Maison > Article > base de données > Quel est le processus d’authentification SpringSecurity+Redis ?
Quel est le processus d’authentification SpringSecurity+Redis ?
- 王林avant
- 2023-06-03 15:22:20969parcourir
Introduction à l'introduction
La combinaison de pile technologique populaire pour la gestion des autorisations sur le marché aujourd'hui est
ssm+shrio
SpringCloud+SpringBoot+SpringSecurity
Cette combinaison a naturellement sa propre combinaison Caractéristiques : En raison du principe de configuration par injection automatique de SpringBoot, le conteneur de filtre (DelegatingFilterProxy) qui gère SpringSecurity est automatiquement injecté lors de la création du projet, et ce filtre est le cœur de l'ensemble de SpringSercurity. Maîtrise l'ensemble du processus d'authentification des autorisations de SpringSercurity, et SpringBoot vous aide à l'injecter automatiquement, et utiliser ssm pour intégrer la sécurité consommera beaucoup de fichiers de configuration et n'est pas facile à développer, et les autorisations de microservice de sécurité La solution peut être parfaitement intégrée avec le Cloud, la sécurité est donc plus puissante et plus complète que Shrio.
Fichier de configuration de base de Security
Core: Class
SecurityConfigextends WebSecurityConfigurerAdapterAprès avoir hérité de WebSecurityConfigurerAdapter, nous nous concentrons sur la méthode de configuration pour les configurations associées dans l'ensemble du processus d'authentification de sécurité. Bien sûr, nous devons la comprendre brièvement avant. configuration. Jetez un œil au processus
Après avoir brièvement examiné l'ensemble du processus d'authentification des autorisations, il est facile de conclure que le cœur de Spring Security est constitué des éléments de configuration suivants
- Interceptor
- Filter
- Gestionnaire (gestionnaire, gestionnaire d'exceptions, gestionnaire de réussite de connexion)
Processus d'authentification de sécurité
Supposons que nous souhaitions implémenter la fonction d'authentification suivante
1 Il s'agit d'une demande de connexion
- Nous devons d'abord déterminer si le code de vérification est correct (filtre de code de vérification, pré-interception via addFilerbefore)
- Déterminez ensuite si le nom d'utilisateur et le mot de passe sont corrects (utilisez le filtre de nom d'utilisateur et de mot de passe intégré,
- UsernamePasswordAuthenticationFilter
)
Configurez le gestionnaire d'exceptions (Handler) pour écrire les informations d'exception via l'IO stream - À propos des mots de passe Processus de vérification :
La méthode principale :
1.public
*loadUserByUsername(String username) Accédez à la base de données pour demander s'il existe via le nom d'utilisateur du paramètre de requête. S'il existe, il sera encapsulé dans UserDetails. Le processus de vérification est vérifié en obtenant le nom d'utilisateur et le mot de passe dans UserDetail via AuthenticationManagerBuilder. peut passer
- Définir le mot de passe du compte via la base de données combinée avec UserDetail
- (Méthode dans UserDetailsService, veuillez noter que UserDetailsService doit être injecté dans AuthenticationManagerBuilder)
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
SysUser sysUser = sysUserService.getByUsername(username);
if (sysUser == null) {
throw new UsernameNotFoundException("用户名或密码不正确");
}
// 注意匹配参数,前者是明文后者是暗纹
System.out.println("是否正确"+bCryptPasswordEncoder.matches("111111",sysUser.getPassword()));
return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
}Après avoir réussi cette vérification, le filtre est libéré. S'il ne réussit pas, utilisez un processeur personnalisé ou par défaut pour le traiter
Fichier de configuration de base :
package com.markerhub.config;
import com.markerhub.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
LoginFailureHandler loginFailureHandler;
@Autowired
LoginSuccessHandler loginSuccessHandler;
@Autowired
CaptchaFilter captchaFilter;
@Autowired
JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
@Autowired
JwtAccessDeniedHandler jwtAccessDeniedHandler;
@Autowired
UserDetailServiceImpl userDetailService;
@Autowired
JwtLogoutSuccessHandler jwtLogoutSuccessHandler;
@Bean
JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
return jwtAuthenticationFilter;
}
@Bean
BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}
private static final String[] URL_WHITELIST = {
"/login",
"/logout",
"/captcha",
"/favicon.ico",
};
protected void configure(HttpSecurity http) throws Exception {
http.cors().and().csrf().disable()
// 登录配置
.formLogin()
.successHandler(loginSuccessHandler)
.failureHandler(loginFailureHandler)
.and()
.logout()
.logoutSuccessHandler(jwtLogoutSuccessHandler)
// 禁用session
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
// 配置拦截规则
.and()
.authorizeRequests()
.antMatchers(URL_WHITELIST).permitAll()
.anyRequest().authenticated()
// 异常处理器
.and()
.exceptionHandling()
.authenticationEntryPoint(jwtAuthenticationEntryPoint)
.accessDeniedHandler(jwtAccessDeniedHandler)
// 配置自定义的过滤器
.and()
.addFilter(jwtAuthenticationFilter())
.addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)
;
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailService);
}
}2. Utilisez JwtfFilter pour vérifier s'il est connecté
- Remarque lors de l'utilisation de l'intégration Redis Things
Essentiellement, il s'agit toujours d'écrire une chaîne de filtres :
Ajoutez un filtre avant la demande de connexion
- Faites attention à le délai d'expiration du code de vérification stocké dans redis. Si le délai d'expiration dépasse, il sera intercepté par l'intercepteur de code de vérification
- Vous devez préparer une interface pour générer les codes de vérification et les stocker dans Redis
- Vous vous devez supprimer le code de vérification après l'avoir utilisé
-
// 校验验证码逻辑 private void validate(HttpServletRequest httpServletRequest) { String code = httpServletRequest.getParameter("code"); String key = httpServletRequest.getParameter("token"); if (StringUtils.isBlank(code) || StringUtils.isBlank(key)) { System.out.println("验证码校验失败2"); throw new CaptchaException("验证码错误"); } System.out.println("验证码:"+redisUtil.hget(Const.CAPTCHA_KEY, key)); if (!code.equals(redisUtil.hget(Const.CAPTCHA_KEY, key))) { System.out.println("验证码校验失败3"); throw new CaptchaException("验证码错误"); } // 一次性使用 redisUtil.hdel(Const.CAPTCHA_KEY, key); }
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!