如果不是前后端分离项目,使用SpringSecurity做登录功能会很省心,只要简单的几项配置,便可以轻松完成登录成功失败的处理,当访问需要认证的页面时,可以自动重定向到登录页面。但是前后端分离的项目就不一样了,不能直接由后台处理,而是要向前端返回相应的json提示。

在本例的介绍中,主要解决了以下几个问题:

1.使用json格式数据进行登录。
2.登录成功或失败处理返回json提示。
3.未登录时访问需要认证的url时,返回json提示。
4.session过期时返回json提示。

一、引入security依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

</dependency>

二、编写配置文件

package com.hanstrovsky.config;

...

/**

 * @author Hanstrovsky

 */

@Configuration

@EnableWebSecurity

@EnableGlobalMethodSecurity(prePostEnabled = true) // security默认不支持注解的方式的权限控制,加上这个注解开启

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    private final MyUserDetailsService myUserDetailsService;

    private final MyPasswordEncoder myPasswordEncoder;

    public WebSecurityConfig(MyUserDetailsService myUserDetailsService, MyPasswordEncoder myPasswordEncoder) {

        this.myUserDetailsService = myUserDetailsService;

        this.myPasswordEncoder = myPasswordEncoder;

    }

    @Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        // 定义加密解密方式

        auth.userDetailsService(myUserDetailsService).passwordEncoder(myPasswordEncoder);

    }

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

                .csrf().disable()

           	    .httpBasic()

                // 访问需要认证的url,进行json提示

                .and().exceptionHandling()

                .authenticationEntryPoint((req, resp, e) -> {

                    resp.setContentType("application/json;charset=utf-8");

                    PrintWriter out = resp.getWriter();

                    FrontResult frontResult = FrontResult.init(FrontResult.LOGIN, "未登录或登录超时!");

                    out.write(new ObjectMapper().writeValueAsString(frontResult));

                    out.flush();

                    out.close();

                })

                .and()

                .authorizeRequests()

                .anyRequest().authenticated()// 必须认证之后才能访问

                .and()

                .formLogin()// 表单登录

                .permitAll() // 和表单登录相关的接口统统都直接通过

                .and()

                .logout().deleteCookies("JSESSIONID")// 注销登录,删除cookie

           // 自定义注销成功,返回json

                .logoutSuccessHandler(new LogoutSuccessHandler() {

                    @Override

                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {

                        resp.setContentType("application/json;charset=utf-8");

                        PrintWriter out = resp.getWriter();

                        FrontResult frontResult = FrontResult.init(FrontResult.SUCCEED, "注销成功!");

                        out.write(new ObjectMapper().writeValueAsString(frontResult));

                        out.flush();

                        out.close();

                    }

                })

                .and()

                // session 超时返回json提示

                .sessionManagement()

                .maximumSessions(5).maxSessionsPreventsLogin(true)// 同一用户最大同时在线数量5个,超出后阻止登录

            // session 超时返回json提示

                .expiredSessionStrategy(new SessionInformationExpiredStrategy() {

                    @Override

                    public void onExpiredSessionDetected(

                            SessionInformationExpiredEvent sessionInformationExpiredEvent) throws IOException, ServletException {

                        HttpServletResponse resp = sessionInformationExpiredEvent.getResponse();

                        // 返回提示

                        resp.setContentType("application/json;charset=utf-8");

                        PrintWriter out = resp.getWriter();

                        FrontResult frontResult = FrontResult.init(FrontResult.LOGIN, "登录超时!");

                        out.write(new ObjectMapper().writeValueAsString(frontResult));

                        out.flush();

                        out.close();

                    }

                });

        //用重写的Filter替换掉原有的UsernamePasswordAuthenticationFilter

        http.addFilterAt(customAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);}

    //注册自定义的UsernamePasswordAuthenticationFilter,使用json格式数据登录

    @Bean

    CustomAuthenticationFilter customAuthenticationFilter() throws Exception {

        CustomAuthenticationFilter filter = new CustomAuthenticationFilter();

        // 自定义登录成功或失败 返回json提示

        filter.setAuthenticationSuccessHandler((req, resp, authentication) -> {

            resp.setContentType("application/json;charset=utf-8");

            PrintWriter out = resp.getWriter();

            FrontResult frontResult = FrontResult.init(FrontResult.SUCCEED, "登录成功!");

            out.write(new ObjectMapper().writeValueAsString(frontResult));

            out.flush();

            out.close();

        });

        filter.setAuthenticationFailureHandler(new AuthenticationFailureHandler() {

            @Override

            public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp, AuthenticationException e) throws IOException, ServletException {

                resp.setContentType("application/json;charset=utf-8");

                PrintWriter out = resp.getWriter();

                String errorMessage = "登录失败";

                FrontResult frontResult = FrontResult.init(FrontResult.FAILED, errorMessage);

                out.write(new ObjectMapper().writeValueAsString(frontResult));

                out.flush();

                out.close();

            }

        });

        filter.setFilterProcessesUrl("/user/login");

        //重用WebSecurityConfigurerAdapter配置的AuthenticationManager,不然要自己组装AuthenticationManager

        filter.setAuthenticationManager(authenticationManagerBean());

        return filter;

    }

}

三、实现Json登录的处理逻辑

security默认提供了Basic和表单两种登录方式,不支持Json格式的数据,需要对处理登录的过滤器进行修改。这里,我们重写了UsernamePasswordAuthenticationFilter的attemptAuthentication方法。

package com.hanstrovsky.filter;

import com.fasterxml.jackson.databind.ObjectMapper;

import lombok.extern.slf4j.Slf4j;

import org.springframework.http.MediaType;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.AuthenticationException;

import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.InputStream;

import java.util.Map;

/**

 * 自定义过滤器,重写 attemptAuthentication方法,实现使用json格式的数据进行登录

 *

 * @author Hanstrovsky

 */

@Slf4j

public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    @Override

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

        if (request.getContentType().equals(MediaType.APPLICATION_JSON_UTF8_VALUE)

                || request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)) {

            ObjectMapper mapper = new ObjectMapper();

            UsernamePasswordAuthenticationToken authRequest = null;

            try (InputStream is = request.getInputStream()) {

                Map<String, String> authenticationBean = mapper.readValue(is, Map.class);

                String username = authenticationBean.get("username");

                String password = authenticationBean.get("password");

                authRequest = new UsernamePasswordAuthenticationToken(

                        username, password);

            } catch (IOException e) {

                e.printStackTrace();

                authRequest = new UsernamePasswordAuthenticationToken(

                        "", "");

            }

            setDetails(request, authRequest);

            return this.getAuthenticationManager().authenticate(authRequest);

        } else {

            // 保留原来的方法

            return super.attemptAuthentication(request, response);

        }

    }

}

四、实现UserDetailsService接口

这个接口是用来提供用户名和密码的,可以通过查询数据库获取用户。本例直接在代码中写死。

package com.hanstrovsky.service;

import com.hanstrovsky.entity.MyUserDetails;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Repository;

/**

 * @author Hanstrovsky

 */

@Repository

public class MyUserDetailsService implements UserDetailsService {

    @Override

    public UserDetails loadUserByUsername(final String username) throws UsernameNotFoundException {

        // 可以在此处自定义从数据库查询用户

        MyUserDetails myUserDetail = new MyUserDetails();

        myUserDetail.setUsername(username);

        myUserDetail.setPassword("123456");

        return myUserDetail;

    }

}

五、实现PasswordEncoder接口

自定义密码的加密方式。

package com.hanstrovsky.util;

import org.springframework.security.crypto.password.PasswordEncoder;

import org.springframework.stereotype.Component;

/**

 * 自定义的密码加密方法,实现了PasswordEncoder接口

 *

 * @author Hanstrovsky

 */

@Component

public class MyPasswordEncoder implements PasswordEncoder {

    @Override

    public String encode(CharSequence charSequence) {

        //加密方法可以根据自己的需要修改

        return charSequence.toString();

    }

    @Override

    public boolean matches(CharSequence charSequence, String s) {

        return encode(charSequence).equals(s);

    }

}

六、实现UserDetails接口

这个类是用来存储登录成功后的用户数据,security提供了直接获取用户信息的接口

package com.hanstrovsky.entity;

import lombok.Getter;

import lombok.Setter;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.stereotype.Component;

import java.util.Collection;

/**

 * 实现UserDetails,可自定义添加更多属性

 *

 * @author Hanstrovsky

 */

@Getter

@Setter

@Component

public class MyUserDetails implements UserDetails {

    //登录用户名

    private String username;

    //登录密码

    private String password;

    private Collection<? extends GrantedAuthority> authorities;

    @Override

    public Collection<? extends GrantedAuthority> getAuthorities() {

        return this.authorities;

    }

    private boolean accountNonExpired = true;

    private boolean accountNonLocked = true;

    private boolean credentialsNonExpired = true;

    private boolean enabled = true;

}

以上,便可以实现前后端分离项目基本的登录功能。

如何使用Spring Securiry实现前后端分离项目的登录功能的更多相关文章

  1. 喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  2. 两个开源的 Spring Boot + Vue 前后端分离项目

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  3. 基于spring security 实现前后端分离项目权限控制

    前后端分离的项目,前端有菜单(menu),后端有API(backendApi),一个menu对应的页面有N个API接口来支持,本文介绍如何基于spring security实现前后端的同步权限控制. ...

  4. Window下,前后端分离项目,登录权限验证中的,Redis相关操作

    [1]官网下载Redis(解压版) https://redis.io/download [2]切换到目录下打开DOS,执行指令启动Redis redis-server.exe redis.window ...

  5. 使用 Nginx 部署前后端分离项目,解决跨域问题

    前后端分离这个问题其实松哥和大家聊过很多了,上周松哥把自己的两个开源项目部署在服务器上以帮助大家可以快速在线预览(喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了 ...

  6. Springboot+vue前后端分离项目,poi导出excel提供用户下载的解决方案

    因为我们做的是前后端分离项目 无法采用response.write直接将文件流写出 我们采用阿里云oss 进行保存 再返回的结果对象里面保存我们的文件地址 废话不多说,上代码 Springboot 第 ...

  7. 《Spring Boot 入门及前后端分离项目实践》系列介绍

    课程计划 课程地址点这里 本课程是一个 Spring Boot 技术栈的实战类课程,课程共分为 3 个部分,前面两个部分为基础环境准备和相关概念介绍,第三个部分是 Spring Boot 项目实践开发 ...

  8. 《Spring Boot 入门及前后端分离项目实践》目录

    开篇词:SpringBoot入门及前后端分离项目实践导读 第02课:快速认识 Spring Boot 技术栈 第03课:开发环境搭建 第04课:快速构建 Spring Boot 应用 第05课:Spr ...

  9. Spring Boot + Vue 前后端分离开发,前端网络请求封装与配置

    前端网络访问,主流方案就是 Ajax,Vue 也不例外,在 Vue2.0 之前,网络访问较多的采用 vue-resources,Vue2.0 之后,官方不再建议使用 vue-resources ,这个 ...

随机推荐

  1. soap-ws获取ws中的所有的接口方法

    soap-ws获取wsdl中的所有的接口方法 示例wsdl文件如下,生成的过程可以参考https://www.cnblogs.com/chenyun-/p/11502446.html: <def ...

  2. Tensorflow安装错误Cannot uninstall wrapt

    解决办法:安装之前先执行:pip install wrapt --ignore-installed

  3. Docker——网络和存储(数据卷)

    iptables -t nat -vnL |grep docker 查看docker桥接网卡:brctl show 本地端口随机映射到docker容器的80端口上: docker run -d -P ...

  4. 牛客 40E 珂朵莉的数论题

    大意: 给定$x,y$, 求第$x$小的最小素因子为$y$的数, 若答案>1e9输出0. 若$y>=60$, 可以暴力筛出1e9/60以内的答案. 否则容斥+二分算出答案. #includ ...

  5. linux查询cpu过高原因--java

    1. 查询java pid top -c 2. 查询java进程下,线程情况 top -Hp pid(threadIdList) 3. 将10进制线程id转为16进制 printf "%x ...

  6. 【其他】BootCDN

    BootCDN 稳定.快速.免费的前端开源项目 CDN 加速服务 是 Bootstrap 中文网支持并维护的前端开源项目免费 CDN 服务,致力于为 Bootstrap.jQuery.Angular. ...

  7. CSS3总结四:盒模型(box)

    盒模型:标准盒模型.混杂盒模型 什么时候会触发混杂模式? 为什么要混杂模式渲染规则盒模型? box-sizing:content-box.border-box 关于盒模型的一些其他样式和属性值 一.盒 ...

  8. 基于JWT的token身份认证方案(转)

    https://www.cnblogs.com/xiangkejin/archive/2018/05/08/9011119.html 一.使用JSON Web Token的好处? 1.性能问题. JW ...

  9. maven入门-- part3 生命周期

    简介: Maven有三套相互独立的生命周期,请注意这里说的是“三套”,而且“相互独立”,这三套生命周期分别是: Clean Lifecycle 在进行真正的构建之前进行一些清理工作. Default ...

  10. 【玩转SpringBoot】通过事件机制参与SpringBoot应用的启动过程

    生命周期和事件监听 一个应用的启动过程和关闭过程是归属到“生命周期”这个概念的范畴. 典型的设计是在启动和关闭过程中会触发一系列的“事件”,我们只要监听这些事件,就能参与到这个过程中来. 要想监听事件 ...