我要评论springboot实战:spring boot接入security权限认证服务
引言
spring security 是一个功能强大且高度可定制的身份验证和访问控制的框架,提供了完善的认证机制和方法级的授权功能,是一个非常优秀的权限管理框架。其核心是一组过滤器链,不同的功能经由不同的过滤器。本文将通过一个案例将 spring security 整合到 springboot中,要实现的功能就是在认证服务器上登录,然后获取token,再访问资源服务器中的资源。
一、基本介绍
登录验证:
通过 jwt 为每个用户生成一个唯一且有期限的 token,用户每次请求都会重新生成过期时间,在规定的时间内,用户未进行操作 token 就会过期,当用户再次请求时则会再次执行登录流程,而 token 的过期时间应根据实际的业务场景规定。
权限认证:
权限认证通过spring security框架来实现,在用户成功登录之后,当尝试访问系统资源时(即发起接口调用),服务端会根据用户所属的角色来判断其是否具备相应的访问权限。若用户未获得该资源的访问权限,则服务端应当返回明确的权限不足提示信息,以确保系统的安全性与用户体验。
通过如图来讲解我们的实现目标:登录验证 和 权限认证
二、环境准备
创建 auth_user 系统用户表,并准备测试数据。
create table `auth_user`
(
`id` varchar(36) not null,
`username` varchar(100) default null,
`password` varchar(100) default null,
`role` varchar(100) default null,
`account_non_expired` int(11) default '0',
`account_non_locked` int(11) default '0',
`credentials_non_expired` int(11) default '0',
`is_enabled` int(11) default null,
primary key (`id`)
) engine=innodb default charset=utf32;
insert into auth_user (id, username, password, `role`, account_non_expired, account_non_locked,
credentials_non_expired, is_enabled)
values ('1', 'user', '15tt+y0b+ljq2hikujsvvg==', 'user', 1, 1, 1, 1),
('2', 'admin', '15tt+y0b+ljq2hikujsvvg==', 'admin', 1, 1, 1, 1);三、登录代码实现
1.为项目导入相关依赖
在pom.xml 文件中到入依赖,除了 security 之外 还引入了 aes 和 jwt相关依赖
<dependencies> <dependency> <groupid>org.springframework.boot</groupid> <artifactid>spring-boot-starter-security</artifactid> </dependency> <!-- aes加密 --> <dependency> <groupid>org.apache.directory.studio</groupid> <artifactid>org.apache.commons.codec</artifactid> <version>1.8</version> </dependency> <!-- jwt --> <dependency> <groupid>io.jsonwebtoken</groupid> <artifactid>jjwt</artifactid> <version>0.9.0</version> </dependency> </dependencies>
创建项目所需实体类:
在工程中创建一个新的实体类authuser,该实体类需要实现spring security的userdetails接口,并特别地,需要重写getauthorities()方法来从数据库中动态读取并设置用户的角色权限。此外,为了确保用户账户处于正常激活状态,isaccountnonexpired()、isaccountnonlocked()、iscredentialsnonexpired()、isenabled()这四个方法也必须被重写,并且应该基于数据库查询的结果或业务逻辑,无条件地返回true(假设在这个场景下,所有用户账户都被视为有效、未过期、未锁定且凭据未过期)。
这样的设计确保了authuser类能够准确地反映用户的安全状态和权限信息,同时允许spring security框架利用这些信息进行访问控制。通过从数据库动态加载权限信息,系统能够灵活地适应不同用户的权限需求,提升系统的安全性和灵活性。
public class authuser implements serializable, userdetails {
private static final long serialversionuid = 1l;
private string id;
private string username;
private string password;
private string role;
private integer accountnonexpired;
private integer accountnonlocked;
private integer credentialsnonexpired;
private integer isenabled;
@override
public collection<? extends grantedauthority> getauthorities() {
// 获取用户所有权限
string[] roles = role.split(",");
// 遍历 roles,取出每一个权限进行认证,添加到简单的授予认证类
list<simplegrantedauthority> authorities = new arraylist<>();
for (string role : roles) {
authorities.add(new simplegrantedauthority("role_" + role));
}
// 返回到已经被授予认证的权限集合, 这里面的角色所拥有的权限都已经被 spring security 所知道
return authorities;
}
@override
public boolean isaccountnonexpired() {
return this.accountnonexpired != null && this.accountnonexpired == 1;
}
@override
public boolean isaccountnonlocked() {
return this.accountnonlocked != null && this.accountnonlocked == 1;
}
@override
public boolean iscredentialsnonexpired() {
return this.credentialsnonexpired != null && this.credentialsnonexpired == 1;
}
@override
public boolean isenabled() {
return this.isenabled != null && this.isenabled == 1;
}
// 略去其它 get、set 方法
}创建 service 服务
创建名为 authuserservice 的接口,并实现 userdetailsservice 类,重写 loaduserbyusername() 方法( security 认证登录调用的接口)。
public interface authuserservice extends userdetailsservice {
}
@service("authuserservice")
public class authuserserviceimpl implements authuserservice {
@resource
private authuserdao authuserdao;
@override
public userdetails loaduserbyusername(string username) throws usernamenotfoundexception {
authuser authuser = authuserdao.querybyname(username);
if (authuser == null) {
throw new illegalargumentexception("user [" + username + "] doesn't exist.");
}
return authuser;
}
}autuserdao 是用来解读数据库信息的类, querybyname() 是通过 username 从 auth_user 数据表进行精准查询。
congtroller 层方法
创建两个接口分别供不同角色测试。
@restcontroller
@requestmapping("api/resource")
public class resourcecontroller {
@getmapping("user")
public string demo1() {
return "user demo.";
}
@getmapping("admin")
public string demo2() {
return "admin demo.";
}
}四、工具类
aes加密
在前后端数据传输过程中明文密码传输存在相当大的隐患,可以采用加密的方式,对信息进行隐藏,话不多说上代码。
public class aesutil {
private final static string algorithm = "aes/cbc/nopadding";
private final static string default_iv = "1234567890123456";
private final static string default_key = "1234567890123456";
public static string encrypt(string data) throws exception {
return encrypt(data, default_key, default_iv);
}
public static string desencrypt(string data) throws exception {
return desencrypt(data, default_key, default_iv);
}
public static string encrypt(string data, string key, string iv) throws exception {
cipher cipher = cipher.getinstance(algorithm);
int blocksize = cipher.getblocksize();
byte[] databytes = data.getbytes();
int length = databytes.length;
if (length % blocksize != 0) {
length = length + (blocksize - (length % blocksize));
}
byte[] plaintext = new byte[length];
system.arraycopy(databytes, 0, plaintext, 0, databytes.length);
secretkeyspec keyspec = new secretkeyspec(key.getbytes(), "aes");
ivparameterspec ivspec = new ivparameterspec(iv.getbytes());
cipher.init(cipher.encrypt_mode, keyspec, ivspec);
byte[] encrypted = cipher.dofinal(plaintext);
return new base64().encodetostring(encrypted);
}
public static string desencrypt(string data, string key, string iv) throws exception {
byte[] encrypted1 = new base64().decode(data);
cipher cipher = cipher.getinstance(algorithm);
secretkeyspec keyspec = new secretkeyspec(key.getbytes(), "aes");
ivparameterspec ivspec = new ivparameterspec(iv.getbytes());
cipher.init(cipher.decrypt_mode, keyspec, ivspec);
byte[] bytes = cipher.dofinal(encrypted1);
return new string(bytes);
}
}jwt生成
通过引入jwt(json web tokens),我们可以高效地管理用户的登录状态。jwt能够生成一串包含过期时间的token值,该值以字符串形式存在。当token达到其设定的过期时间时,尝试对其进行解析将会触发expiredjwtexception异常。通过捕获这个expiredjwtexception异常,我们能够有效地判断用户的登录状态是否已经过期。在上述描述中,createjwt()函数负责生成token,而parsejwt()函数则负责解析token。这样的机制既方便了token的生成与管理,也简化了用户登录状态的验证过程。
public class tokenutil {
/**
* 密钥
*/
public static final string jwt_key = "ibudai";
/**
* 过期时间
*/
public static final long jwt_ttl = timeunit.minutes.tomillis(5);
/**
* 生成 token
*/
public static string createjwt(string data, long ttlmillis) {
string uuid = uuid.randomuuid().tostring().replaceall("-", "");
jwtbuilder builder = getjwtbuilder(data, ttlmillis, uuid);
return builder.compact();
}
/**
* 解析 token
*/
public static claims parsejwt(string token) {
secretkey secretkey = generalkey();
return jwts.parser()
.setsigningkey(secretkey)
.parseclaimsjws(token)
.getbody();
}
/**
* 生成加密后的秘钥
*/
private static secretkey generalkey() {
byte[] encodedkey = base64.getdecoder().decode(jwt_key);
return new secretkeyspec(encodedkey, 0, encodedkey.length, "aes");
}
private static jwtbuilder getjwtbuilder(string subject, long ttlmillis, string uuid) {
signaturealgorithm algorithm = signaturealgorithm.hs256;
secretkey secretkey = generalkey();
long nowmillis = system.currenttimemillis();
date now = new date(nowmillis);
if (ttlmillis == null) {
ttlmillis = jwt_ttl;
}
long expmillis = nowmillis + ttlmillis;
date expdate = new date(expmillis);
return jwts.builder()
.setid(uuid)
// 计算内容
.setsubject(subject)
// 签发者
.setissuer("budai")
// 签发时间
.setissuedat(now)
// 加密算法签名
.signwith(algorithm, secretkey)
.setexpiration(expdate);
}
}五、权限配置
接下来正式配置 security 权限模块。
新建securityconfig类,并使其继承自websecurityconfigureradapter,随后在该类中重写configure(authenticationmanagerbuilder auth)方法。在这个方法内部,我们将利用authuserservice(即之前创建的用于从数据库中读取用户角色数据的类)来配置用户认证信息。这样的配置确保了spring security能够基于数据库中存储的用户和角色信息来执行身份验证。
@configuration
public class securityconfig extends websecurityconfigureradapter {
@autowired
private authuserservice authuserservice;
@override
protected void configure(authenticationmanagerbuilder auth) throws exception {
// 动态读取数据库信息
auth.userdetailsservice(authuserservice)
// 自定义 aes 方式加密
.passwordencoder(new aesencoder());
}
}配置好上述代码,首先来手动配置两个角色 budia , admian 以及相应的角色权限和密码。
@override
protected void configure(authenticationmanagerbuilder auth) throws exception {
// 手动配置
auth.inmemoryauthentication()
.withuser("budai").password("123456").roles("user")
.and()
.withuser("admin").password("123456").roles("admin", "user")
.and()
// 自定义账号信息解析方式
.passwordencoder(new aesencoder());
}自定义加密
security 中默认提供了强哈希加密方式 bcryptpasswordencoder,但也可根据实际需求自定义加密逻辑,这通过实现 passwordencoder 接口并重写其方法来完成。在自定义的 passwordencoder 实现中,matches 方法的 charsequence 参数实际上是用户登录时传入的密码(明文),该密码在验证前可能已经过解密处理(如果前端使用了aes等加密方式)。而 matches 方法的另一个参数 s(或根据具体实现可能命名为其他变量),则是从数据库中读取的、已经加密存储的用户密码值。由于前端工程中实施了aes数据加密,因此在服务器端进行密码验证之前,需要先对接收到的加密密码进行解密操作。
public class aesencoder implements passwordencoder {
@override
public string encode(charsequence charsequence) {
string str = charsequence.tostring();
try {
string plain;
if (!objects.equals(str, "usernotfoundpassword")) {
plain = aesutil.desencrypt(str);
} else {
plain = str;
}
return aesutil.encrypt(plain);
} catch (exception e) {
throw new runtimeexception(e);
}
}
@override
public boolean matches(charsequence charsequence, string s) {
try {
string plain = aesutil.desencrypt(charsequence.tostring());
string result = aesutil.encrypt(plain);
return objects.equals(result, s);
} catch (exception e) {
throw new runtimeexception(e);
}
}
}权限分配
完成用户角色的创建之后,接下来的步骤是为不同的角色分配相应的资源权限。这通常在securityconfig类中通过重写configure(httpsecurity http)方法来实现。在该方法中,可以配置哪些接口(如freeapi、userapi和adminapi)可以被特定用户角色访问。这些接口的配置信息可以存储在yml文件中,并通过spring的注解机制动态获取。
当未认证用户尝试访问受保护的资源时,spring security会自动将请求重定向到登录页面,但在这里,我们通过formlogin().loginprocessingurl("/api/auth/verify")指定了一个自定义的登录接口地址/api/auth/verify,以支持通过api请求方式进行用户认证。用户提交登录请求后,authuserservice中的loaduserbyusername()方法将被调用,以验证用户的用户名和密码,并确定其角色。
对于认证成功、认证失败以及无权限访问的情况,我们采用了匿名函数(或lambda表达式,具体取决于实现方式)来处理这些事件的逻辑。这些处理逻辑可能包括重定向到特定页面、返回错误信息或执行其他自定义操作。
public class aesencoder implements passwordencoder {
@override
public string encode(charsequence charsequence) {
string str = charsequence.tostring();
try {
string plain;
if (!objects.equals(str, "usernotfoundpassword")) {
plain = aesutil.desencrypt(str);
} else {
plain = str;
}
return aesutil.encrypt(plain);
} catch (exception e) {
throw new runtimeexception(e);
}
}
@override
public boolean matches(charsequence charsequence, string s) {
try {
string plain = aesutil.desencrypt(charsequence.tostring());
string result = aesutil.encrypt(plain);
return objects.equals(result, s);
} catch (exception e) {
throw new runtimeexception(e);
}
}
}六、逻辑处理
成功处理
用户成功通过认证后,系统会执行两个关键步骤来管理登录状态和权限控制。首先,会生成一个jwt(json web token)token值,该token用于后续请求的登录状态管理。jwt是基于登录用户的用户名、密码(通常是密码的哈希值,而非明文)及角色信息序列化后的json数据计算得出的,确保了数据的安全性和可验证性。其次,用户的角色信息会被封装成一个authentication认证码,该认证码是username:password(注意:这里的password部分应替换为更安全的信息,如用户id或角色的哈希值,因为直接包含密码是不安全的)经过base64编码后的值,用于后续的权限过滤。
这两个认证信息——jwt token和authentication认证码——都会通过http响应的请求头返回给前端。前端接收到这些信息后,会将其存储起来,并在后续发出的所有请求中,在请求头中携带这两个参数。后端则通过配置过滤器与spring security框架,实现对这些请求头的解析,从而验证用户的登录状态和访问权限,完成登录状态的管理与权限访问控制。
失败处理
用户未通过 security 认证时,需要通过验证码状态等信息来响应给前端, 在这里我们通过新建的返回类 来返回结果给前端。
private void failurehandle(httpservletrequest request, httpservletresponse response, authenticationexception exception) throws ioexception {
string msg;
if (exception instanceof lockedexception) {
msg = "account has been locked, please contact the administrator.";
} else if (exception instanceof badcredentialsexception) {
msg = "account credential error, please recheck.";
} else {
msg = "account doesn't exist, please recheck.";
}
response.setcontenttype("application/json;charset=utf-8");
response.setstatus(203);
resultdata<object> result = new resultdata<>(203, msg, null);
response.getwriter().write(objectmapper.writevalueasstring(result));
}无权拦截
在用户没有经过 权限认证的情况下访问资源,则需要进行拦截并返回响应的状态信息。
private void unauthhandle(httpservletrequest request, httpservletresponse response, authenticationexception exception) throws ioexception {
string msg = "please login and try again.";
response.setcontenttype("application/json;charset=utf-8");
response.setstatus(203);
resultdata<object> result = new resultdata<>(203, msg, null);
response.getwriter().write(objectmapper.writevalueasstring(result));
}七、filter配置
bean注入
@configuration
public class filterconfig {
/**
* 设置放行资源
*
* 例:/api/auth/verify
*/
@value("${auth.api.verify}")
private string verifyapi;
@bean
public filterregistrationbean<authfilter> orderfilter1() {
filterregistrationbean<authfilter> filter = new filterregistrationbean<>();
filter.setname("auth-filter");
// set effect url
filter.seturlpatterns(collections.singleton("/**"));
// set ignore url, when multiply the value spilt with ","
filter.addinitparameter("excludeduris", verifyapi);
filter.setorder(-1);
filter.setfilter(new authfilter());
return filter;
}
}拦截逻辑
我们新建一个名为authfilter的自定义过滤器类并实现filter接口时,我们需要重点关注dofilter()方法的实现。如之前所述,一旦用户通过登录认证成功,系统会将jwt token和authentication认证信息写入http响应的请求头中,并返回给前端。之后,前端在发起任何需要认证或权限验证的请求时,都应在请求头中包含这两个参数。
在请求到达后端时,首先会触发spring security的认证流程。spring security会使用请求头中的authentication认证信息(尽管通常不直接使用username:password格式的base64编码,而是可能使用更安全的认证令牌,如预共享密钥生成的token或基于http头部的认证方式)进行初步的身份验证。这一部分是spring security内部自动处理的,我们无需直接操作。
一旦通过spring security的身份验证,请求将继续流向我们配置的authfilter。在authfilter的dofilter()方法中,我们需要编写逻辑来解析请求头中的jwt token。这个token包含了用户的会话信息,如用户名、角色以及token的签发和过期时间等。我们将验证这个token是否有效(比如检查它是否未过期),如果token已过期,我们需要构造一个包含相应错误信息的响应,并通过http状态码(如401 unauthorized)返回给前端。前端接收到这个响应后,可以根据需要重定向用户到登录页面。
public void dofilter(servletrequest servletrequest, servletresponse servletresponse, filterchain filterchain) throws ioexception, servletexception {
httpservletrequest req = (httpservletrequest) servletrequest;
httpservletresponse response = (httpservletresponse) servletresponse;
int status;
string msg;
string token = req.getheader("token");
if (stringutils.isnotblank(token)) {
boolean isexpired = false;
try {
tokenutil.parsejwt(token);
} catch (expiredjwtexception e) {
isexpired = true;
}
if (!isexpired) {
filterchain.dofilter(req, servletresponse);
return;
} else {
status = 203;
msg = "login expired.";
}
} else {
status = 203;
msg = "please login and try again.";
}
response.setcontenttype("application/json;charset=utf-8");
response.setstatus(status);
resultdata<object> result = new resultdata<>(status, msg, null);
response.getwriter().write(objectmapper.writevalueasstring(result));
}八、跨域处理
在工程中新建 corsconfig 类实现 webmvcconfigurer 接口并重写 addcorsmappings() 方法配置跨域信息
@configuration
public class corsconfig implements webmvcconfigurer {
/**
* 设置跨域访问地址,逗号分隔
*
* 例:http://localhost:8080,http://127.0.0.1:8080
*/
@value("${auth.host.cors}")
private string hosts;
@override
public void addcorsmappings(corsregistry registry) {
string[] croshost = hosts.trim().split(",");
// 设置允许跨域的路径
registry.addmapping("/**")
// 设置允许跨域请求的域名
.allowedoriginpatterns(croshost)
// 是否允许cookie
.allowcredentials(true)
// 设置允许的请求方式
.allowedmethods("get", "post", "delete", "put")
// 设置允许的header属性
.allowedheaders("*")
// 跨域允许时间
.maxage(timeunit.seconds.tomillis(5));
}
}到此这篇关于spring boot接入security权限认证服务的文章就介绍到这了,更多相关spring boot接入security权限认证内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论