各自的身份令牌,使用不同的令牌请求接口,在PreAuthorize验证通过后才可以正常访问;
  1. @RestController
  2. public class UserWeb {
  4.     @Resource
  5.     private UserService userService ;
  7.     @PostMapping("/register")
  8.     public String register (@RequestBody UserBase userBase){
  9.         return "register-"+userService.register(userBase) ;
  10.     }
  12.     @GetMapping("/select/{id}")
  13.     public UserBase select (@PathVariable Integer id){
  14.         return userService.getById(id) ;
  15.     }
  17.     @PreAuthorize("hasRole('User')")
  18.     @GetMapping("/user/{id}")
  19.     public UserBase getUser (@PathVariable Integer id){
  20.         return userService.getById(id) ;
  21.     }
  23.     @PreAuthorize("hasRole('Admin')")
  24.     @GetMapping("/admin/{id}")
  25.     public UserBase getAdmin (@PathVariable Integer id){
  26.         return userService.getById(id) ;
  27.     }
  29.     @PreAuthorize("hasAnyRole('User','Admin')")
  30.     @GetMapping("/query/{id}")
  31.     public UserBase query (@PathVariable Integer id){
  32.         return userService.getById(id) ;
  33.     }
  34. }
复制代码
五、参考源码
  1. 文档仓库:
  2. https://gitee.com/cicadasmile/butte-java-note
  4. 源码仓库:
  5. https://gitee.com/cicadasmile/butte-spring-parent
复制代码
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

西河刘卡车医

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表