亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

Spring Security6配置方法(廢棄WebSecurityConfigurerAdapter)

 更新時(shí)間:2023年12月29日 10:20:35   作者:markvivv  
本文主要介紹了Spring Security6配置方法(廢棄WebSecurityConfigurerAdapter),就像文章標(biāo)題所說(shuō)的,SpringSecurity已經(jīng)廢棄了繼承WebSecurityConfigurerAdapter的配置方式,下面就來(lái)詳細(xì)的介紹一下,感興趣的可以了解一下

一、背景

最近阿里云的項(xiàng)目遷回本地運(yùn)行,數(shù)據(jù)庫(kù)從阿里云的RDS(即Mysql5.6)換成了本地8.0,Redis也從古董級(jí)別的2.x換成了現(xiàn)在6,忍不住,手癢,把jdk升級(jí)到了17,用zgc垃圾回收器,源代碼重新編譯重新發(fā)布,結(jié)果碰到了古董的SpringBoot不支持jdk17,所以有了這篇日志。記錄一下SpringBoot2+SpringSecurity+JWT升級(jí)成SpringBoot3+SpringSecurity+JWT,就像文章標(biāo)題所說(shuō)的,SpringSecurity已經(jīng)廢棄了繼承WebSecurityConfigurerAdapter的配置方式,那就的從頭來(lái)咯。

在Spring Security 5.7.0-M2中,Spring就廢棄了WebSecurityConfigurerAdapter,因?yàn)镾pring官方鼓勵(lì)用戶轉(zhuǎn)向基于組件的安全配置。本文整理了一下新的配置方法。 

在下面的例子中,我們使用Spring Security lambda DSL和HttpSecurity#authorizeHttpRequests方法來(lái)定義我們的授權(quán)規(guī)則,從而遵循最佳實(shí)踐。

二、配置成功后根據(jù)配置的情況整理的類圖

三、配置詳情

3.1. 啟用WebSecurity配置 

@Configuration
@EnableWebSecurity
public class SecurityConfig {

}

 以下的配置在SecurityConfig內(nèi)完成。

3.1.1. 注冊(cè)SecurityFilterChain Bean,并完成HttpSecurity配置

在HttpSecurity中注意使用了lambda寫法,使用這種寫法之后,每個(gè)設(shè)置都直接返回HttpSecurity對(duì)象,避免了多余的and()操作符。每一步具體的含義,請(qǐng)參考代碼上的注釋。

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                // 禁用basic明文驗(yàn)證
                .httpBasic().disable()
                // 前后端分離架構(gòu)不需要csrf保護(hù)
                .csrf().disable()
                // 禁用默認(rèn)登錄頁(yè)
                .formLogin().disable()
                // 禁用默認(rèn)登出頁(yè)
                .logout().disable()
                // 設(shè)置異常的EntryPoint,如果不設(shè)置,默認(rèn)使用Http403ForbiddenEntryPoint
                .exceptionHandling(exceptions -> exceptions.authenticationEntryPoint(invalidAuthenticationEntryPoint))
                // 前后端分離是無(wú)狀態(tài)的,不需要session了,直接禁用。
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .authorizeHttpRequests(authorizeHttpRequests -> authorizeHttpRequests
                        // 允許所有OPTIONS請(qǐng)求
                        .requestMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                        // 允許直接訪問(wèn)授權(quán)登錄接口
                        .requestMatchers(HttpMethod.POST, "/web/authenticate").permitAll()
                        // 允許 SpringMVC 的默認(rèn)錯(cuò)誤地址匿名訪問(wèn)
                        .requestMatchers("/error").permitAll()
                        // 其他所有接口必須有Authority信息,Authority在登錄成功后的UserDetailsImpl對(duì)象中默認(rèn)設(shè)置“ROLE_USER”
                        //.requestMatchers("/**").hasAnyAuthority("ROLE_USER")
                        // 允許任意請(qǐng)求被已登錄用戶訪問(wèn),不檢查Authority
                        .anyRequest().authenticated())
                .authenticationProvider(authenticationProvider())
                // 加我們自定義的過(guò)濾器,替代UsernamePasswordAuthenticationFilter
                .addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }

3.1.2. 注冊(cè)自定義用戶登錄信息查詢Bean

    @Autowired
    private UserDetailsService userDetailsService;

    @Bean
    public UserDetailsService userDetailsService() {
        // 調(diào)用 JwtUserDetailService實(shí)例執(zhí)行實(shí)際校驗(yàn)
        return username -> userDetailsService.loadUserByUsername(username);
    }

 這里關(guān)聯(lián)到一個(gè)自定義的子類UserDetailsService,代碼邏輯如下,注意需要根據(jù)實(shí)際情況改造數(shù)據(jù)庫(kù)查詢邏輯:

@Component
public class SecurityUserDetailsService implements UserDetailsService {

    @Autowired
    private SqlSession sqlSession;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        try {
            // 查詢數(shù)據(jù)庫(kù)用戶表,獲得用戶信息
            sqlSession.xxx
            // 使用獲得的信息創(chuàng)建SecurityUserDetails
            SecurityUserDetails user = new SecurityUserDetails(username, 
                    password,
                    // 以及其他org.springframework.security.core.userdetails.UserDetails接口要求的信息
                    );

            logger.info("用戶信息:{}", user);
            return user;
        } catch (Exception e) {
            String msg = "Username: " + username + " not found";
            logger.error(msg, e);
            throw new UsernameNotFoundException(msg);
        }
    }
}

3.1.3. 注冊(cè)密碼加密Bean

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

3.1.4. 注冊(cè)用戶授權(quán)檢查執(zhí)行Bean 

這里設(shè)定使用DaoAuthenticationProvider執(zhí)行具體的校驗(yàn)檢查,并且將自定義的用戶登錄查詢服務(wù)Bean,和密碼生成器都注入到該對(duì)象中

    /**
     * 調(diào)用loadUserByUsername獲得UserDetail信息,在AbstractUserDetailsAuthenticationProvider里執(zhí)行用戶狀態(tài)檢查
     *
     * @return
     */
    @Bean
    public AuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        // DaoAuthenticationProvider 從自定義的 userDetailsService.loadUserByUsername 方法獲取UserDetails
        authProvider.setUserDetailsService(userDetailsService());
        // 設(shè)置密碼編輯器
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }

3.1.5. 注冊(cè)授權(quán)檢查管理Bean 

    /**
     * 登錄時(shí)需要調(diào)用AuthenticationManager.authenticate執(zhí)行一次校驗(yàn)
     *
     * @param config
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
        return config.getAuthenticationManager();
    }

3.1.6. 注冊(cè)每次請(qǐng)求的jwt檢查攔截器

在攔截器中檢查jwt是否能夠通過(guò)簽名驗(yàn)證,是否還在有效期內(nèi)。如果通過(guò)驗(yàn)證,使用jwt中的信息生成一個(gè)不含密碼信息的SecurityUserDetails對(duì)象,并設(shè)置到SecurityContext中,確保后續(xù)的過(guò)濾器檢查能夠知曉本次請(qǐng)求是被授權(quán)過(guò)的。具體代碼邏輯看3.2. jwt請(qǐng)求過(guò)濾器。

    @Bean
    public JwtTokenOncePerRequestFilter authenticationJwtTokenFilter() {
        return new JwtTokenOncePerRequestFilter();
    }

3.1.7.  SecurityConfig 對(duì)象完整內(nèi)容

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private InvalidAuthenticationEntryPoint invalidAuthenticationEntryPoint;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public JwtTokenOncePerRequestFilter authenticationJwtTokenFilter() {
        return new JwtTokenOncePerRequestFilter();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                // 禁用basic明文驗(yàn)證
                .httpBasic().disable()
                // 前后端分離架構(gòu)不需要csrf保護(hù)
                .csrf().disable()
                // 禁用默認(rèn)登錄頁(yè)
                .formLogin().disable()
                // 禁用默認(rèn)登出頁(yè)
                .logout().disable()
                // 設(shè)置異常的EntryPoint,如果不設(shè)置,默認(rèn)使用Http403ForbiddenEntryPoint
                .exceptionHandling(exceptions -> exceptions.authenticationEntryPoint(invalidAuthenticationEntryPoint))
                // 前后端分離是無(wú)狀態(tài)的,不需要session了,直接禁用。
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .authorizeHttpRequests(authorizeHttpRequests -> authorizeHttpRequests
                        // 允許所有OPTIONS請(qǐng)求
                        .requestMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                        // 允許直接訪問(wèn)授權(quán)登錄接口
                        .requestMatchers(HttpMethod.POST, "/web/authenticate").permitAll()
                        // 允許 SpringMVC 的默認(rèn)錯(cuò)誤地址匿名訪問(wèn)
                        .requestMatchers("/error").permitAll()
                        // 其他所有接口必須有Authority信息,Authority在登錄成功后的UserDetailsImpl對(duì)象中默認(rèn)設(shè)置“ROLE_USER”
                        //.requestMatchers("/**").hasAnyAuthority("ROLE_USER")
                        // 允許任意請(qǐng)求被已登錄用戶訪問(wèn),不檢查Authority
                        .anyRequest().authenticated())
                .authenticationProvider(authenticationProvider())
                // 加我們自定義的過(guò)濾器,替代UsernamePasswordAuthenticationFilter
                .addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        // 調(diào)用 JwtUserDetailService實(shí)例執(zhí)行實(shí)際校驗(yàn)
        return username -> userDetailsService.loadUserByUsername(username);
    }

    /**
     * 調(diào)用loadUserByUsername獲得UserDetail信息,在AbstractUserDetailsAuthenticationProvider里執(zhí)行用戶狀態(tài)檢查
     *
     * @return
     */
    @Bean
    public AuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        // DaoAuthenticationProvider 從自定義的 userDetailsService.loadUserByUsername 方法獲取UserDetails
        authProvider.setUserDetailsService(userDetailsService());
        // 設(shè)置密碼編輯器
        authProvider.setPasswordEncoder(passwordEncoder());
        return authProvider;
    }

    /**
     * 登錄時(shí)需要調(diào)用AuthenticationManager.authenticate執(zhí)行一次校驗(yàn)
     *
     * @param config
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration config) throws Exception {
        return config.getAuthenticationManager();
    }
}

3.2. JWT請(qǐng)求過(guò)濾檢查

/**
 * 每次請(qǐng)求的 Security 過(guò)濾類。執(zhí)行jwt有效性檢查,如果失敗,不會(huì)設(shè)置 SecurityContextHolder 信息,會(huì)進(jìn)入 AuthenticationEntryPoint
 */
public class JwtTokenOncePerRequestFilter extends OncePerRequestFilter {

    @Autowired
    private JwtTokenProvider jwtTokenProvider;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        try {
            String token = jwtTokenProvider.resolveToken(request);
            if (token != null && jwtTokenProvider.validateToken(token)) {
                Authentication auth = jwtTokenProvider.getAuthentication(token);
                
                if (auth != null) {
                    SecurityContextHolder.getContext().setAuthentication(auth);
                }
            }
        } catch (Exception e) {
            logger.error("Cannot set user authentication!", e);
        }

        filterChain.doFilter(request, response);
    }

}

3.3. 登錄校驗(yàn)

 考慮到j(luò)wt簽名驗(yàn)簽的可靠性,以及jwt的有效載荷并未被加密,所以jwt中放置了UserDetails接口除密碼字段外其他所有字段以及項(xiàng)目所需的業(yè)務(wù)字段。兩個(gè)目的,1. 瀏覽器端可以解碼jwt的有效載荷部分的內(nèi)容用于業(yè)務(wù)處理,由于不涉及到敏感信息,不擔(dān)心泄密;2.服務(wù)端可以通過(guò)jwt的信息重新生成UserDetails對(duì)象,并設(shè)置到SecurityContext中,用于請(qǐng)求攔截的授權(quán)校驗(yàn)。

代碼如下:

@RestController
@RequestMapping("/web")
public class AuthController {

    @PostMapping(value="/authenticate")
    public ResponseEntity<?> authenticate(@RequestBody Map<String, String> param) {
        logger.debug("登錄請(qǐng)求參數(shù):{}", param);

        try {
            String username = param.get("username");
            String password = param.get("password");
            String reqType = param.get("type");

            // 傳遞用戶密碼給到SpringSecurity執(zhí)行校驗(yàn),如果校驗(yàn)失敗,會(huì)進(jìn)入BadCredentialsException
            Authentication authentication = authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(username, password));
            // 驗(yàn)證通過(guò),設(shè)置授權(quán)信息至SecurityContextHolder
            SecurityContextHolder.getContext().setAuthentication(authentication);

            // 如果驗(yàn)證通過(guò)了,從返回的authentication里獲得完整的UserDetails信息
            SecurityUserDetails userDetails = (SecurityUserDetails) authentication.getPrincipal();

            // 將用戶的ID、名稱等信息保存在jwt的token中
            String token = jwtTokenProvider.createToken(userDetails.getUsername(), userDetails.getCustname(), new ArrayList<>());

            // 設(shè)置cookie,本項(xiàng)目中非必需,因以要求必須傳head的Authorization: Bearer 參數(shù)
            ResponseCookie jwtCookie = jwtTokenProvider.generateJwtCookie(token);
            Map<String, Object> model = new HashMap<>();
            model.put("username", username);
            model.put("token", token);
            return ok().body(RespBody.build().ok("登錄成功", model));
        } catch (BadCredentialsException e) {
            return ok(RespBody.build().fail("賬號(hào)或密碼錯(cuò)誤!"));
        }
    }
}

4. 總結(jié) 

經(jīng)過(guò)以上步驟,對(duì)SpringSecurity6結(jié)合jwt機(jī)制進(jìn)行校驗(yàn)的過(guò)程就全部完成了,jwt的工具類可以按照項(xiàng)目自己的情況進(jìn)行編碼。這里GitHub - markvivv/springboot-security-jwt-example: Spring Boot + Spring Security + JSON Web Token(JWT) + Mybatis完整示例,包含SpringBoot2和Spring Boot3兩種方式。)有完整的SpringBoot3+SpringSecurity6+jwt的示例工程。目前有一個(gè)SpringBoot2的老版本在這里。jwt的工具類也可以參考老版本的這個(gè)。

到此這篇關(guān)于Spring Security6配置方法(廢棄WebSecurityConfigurerAdapter)的文章就介紹到這了,更多相關(guān)Spring Security6配置內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Java控制流程示例代碼詳解

    Java控制流程示例代碼詳解

    這篇文章主要介紹了Java控制流程,本文通過(guò)示例代碼給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2022-03-03
  • Java面向?qū)ο蟪绦蛟O(shè)計(jì)多態(tài)性示例

    Java面向?qū)ο蟪绦蛟O(shè)計(jì)多態(tài)性示例

    這篇文章主要介紹了Java面向?qū)ο蟪绦蛟O(shè)計(jì)多態(tài)性,結(jié)合實(shí)例形式分析了java多態(tài)性的概念、原理、定義與使用方法及相關(guān)注意事項(xiàng),需要的朋友可以參考下
    2018-03-03
  • Java生成隨機(jī)數(shù)的2種示例方法代碼

    Java生成隨機(jī)數(shù)的2種示例方法代碼

    在Java中,生成隨機(jī)數(shù)有兩種方法。1是使用Random類。2是使用Math類中的random方法。看下面的例子使用吧
    2013-11-11
  • 談?wù)凧ava中整數(shù)類型(short int long)的存儲(chǔ)方式

    談?wù)凧ava中整數(shù)類型(short int long)的存儲(chǔ)方式

    在java中的整數(shù)類型有四種,分別是byte short in long,本文重點(diǎn)給大家介紹java中的整數(shù)類型(short int long),由于byte只是一個(gè)字節(jié)0或1,在此就不多說(shuō)了,對(duì)java中的整數(shù)類型感興趣的朋友一起學(xué)習(xí)吧
    2015-11-11
  • MybatisPlus中QueryWrapper常用方法總結(jié)

    MybatisPlus中QueryWrapper常用方法總結(jié)

    MyBatis-Plus是一個(gè)Mybatis增強(qiáng)版工具,在MyBatis上擴(kuò)充了其他功能沒(méi)有改變其基本功能,為了簡(jiǎn)化開(kāi)發(fā)提交效率而存在,queryWrapper是mybatis plus中實(shí)現(xiàn)查詢的對(duì)象封裝操作類,本文就給大家總結(jié)了MybatisPlus中QueryWrapper的常用方法,需要的朋友可以參考下
    2023-07-07
  • idea2023設(shè)置啟動(dòng)參數(shù)、單元測(cè)試啟動(dòng)參數(shù)

    idea2023設(shè)置啟動(dòng)參數(shù)、單元測(cè)試啟動(dòng)參數(shù)

    在使用IDEA進(jìn)行開(kāi)發(fā)時(shí),我們可以通過(guò)設(shè)置一些啟動(dòng)參數(shù)來(lái)優(yōu)化開(kāi)發(fā)環(huán)境的性能和體驗(yàn),具有一定的參考價(jià)值,感興趣的可以了解一下
    2023-11-11
  • java精度計(jì)算代碼 java指定精確小數(shù)位

    java精度計(jì)算代碼 java指定精確小數(shù)位

    這篇文章主要為大家詳細(xì)介紹了java精度計(jì)算代碼,java指定精確小數(shù)位,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下
    2017-02-02
  • RocketMQ實(shí)現(xiàn)消息分發(fā)的步驟

    RocketMQ實(shí)現(xiàn)消息分發(fā)的步驟

    RocketMQ 實(shí)現(xiàn)消息分發(fā)的核心機(jī)制是通過(guò) Topic、Queue 和 Consumer Group 的配合實(shí)現(xiàn)的,下面給大家介紹RocketMQ實(shí)現(xiàn)消息分發(fā)的步驟,感興趣的朋友一起看看吧
    2024-03-03
  • SpringBoot配置Redis實(shí)現(xiàn)保存獲取和刪除數(shù)據(jù)

    SpringBoot配置Redis實(shí)現(xiàn)保存獲取和刪除數(shù)據(jù)

    本文主要介紹了SpringBoot配置Redis實(shí)現(xiàn)保存獲取和刪除數(shù)據(jù),文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,感興趣的小伙伴們可以參考一下
    2021-06-06
  • Java 創(chuàng)建PDF打印小冊(cè)子案例

    Java 創(chuàng)建PDF打印小冊(cè)子案例

    這篇文章主要給大家分享Java 創(chuàng)建PDF打印小冊(cè)子案例,PDF打印小冊(cè)子是指將PDF格式文檔在打印成刊物前需要提前進(jìn)行的頁(yè)面排版,以便在打印后裝訂成冊(cè),下面文章內(nèi)容我們將下面以Java代碼展示如何來(lái)實(shí)現(xiàn),需要的朋友可以參考一下
    2021-10-10

最新評(píng)論