在线演示

演示地址:http://139.196.87.48:9002/kitty

用户名:admin 密码:admin

技术背景

到目前为止,我们使用的权限认证框架是 Shiro,虽然 Shiro 也足够好用并且简单,但对于 Spring 官方主推的安全框架 Spring Security,用户群也是甚大的,所以我们这里把当前的代码切分出一个 shiro-cloud 分支,作为 Shiro + Spring Cloud 技术的分支代码,dev 和 master 分支将替换为 Spring Security + Spring Cloud 的技术栈,并在后续计划中集成 Spring Security OAuth2 实现单点登录功能。

代码实现

Maven依赖

移除shiro依赖,添加Spring Scurity和JWT依赖包,jwt目前的最新版本是0.9.1。

<!-- spring security -->

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

<!-- jwt -->

<dependency>

    <groupId>io.jsonwebtoken</groupId>

    <artifactId>jjwt</artifactId>

    <version>${jwt.version}</version>

</dependency>

权限注解

替换Shiro的权限注解为Spring Security的权限注解。

格式如下:

@PreAuthorize("hasAuthority('sys:menu:view')")

SysMenuController.java

package com.louis.kitty.admin.controller;

import java.util.List;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.access.prepost.PreAuthorize;

import org.springframework.web.bind.annotation.GetMapping;

import org.springframework.web.bind.annotation.PostMapping;

import org.springframework.web.bind.annotation.RequestBody;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.RequestParam;

import org.springframework.web.bind.annotation.RestController;

import com.louis.kitty.admin.model.SysMenu;

import com.louis.kitty.admin.sevice.SysMenuService;

import com.louis.kitty.core.http.HttpResult;

/**

 * 菜单控制器

 * @author Louis

 * @date Oct 29, 2018

 */

@RestController

@RequestMapping("menu")

public class SysMenuController {

    @Autowired

    private SysMenuService sysMenuService;

    @PreAuthorize("hasAuthority('sys:menu:add') AND hasAuthority('sys:menu:edit')")

    @PostMapping(value="/save")

    public HttpResult save(@RequestBody SysMenu record) {

        return HttpResult.ok(sysMenuService.save(record));

    }

    @PreAuthorize("hasAuthority('sys:menu:delete')")

    @PostMapping(value="/delete")

    public HttpResult delete(@RequestBody List<SysMenu> records) {

        return HttpResult.ok(sysMenuService.delete(records));

    }

    @PreAuthorize("hasAuthority('sys:menu:view')")

    @GetMapping(value="/findNavTree")

    public HttpResult findNavTree(@RequestParam String userName) {

        return HttpResult.ok(sysMenuService.findTree(userName, ));

    }

    @PreAuthorize("hasAuthority('sys:menu:view')")

    @GetMapping(value="/findMenuTree")

    public HttpResult findMenuTree() {

        return HttpResult.ok(sysMenuService.findTree(null, ));

    }

}

Spring Security注解默认是关闭的,可以通过在配置类添加以下注解开启。

@EnableGlobalMethodSecurity(prePostEnabled = true)

安全配置

添加安全配置类, 继承 WebSecurityConfigurerAdapter,配置URL验证策略和相关过滤器以及自定义的登录验证组件。

WebSecurityConfig.java

package com.louis.kitty.admin.config;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.http.HttpMethod;

import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import org.springframework.security.web.authentication.logout.HttpStatusReturningLogoutSuccessHandler;

import com.louis.kitty.admin.security.JwtAuthenticationFilter;

import com.louis.kitty.admin.security.JwtAuthenticationProvider;

/**

 * Spring Security Config

 * @author Louis

 * @date Nov 20, 2018

 */

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired

    private UserDetailsService userDetailsService;

    @Override

    public void configure(AuthenticationManagerBuilder auth) throws Exception {

        // 使用自定义身份验证组件

        auth.authenticationProvider(new JwtAuthenticationProvider(userDetailsService));

    }

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // 禁用 csrf, 由于使用的是JWT,我们这里不需要csrf

        http.cors().and().csrf().disable()

            .authorizeRequests()

            // 跨域预检请求

            .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()

            // web jars

            .antMatchers("/webjars/**").permitAll()

            // 查看SQL监控(druid)

            .antMatchers("/druid/**").permitAll()

            // 首页和登录页面

            .antMatchers("/").permitAll()

            .antMatchers("/login").permitAll()

            // swagger

            .antMatchers("/swagger-ui.html").permitAll()

            .antMatchers("/swagger-resources").permitAll()

            .antMatchers("/v2/api-docs").permitAll()

            .antMatchers("/webjars/springfox-swagger-ui/**").permitAll()

            // 验证码

            .antMatchers("/captcha.jpg**").permitAll()

            // 服务监控

            .antMatchers("/actuator/**").permitAll()

            // 其他所有请求需要身份认证

            .anyRequest().authenticated();

        // 退出登录处理器

        http.logout().logoutSuccessHandler(new HttpStatusReturningLogoutSuccessHandler());

        // 登录认证过滤器

        http.addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);

    }

    @Bean

    @Override

    public AuthenticationManager authenticationManager() throws Exception {

        return super.authenticationManager();

    }

}

登录验证组件

继承 DaoAuthenticationProvider, 实现自定义的登录验证组件,覆写密码验证逻辑。

JwtAuthenticationProvider.java

package com.louis.kitty.admin.security;

import org.springframework.security.authentication.BadCredentialsException;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.authentication.dao.DaoAuthenticationProvider;

import org.springframework.security.core.AuthenticationException;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import com.louis.kitty.admin.util.PasswordEncoder;

/**

 * 身份验证提供者

 * @author Louis

 * @date Nov 20, 2018

 */

public class JwtAuthenticationProvider extends DaoAuthenticationProvider {

    public JwtAuthenticationProvider(UserDetailsService userDetailsService) {

        setUserDetailsService(userDetailsService);

    }

    @Override

    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)

            throws AuthenticationException {

        if (authentication.getCredentials() == null) {

            logger.debug("Authentication failed: no credentials provided");

            throw new BadCredentialsException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));

        }

        String presentedPassword = authentication.getCredentials().toString();

        String salt = ((JwtUserDetails) userDetails).getSalt();

        // 覆写密码验证逻辑

        if (!new PasswordEncoder(salt).matches(userDetails.getPassword(), presentedPassword)) {

            logger.debug("Authentication failed: password does not match stored value");

            throw new BadCredentialsException(messages.getMessage("AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));

        }

    }

}

用户认证信息查询组件

实现 UserDetailsService 接口,定义用户认证信息查询组件,用于获取认证所需的用户信息和授权信息。

UserDetailsServiceImpl.java

package com.louis.kitty.admin.security;

import java.util.List;

import java.util.Set;

import java.util.stream.Collectors;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Service;

import com.louis.kitty.admin.model.SysUser;

import com.louis.kitty.admin.sevice.SysUserService;

/**

 * 用户登录认证信息查询

 * @author Louis

 * @date Nov 20, 2018

 */

@Service

public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired

    private SysUserService sysUserService;

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        SysUser user = sysUserService.findByName(username);

        if (user == null) {

            throw new UsernameNotFoundException("该用户不存在");

        }

        // 用户权限列表,根据用户拥有的权限标识与如 @PreAuthorize("hasAuthority('sys:menu:view')") 标注的接口对比,决定是否可以调用接口

        Set<String> permissions = sysUserService.findPermissions(user.getName());

        List<GrantedAuthority> grantedAuthorities = permissions.stream().map(GrantedAuthorityImpl::new).collect(Collectors.toList());

        return new JwtUserDetails(user.getName(), user.getPassword(), user.getSalt(), grantedAuthorities);

    }

}

用户认证信息封装

上面 UserDetailsService 查询的信息需要封装到实现 UserDetails 接口的封装对象里。

JwtUserDetails.java

package com.louis.kitty.admin.security;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import com.fasterxml.jackson.annotation.JsonIgnore;

/**

 * 安全用户模型

 * @author Louis

 * @date Nov 20, 2018

 */

public class JwtUserDetails implements UserDetails {

    private static final long serialVersionUID = 1L;

    private String username;

    private String password;

    private String salt;

    private Collection<? extends GrantedAuthority> authorities;

    JwtUserDetails(String username, String password, String salt, Collection<? extends GrantedAuthority> authorities) {

        this.username = username;

        this.password = password;

        this.salt = salt;

        this.authorities = authorities;

    }

    @Override

    public String getUsername() {

        return username;

    }

    @JsonIgnore

    @Override

    public String getPassword() {

        return password;

    }

    public String getSalt() {

        return salt;

    }

    @Override

    public Collection<? extends GrantedAuthority> getAuthorities() {

        return authorities;

    }

    @JsonIgnore

    @Override

    public boolean isAccountNonExpired() {

        return true;

    }

    @JsonIgnore

    @Override

    public boolean isAccountNonLocked() {

        return true;

    }

    @JsonIgnore

    @Override

    public boolean isCredentialsNonExpired() {

        return true;

    }

    @JsonIgnore

    @Override

    public boolean isEnabled() {

        return true;

    }

}

登录接口

因为我们没有使用内置的 formLogin 登录处理过滤器,所以需要调用登录认证流程,修改登录接口,加入系统登录认证调用。

SysLoginController.java

   /**

     * 登录接口

     */

    @PostMapping(value = "/login")

    public HttpResult login(@RequestBody LoginBean loginBean, HttpServletRequest request) throws IOException {

        String username = loginBean.getAccount();

        String password = loginBean.getPassword();

        String captcha = loginBean.getCaptcha();...
      // 系统登录认证

        JwtAuthenticatioToken token = SecurityUtils.login(request, username, password, authenticationManager);

        return HttpResult.ok(token);

    }

Spring Security 的登录认证过程是通过调用 AuthenticationManager 的 authenticate(token) 方法实现的。

登录流程中主要是返回一个认证好的 Authentication 对象,然后保存到上下文供后续进行授权的时候使用。

登录认证成功之后,会利用JWT生成 token 返回给客户端,后续的访问都需要携带此 token 来进行认证。

SecurityUtils.java

    /**

     * 系统登录认证

     * @param request

     * @param username

     * @param password

     * @param authenticationManager

     * @return

     */

    public static JwtAuthenticatioToken login(HttpServletRequest request, String username, String password, AuthenticationManager authenticationManager) {

        JwtAuthenticatioToken token = new JwtAuthenticatioToken(username, password);

        token.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

        // 执行登录认证过程

        Authentication authentication = authenticationManager.authenticate(token);

        // 认证成功存储认证信息到上下文

        SecurityContextHolder.getContext().setAuthentication(authentication);

        // 生成令牌并返回给客户端

        token.setToken(JwtTokenUtils.generateToken(authentication));

        return token;

    }

令牌生成器

令牌生成器主要是利用JWT生成所需的令牌,部分代码如下。

JwtTokenUtils.java

/**

 * JWT工具类

 * @author Louis

 * @date Nov 20, 2018

 */

public class JwtTokenUtils implements Serializable {

    /**

     * 生成令牌

     * @param userDetails 用户

     * @return 令牌

     */

    public static String generateToken(Authentication authentication) {

        Map<String, Object> claims = new HashMap<>(3);

        claims.put(USERNAME, SecurityUtils.getUsername(authentication));

        claims.put(CREATED, new Date());

        claims.put(AUTHORITIES, authentication.getAuthorities());

        return generateToken(claims);

    }

    /**

     * 从数据声明生成令牌

     * @param claims 数据声明

     * @return 令牌

     */

    private static String generateToken(Map<String, Object> claims) {

        Date expirationDate = new Date(System.currentTimeMillis() + EXPIRE_TIME);

        return Jwts.builder().setClaims(claims).setExpiration(expirationDate).signWith(SignatureAlgorithm.HS512, SECRET).compact();

    }

}

登录认证过滤器

登录认证过滤器继承 BasicAuthenticationFilter,在访问任何URL的时候会被此过滤器拦截,通过调用 SecurityUtils.checkAuthentication(request) 检查登录状态。

JwtAuthenticationFilter.java

package com.louis.kitty.admin.security;

import java.io.IOException;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.authentication.AuthenticationManager;

import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;

import com.louis.kitty.admin.util.SecurityUtils;

/**

 * 登录认证过滤器

 * @author Louis

 * @date Nov 20, 2018

 */

public class JwtAuthenticationFilter extends BasicAuthenticationFilter {

    @Autowired

    public JwtAuthenticationFilter(AuthenticationManager authenticationManager) {

        super(authenticationManager);

    }

    @Override

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {

        // 获取token, 并检查登录状态

        SecurityUtils.checkAuthentication(request);

        chain.doFilter(request, response);

    }

}

登录认证检查

登录验证检查是通过 SecurityUtils.checkAuthentication(request) 来完成的。

SecurityUtils.java

    /**

     * 获取令牌进行认证

     * @param request

     */

    public static void checkAuthentication(HttpServletRequest request) {

        // 获取令牌并根据令牌获取登录认证信息

        Authentication authentication = JwtTokenUtils.getAuthenticationeFromToken(request);

        // 设置登录认证信息到上下文

        SecurityContextHolder.getContext().setAuthentication(authentication);

    }

上面的登录验证是通过 JwtTokenUtils.getAuthenticationeFromToken(request),来验证令牌并返回登录信息的。

JwtTokenUtils.java

    /**

     * 根据请求令牌获取登录认证信息

     * @param token 令牌

     * @return 用户名

     */

    public static Authentication getAuthenticationeFromToken(HttpServletRequest request) {

        Authentication authentication = null;

        // 获取请求携带的令牌

        String token = JwtTokenUtils.getToken(request);

        if(token != null) {

            // 请求令牌不能为空

            if(SecurityUtils.getAuthentication() == null) {

                // 上下文中Authentication为空

                Claims claims = getClaimsFromToken(token);

                if(claims == null) {

                    return null;

                }

                String username = claims.getSubject();

                if(username == null) {

                    return null;

                }

                if(isTokenExpired(token)) {

                    return null;

                }

                Object authors = claims.get(AUTHORITIES);

                List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();

                if (authors != null && authors instanceof List) {

                    for (Object object : (List) authors) {

                        authorities.add(new GrantedAuthorityImpl((String) ((Map) object).get("authority")));

                    }

                }

                authentication = new JwtAuthenticatioToken(username, null, authorities, token);

            } else {

                if(validateToken(token, SecurityUtils.getUsername())) {

                    // 如果上下文中Authentication非空,且请求令牌合法,直接返回当前登录认证信息

                    authentication = SecurityUtils.getAuthentication();

                }

            }

        }

        return authentication;

    }

清除Shiro配置

清除掉 config 包下的 ShiroConfig 配置类。

清除 oautho2 包下有关 Shiro 的相关代码。

清除掉 sys_token 表和相关操作代码。

源码下载

后端:https://gitee.com/liuge1988/kitty

前端:https://gitee.com/liuge1988/kitty-ui.git

作者:朝雨忆轻尘
出处:https://www.cnblogs.com/xifengxiaoma/
版权所有,欢迎转载,转载请注明原文作者及出处。

Spring Boot + Spring Cloud 实现权限管理系统 后端篇(二十五):Spring Security 版本的更多相关文章

  1. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(十五):系统服务监控

    系统服务监控 新建监控工程 新建Spring Boot项目,取名 kitty-monitor,结构如下. 添加项目依赖 添加 spring boot admin 的相关依赖. pom.xml < ...

  2. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(十九):服务消费(Ribbon、Feign)

    技术背景 上一篇教程中,我们利用Consul注册中心,实现了服务的注册和发现功能,这一篇我们来聊聊服务的调用.单体应用中,代码可以直接依赖,在代码中直接调用即可,但在微服务架构是分布式架构,服务都运行 ...

  3. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(十八):注册中心(Spring Cloud Consul)

    什么是 Consul Consul 是 HashiCorp 公司推出的开源工具,用于实现分布式系统的服务发现与配置.与其它分布式服务注册与发现的方案,Consul 的方案更“一站式”,内置了服务注册与 ...

  4. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(十六):容器部署项目

    容器部署项目 这一章我们引入docker,采用docker容器的方式部署我们的项目. 首先需要有一个linux环境,并且安装 java 和 maven 以及 docker 环境,这个教程多如牛毛,不再 ...

  5. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(十四):项目打包部署

    项目打包部署 安装MySQL镜像 注意:如果使用docker镜像安装MySQL,也需要在前端部署主机安装MySQL,因为备份还原功能是使用MySQL的本地命令进行操作的. 下载镜像 执行以下命令,拉取 ...

  6. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(十二):解决跨域问题

    什么是跨域? 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源. 同源策略是浏览器安全的基石. 如果一个请求地址里面的协议.域名和端口号都相同,就属于同源. ...

  7. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(十):接口服务整理

    通用操作 通用操作是指一般的增删改查操作,逻辑大体都是一致的,所以统一抽象到CURD接口,需要用到CURD的表直接实现接口就可以了. 通用操作主要有以下几个: 保存操作 /** * 保存操作 * @p ...

  8. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(一):Kitty 系统介绍

    在线演示 演示地址:http://139.196.87.48:9002/kitty 用户名:admin 密码:admin 温馨提示: 有在演示环境删除数据的童鞋们,如果可以的话,麻烦动动小指,右键头像 ...

  9. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(二十三):配置中心(Config、Bus)

    在线演示 演示地址:http://139.196.87.48:9002/kitty 用户名:admin 密码:admin 技术背景 如今微服务架构盛行,在分布式系统中,项目日益庞大,子项目日益增多,每 ...

  10. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(二十):服务熔断(Hystrix、Turbine)

    在线演示 演示地址:http://139.196.87.48:9002/kitty 用户名:admin 密码:admin 雪崩效应 在微服务架构中,由于服务众多,通常会涉及多个服务层级的调用,而一旦基 ...

随机推荐

  1. php设计模式-工厂模式(一)

    <?php abstract class Creator{ /* startFactory 返回一个具体的产品 factoryMethod 返回对象 */ protected abstract ...

  2. 快速创建IIS站点并设置权限

     net user WebSiteUser WebSiteUserWebSiteUser /add /yWMIC Path Win32_UserAccount Where Name="Web ...

  3. 远程连接centos6.5

    安装上传下载工具: 直接yum -y install lrzsz 下载数据到本地下载目录:sz filename1 filename2 … 上传数据到远程:执行rz –be 命令,客户端会弹出上传窗口 ...

  4. springmvc为什么是线程不安全的

    1.因为springmvc默认是单例的,所以会有线程安全的问题,如果存在全局变量,因为全局变量是存在方法区的,而局部变量是放在栈中的,方法区是所有线程公用的,而每个线程都有属于自己的栈.所以如果使用单 ...

  5. SQL SERVER中LIKE在Char和nChar输出结果不一致解惑

    一同事在写脚本时,遇到一个关于LIKE里面使用不同的变量类型导致查询结果不一致的问题,因为这个问题被不同的人问过好几次,索性总结一下,免得每次都要解释一遍,直接丢一篇博客岂不是更方便!其实看似有点让人 ...

  6. html样式板

    一.bootstrap 二.element 三.iconfont图标 四.font awesome图标

  7. usb协议栈学习笔记

    1.usb 集线器为什么一般都是只有4个扩展口? PC的根集线器可为每个A型连接器提供5V.500mA电源.一个总线供电的外部集线器可为每个端口提供100mA电流.由于USB为为外部集线器电路分配10 ...

  8. PLL与PHY的连接:通道绑定或者不绑定

    用到的术语: clock skew的产生 延时与时钟线的长度及被时钟线驱动的时序单元的负载电容.个数有关 由于时钟线长度及负载不同,导致时钟信号到达相邻两个时序单元的时间不同 于是产生所谓的clock ...

  9. 删除sheet

    /// <summary> /// 删除sheet /// </summary> /// <param name="fileName">< ...

  10. MySQL insert语句锁分析

    最近对insert的锁操作比较费解,所以自己动手,一看究竟.主要是通过一下三个sql来看一下执行中的sql的到底使用了什么锁. select * from information_schema.INN ...