小二是新來的實習生,作為技術 leader,我還是很負責任的,有什么鍋都想甩給他,啊,不,一不小心怎么把心里話全說出來了呢?重來!
小二是新來的實習生,作為技術 leader,我還是很負責任的,有什么好事都想著他,這不,我就安排了一個整合SpringSecurity+JWT實作登錄認證的小任務交,沒想到,他僅用四步就搞定了,這讓我感覺倍有面,
一、關于 SpringSecurity
在 Spring Boot 出現之前,SpringSecurity 的使用場景是被另外一個安全管理框架 Shiro 牢牢霸占的,因為相對于 SpringSecurity 來說,SSM 中整合 Shiro 更加輕量級,Spring Boot 出現后,使這一情況情況大有改觀,正應了那句古話:一人得道雞犬升天,雖然有點不大合適,就將就著用吧,
這是因為 Spring Boot 為 SpringSecurity 提供了自動化配置,大大降低了 SpringSecurity 的學習成本,另外,SpringSecurity 的功能也比 Shiro 更加強大,
二、關于 JWT
JWT,是目前最流行的一個跨域認證解決方案:客戶端發起用戶登錄請求,服務器端接收并認證成功后,生成一個 JSON 物件(如下所示),然后將其回傳給客戶端,
從本質上來說,JWT 就像是一種生成加密用戶身份資訊的 Token,更安全也更靈活,
三、整合步驟
第一步,給需要登錄認證的模塊添加 codingmore-security 依賴:
<dependency>
<groupId>top.codingmore</groupId>
<artifactId>codingmore-security</artifactId>
<version>1.0-SNAPSHOT</version>
</dependency>
比如說 codingmore-admin 后端管理模塊需要登錄認證,就在 codingmore-admin/pom.xml 檔案中添加 codingmore-security 依賴,
第二步,在需要登錄認證的模塊里添加 CodingmoreSecurityConfig 類,繼承自 codingmore-security 模塊中的 SecurityConfig 類,
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class CodingmoreSecurityConfig extends SecurityConfig {
@Autowired
private IUsersService usersService;
@Bean
public UserDetailsService userDetailsService() {
//獲取登錄用戶資訊
return username -> usersService.loadUserByUsername(username);
}
}
UserDetailsService 這個類主要是用來加載用戶資訊的,包括用戶名、密碼、權限、角色集合....其中有一個方法如下:
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
認證邏輯中,SpringSecurity 會呼叫這個方法根據客戶端傳入的用戶名加載該用戶的詳細資訊,包括判斷:
- 密碼是否一致
- 通過后獲取權限和角色
public UserDetails loadUserByUsername(String username) {
// 根據用戶名查詢用戶
Users admin = getAdminByUsername(username);
if (admin != null) {
List<Resource> resourceList = getResourceList(admin.getId());
return new AdminUserDetails(admin,resourceList);
}
throw new UsernameNotFoundException("用戶名或密碼錯誤");
}
getAdminByUsername 負責根據用戶名從資料庫中查詢出密碼、角色、權限等,
public Users getAdminByUsername(String username) {
QueryWrapper<Users> queryWrapper = new QueryWrapper<>();
queryWrapper.eq("user_login", username);
List<Users> usersList = baseMapper.selectList(queryWrapper);
if (usersList != null && usersList.size() > 0) {
return usersList.get(0);
}
// 用戶名錯誤,提前拋出例外
throw new UsernameNotFoundException("用戶名錯誤");
}
第三步,在 application.yml 中配置下不需要安全保護的資源路徑:
secure:
ignored:
urls: #安全路徑白名單
- /doc.html
- /swagger-ui/**
- /swagger/**
- /swagger-resources/**
- /**/v3/api-docs
- /**/*.js
- /**/*.css
- /**/*.png
- /**/*.ico
- /webjars/springfox-swagger-ui/**
- /actuator/**
- /druid/**
- /users/login
- /users/register
- /users/info
- /users/logout
第四步,在登錄介面中添加登錄和重繪 token 的方法:
@Controller
@Api(tags = "用戶")
@RequestMapping("/users")
public class UsersController {
@Autowired
private IUsersService usersService;
@Value("${jwt.tokenHeader}")
private String tokenHeader;
@Value("${jwt.tokenHead}")
private String tokenHead;
@ApiOperation(value = "https://www.cnblogs.com/qing-gee/archive/2022/04/07/登錄以后回傳token")
@RequestMapping(value = "https://www.cnblogs.com/login", method = RequestMethod.POST)
@ResponseBody
public ResultObject login(@Validated UsersLoginParam users, BindingResult result) {
String token = usersService.login(users.getUserLogin(), users.getUserPass());
if (token == null) {
return ResultObject.validateFailed("用戶名或密碼錯誤");
}
// 將 JWT 傳遞回客戶端
Map<String, String> tokenMap = new HashMap<>();
tokenMap.put("token", token);
tokenMap.put("tokenHead", tokenHead);
return ResultObject.success(tokenMap);
}
@ApiOperation(value = "https://www.cnblogs.com/qing-gee/archive/2022/04/07/重繪token")
@RequestMapping(value = "https://www.cnblogs.com/refreshToken", method = RequestMethod.GET)
@ResponseBody
public ResultObject refreshToken(HttpServletRequest request) {
String token = request.getHeader(tokenHeader);
String refreshToken = usersService.refreshToken(token);
if (refreshToken == null) {
return ResultObject.failed("token已經過期!");
}
Map<String, String> tokenMap = new HashMap<>();
tokenMap.put("token", refreshToken);
tokenMap.put("tokenHead", tokenHead);
return ResultObject.success(tokenMap);
}
}
使用 Apipost 來測驗一下,首先是文章獲取介面,在沒有登錄的情況下會提示暫未登錄或者 token 已過期,
四、實作原理
小二之所以能僅用四步就實作了登錄認證,主要是因為他將 SpringSecurity+JWT 的代碼封裝成了通用模塊,我們來看看 codingmore-security 的目錄結構,
codingmore-security
├── component
| ├── JwtAuthenticationTokenFilter -- JWT登錄授權過濾器
| ├── RestAuthenticationEntryPoint
| └── RestfulAccessDeniedHandler
├── config
| ├── IgnoreUrlsConfig
| └── SecurityConfig
└── util
└── JwtTokenUtil -- JWT的token處理工具類
JwtAuthenticationTokenFilter 和 JwtTokenUtil 在講 JWT 的時候已經詳細地講過了,這里再簡單補充一點,
客戶端的請求頭里攜帶了 token,服務端肯定是需要針對每次請求決議校驗 token 的,所以必須得定義一個過濾器,也就是 JwtAuthenticationTokenFilter:
- 從請求頭中獲取 token
- 對 token 進行決議、驗簽、校驗過期時間
- 校驗成功,將驗證結果放到 ThreadLocal 中,供下次請求使用
重點來看其他四個類,第一個 RestAuthenticationEntryPoint(自定義回傳結果:未登錄或登錄過期):
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Cache-Control","no-cache");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json");
response.getWriter().println(JSONUtil.parse(ResultObject.unauthorized(authException.getMessage())));
response.getWriter().flush();
}
}
可以通過 debug 的方式看一下回傳的資訊正是之前用戶未登錄狀態下訪問文章頁的錯誤資訊,
具體的資訊是在 ResultCode 類中定義的,
public enum ResultCode implements IErrorCode {
SUCCESS(0, "操作成功"),
FAILED(500, "操作失敗"),
VALIDATE_FAILED(506, "引數檢驗失敗"),
UNAUTHORIZED(401, "暫未登錄或token已經過期"),
FORBIDDEN(403, "沒有相關權限");
private long code;
private String message;
private ResultCode(long code, String message) {
this.code = code;
this.message = message;
}
}
第二個 RestfulAccessDeniedHandler(自定義回傳結果:沒有權限訪問時):
public class RestfulAccessDeniedHandler implements AccessDeniedHandler{
@Override
public void handle(HttpServletRequest request,
HttpServletResponse response,
AccessDeniedException e) throws IOException, ServletException {
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Cache-Control","no-cache");
response.setCharacterEncoding("UTF-8");
response.setContentType("application/json");
response.getWriter().println(JSONUtil.parse(ResultObject.forbidden(e.getMessage())));
response.getWriter().flush();
}
}
第三個IgnoreUrlsConfig(用于配置不需要安全保護的資源路徑):
@Getter
@Setter
@ConfigurationProperties(prefix = "secure.ignored")
public class IgnoreUrlsConfig {
private List<String> urls = new ArrayList<>();
}
通過 lombok 注解的方式直接將組態檔中不需要權限校驗的路徑放開,比如說 Knife4j 的介面檔案頁面,如果不放開的話,就被 SpringSecurity 攔截了,沒辦法訪問到了,
第四個SecurityConfig(SpringSecurity通用配置):
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired(required = false)
private DynamicSecurityService dynamicSecurityService;
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity
.authorizeRequests();
//不需要保護的資源路徑允許訪問
for (String url : ignoreUrlsConfig().getUrls()) {
registry.antMatchers(url).permitAll();
}
// 任何請求需要身份認證
registry.and()
.authorizeRequests()
.anyRequest()
.authenticated()
// 關閉跨站請求防護及不使用session
.and()
.csrf()
.disable()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
// 自定義權限拒絕處理類
.and()
.exceptionHandling()
.accessDeniedHandler(restfulAccessDeniedHandler())
.authenticationEntryPoint(restAuthenticationEntryPoint())
// 自定義權限攔截器JWT過濾器
.and()
.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
//有動態權限配置時添加動態權限校驗過濾器
if(dynamicSecurityService!=null){
registry.and().addFilterBefore(dynamicSecurityFilter(), FilterSecurityInterceptor.class);
}
}
}
這個類的主要作用就是告訴 SpringSecurity 那些路徑不需要攔截,除此之外的,都要進行 RestfulAccessDeniedHandler(登錄校驗)、RestAuthenticationEntryPoint(權限校驗)和 JwtAuthenticationTokenFilter(JWT 過濾),
并且將 JwtAuthenticationTokenFilter 過濾器添加到 UsernamePasswordAuthenticationFilter 過濾器之前,
五、測驗
第一步,測驗登錄介面,Apipost 直接訪問 http://localhost:9002/users/login,可以看到 token 正常回傳,
第二步,不帶 token 直接訪問文章介面,可以看到進入了 RestAuthenticationEntryPoint 這個處理器:
第三步,攜帶 token,這次我們改用 Knife4j 來測驗,發現可以正常訪問:
原始碼鏈接:
https://github.com/itwanger/coding-more
本篇已收錄至 GitHub 上星標 1.9k+ star 的開源專欄《Java 程式員進階之路》,據說每一個優秀的 Java 程式員都喜歡她,風趣幽默、通俗易懂,內容包括 Java 基礎、Java 并發編程、Java 虛擬機、Java 企業級開發、Java 面試等核心知識點,學 Java,就認準 Java 程式員進階之路??,
https://github.com/itwanger/toBeBetterJavaer
star 了這個倉庫就等于你擁有了成為了一名優秀 Java 工程師的潛力,也可以戳下面的鏈接跳轉到《Java 程式員進階之路》的官網網址,開始愉快的學習之旅吧,
https://tobebetterjavaer.com/
沒有什么使我停留——除了目的,縱然岸旁有玫瑰、有綠蔭、有寧靜的港灣,我是不系之舟,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/457539.html
標籤:其他
下一篇:【Python】破解摩斯密碼