Maison >base de données >Redis >Quel est le processus d'authentification SpringSecurity+Redis ?

Quel est le processus d'authentification SpringSecurity+Redis ?

王林
王林avant
2023-06-03 15:22:201005parcourir

Introduction à l'introduction

La combinaison de pile technologique populaire pour la gestion des autorisations sur le marché aujourd'hui est

  • ssm+shrio

  • SpringCloud+SpringBoot+SpringSecurity

Quel est le processus dauthentification SpringSecurity+Redis ?

Cette combinaison a naturellement sa propre combinaison Caractéristiques : En raison du principe de configuration par injection automatique de SpringBoot, le conteneur de filtre (DelegatingFilterProxy) qui gère SpringSecurity est automatiquement injecté lors de la création du projet, et ce filtre est le cœur de l'ensemble de SpringSercurity. Maîtrise l'ensemble du processus d'authentification des autorisations de SpringSercurity, et SpringBoot vous aide à l'injecter automatiquement, et utiliser ssm pour intégrer la sécurité consommera beaucoup de fichiers de configuration et n'est pas facile à développer, et les autorisations de microservice de sécurité La solution peut être parfaitement intégrée avec le Cloud, la sécurité est donc plus puissante et plus complète que Shrio.
Fichier de configuration de base de Security

Core: Class

SecurityConfig

extends WebSecurityConfigurerAdapterAprès avoir hérité de WebSecurityConfigurerAdapter, nous nous concentrons sur la méthode de configuration pour les configurations associées dans l'ensemble du processus d'authentification de sécurité. Bien sûr, nous devons la comprendre brièvement avant. configuration. Jetez un œil au processus

Après avoir brièvement examiné l'ensemble du processus d'authentification des autorisations, il est facile de conclure que le cœur de Spring Security est constitué des éléments de configuration suivants

    Interceptor
  • Filter
  • Gestionnaire (gestionnaire, gestionnaire d'exceptions, gestionnaire de réussite de connexion)
Ensuite, terminons d'abord le processus d'authentification par la configuration ! ! ! !

Processus d'authentification de sécurité

Supposons que nous souhaitions implémenter la fonction d'authentification suivante

1 Il s'agit d'une demande de connexion

    Nous devons d'abord déterminer si le code de vérification est correct (filtre de code de vérification, pré-interception via addFilerbefore)
  • Déterminez ensuite si le nom d'utilisateur et le mot de passe sont corrects (utilisez le filtre de nom d'utilisateur et de mot de passe intégré,
  • UsernamePasswordAuthenticationFilter

    )

  • Configurez le gestionnaire d'exceptions (Handler) pour écrire les informations d'exception via l'IO stream
  • À propos des mots de passe Processus de vérification :
Les règles de vérification des mots de passe de UsernamePasswordAuthenticationFilter sont vérifiées en fonction des règles de UserDetailsService sous AuthenticationManagerBuilder (Authentication Manager) :

La méthode principale :

1.public

UserDetails

*loadUserByUsername(String username) Accédez à la base de données pour demander s'il existe via le nom d'utilisateur du paramètre de requête. S'il existe, il sera encapsulé dans UserDetails. Le processus de vérification est vérifié en obtenant le nom d'utilisateur et le mot de passe dans UserDetail via AuthenticationManagerBuilder. peut passer

Configurer le fichier yaml pour définir le mot de passe du compte
  • Définir le mot de passe du compte via la base de données combinée avec UserDetail
  • (Méthode dans UserDetailsService, veuillez noter que UserDetailsService doit être injecté dans AuthenticationManagerBuilder)
  • 	@Override
    	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    		SysUser sysUser = sysUserService.getByUsername(username);
    		if (sysUser == null) {
    			throw new UsernameNotFoundException("用户名或密码不正确");
    		}
    		// 注意匹配参数,前者是明文后者是暗纹
    		System.out.println("是否正确"+bCryptPasswordEncoder.matches("111111",sysUser.getPassword()));
    		return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
    	}
Après avoir réussi cette vérification, le filtre est libéré. ​​S'il ne réussit pas, utilisez un processeur personnalisé ou par défaut pour le traiter

Fichier de configuration de base :

package com.markerhub.config;

import com.markerhub.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	LoginFailureHandler loginFailureHandler;

	@Autowired
	LoginSuccessHandler loginSuccessHandler;

	@Autowired
	CaptchaFilter captchaFilter;

	@Autowired
	JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

	@Autowired
	JwtAccessDeniedHandler jwtAccessDeniedHandler;

	@Autowired
	UserDetailServiceImpl userDetailService;

	@Autowired
	JwtLogoutSuccessHandler jwtLogoutSuccessHandler;

	@Bean
	JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
		JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
		return jwtAuthenticationFilter;
	}

	@Bean
	BCryptPasswordEncoder bCryptPasswordEncoder() {
		return new BCryptPasswordEncoder();
	}

	private static final String[] URL_WHITELIST = {

			"/login",
			"/logout",
			"/captcha",
			"/favicon.ico",

	};


	protected void configure(HttpSecurity http) throws Exception {

		http.cors().and().csrf().disable()

				// 登录配置
				.formLogin()
				.successHandler(loginSuccessHandler)
				.failureHandler(loginFailureHandler)

				.and()
				.logout()
				.logoutSuccessHandler(jwtLogoutSuccessHandler)

				// 禁用session
				.and()
				.sessionManagement()
				.sessionCreationPolicy(SessionCreationPolicy.STATELESS)

				// 配置拦截规则
				.and()
				.authorizeRequests()
				.antMatchers(URL_WHITELIST).permitAll()
				.anyRequest().authenticated()

				// 异常处理器
				.and()
				.exceptionHandling()
				.authenticationEntryPoint(jwtAuthenticationEntryPoint)
				.accessDeniedHandler(jwtAccessDeniedHandler)

				// 配置自定义的过滤器
				.and()
				.addFilter(jwtAuthenticationFilter())
				.addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)

		;

	}

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailService);
	}
}
2. Utilisez JwtfFilter pour vérifier s'il est connecté

    Remarque lors de l'utilisation de l'intégration Redis Things
  • Essentiellement, il s'agit toujours d'écrire une chaîne de filtres :

Ajoutez un filtre avant la demande de connexion

    Faites attention à le délai d'expiration du code de vérification stocké dans redis. Si le délai d'expiration dépasse, il sera intercepté par l'intercepteur de code de vérification
  • Vous devez préparer une interface pour générer les codes de vérification et les stocker dans Redis
  • Vous vous devez supprimer le code de vérification après l'avoir utilisé
  • // 校验验证码逻辑
    	private void validate(HttpServletRequest httpServletRequest) {
    
    		String code = httpServletRequest.getParameter("code");
    		String key = httpServletRequest.getParameter("token");
    
    		if (StringUtils.isBlank(code) || StringUtils.isBlank(key)) {
    			System.out.println("验证码校验失败2");
    			throw new CaptchaException("验证码错误");
    		}
    
    		System.out.println("验证码:"+redisUtil.hget(Const.CAPTCHA_KEY, key));
    		if (!code.equals(redisUtil.hget(Const.CAPTCHA_KEY, key))) {
    			System.out.println("验证码校验失败3");
    			throw new CaptchaException("验证码错误");
    		}
    
    		// 一次性使用
    		redisUtil.hdel(Const.CAPTCHA_KEY, key);
    	}

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer