Rumah >pangkalan data >Redis >Apakah proses pengesahan SpringSecurity+Redis?
Kombinasi tindanan teknologi yang popular untuk pengurusan kebenaran di pasaran hari ini ialah
ssm+shrio
SpringCloud+SpringBoot+SpringSecurity
Gabungan ini secara semula jadi mempunyai ciri tersendiri Disebabkan prinsip konfigurasi suntikan automatik SpringBoot, apabila mencipta projek Bekas penapis (DelegatingFilterProxy) yang mengurus SpringSecurity disuntik secara automatik dan penapis ini ialah teras keseluruhan SpringSercurity . Ia mengawal keseluruhan proses pengesahan kebenaran SpringSercurity, dan SpringBoot membantu anda menyuntiknya secara automatik ke dalam Walau bagaimanapun, menggunakan ssm
untuk menyepadukan Keselamatan akan menggunakan banyak fail konfigurasi dan tidak mudah dibangunkan skim kebenaran perkhidmatan mikro boleh disepadukan dengan sempurna dengan Cloud, jadi Keselamatan lebih berkuasa dan lebih lengkap daripada Shrio.
Teras: Kelas SecurityConfig memanjangkan WebSecurityConfigurerAdapter
Selepas kita mengkonfigurasi WebSecurity, fokuskan kaedah WebSecurity Untuk konfigurasi berkaitan dalam keseluruhan proses pengesahan keselamatan, sudah tentu, sebelum mengkonfigurasi, kami terlebih dahulu memahami secara ringkas proses
Selepas melihat secara ringkas keseluruhan proses pengesahan pihak berkuasa, mudah untuk membuat kesimpulan bahawa teras Spring Security adalah seperti berikut Beberapa item konfigurasi
Pemintas
Penapis
Pengendali (Pengendali, pengendali pengecualian, pengendali kejayaan log masuk)
Kemudian mari kita selesaikan proses pengesahan melalui konfigurasi dahulu! ! ! !
Andaikan kami ingin melaksanakan fungsi pengesahan berikut
Kita perlu terlebih dahulu menentukan sama ada kod pengesahan adalah betul (penapis kod pengesahan, pra-pemintasan melalui addFilersebelum ini)
dan kemudian tentukan sama ada nama pengguna dan kata laluan adalah betul (gunakan binaan -dalam penapis nama pengguna dan kata laluan , UsernamePasswordAuthenticationFilter)
Konfigurasikan pengendali pengecualian (Handler) untuk menulis maklumat pengecualian melalui strim IO
Mengenai proses Pengesahan kata laluan:
Peraturan pengesahan kata laluan UsernamePasswordAuthenticationFilter disahkan berdasarkan peraturan dalam UserDetailsService di bawah AuthenticationManagerBuilder (pengurus pengesahan):
Kaedah teras:
1. public UserDetails *loadUserByUsername(String username)
Pergi ke pangkalan data untuk bertanya sama ada ia wujud melalui nama pengguna parameter permintaan Jika ia wujud, ia akan dirangkumkan dalam UserDetails dan proses pengesahan adalah untuk mendapatkan nama pengguna dan kata laluan dalam UserDetail melalui AuthenticationManagerBuilder Untuk mengesahkan,
supaya kami boleh mengkonfigurasi fail yaml untuk menetapkan kata laluan akaun melalui
untuk menetapkan akaun melalui pangkalan data digabungkan dengan Kata Laluan UserDetail
(Kaedah dalam UserDetailsService, sila ambil perhatian bahawa UserDetailsService perlu disuntik ke dalam AuthenticationManagerBuilder)
@Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { SysUser sysUser = sysUserService.getByUsername(username); if (sysUser == null) { throw new UsernameNotFoundException("用户名或密码不正确"); } // 注意匹配参数,前者是明文后者是暗纹 System.out.println("是否正确"+bCryptPasswordEncoder.matches("111111",sysUser.getPassword())); return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId())); }
Selepas lulus pengesahan ini, penapis akan membiarkannya berlalu, jika tidak, gunakan tersuai Atau pemprosesan lalai
fail konfigurasi teras:
package com.markerhub.config; import com.markerhub.security.*; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.config.http.SessionCreationPolicy; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired LoginFailureHandler loginFailureHandler; @Autowired LoginSuccessHandler loginSuccessHandler; @Autowired CaptchaFilter captchaFilter; @Autowired JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired JwtAccessDeniedHandler jwtAccessDeniedHandler; @Autowired UserDetailServiceImpl userDetailService; @Autowired JwtLogoutSuccessHandler jwtLogoutSuccessHandler; @Bean JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception { JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager()); return jwtAuthenticationFilter; } @Bean BCryptPasswordEncoder bCryptPasswordEncoder() { return new BCryptPasswordEncoder(); } private static final String[] URL_WHITELIST = { "/login", "/logout", "/captcha", "/favicon.ico", }; protected void configure(HttpSecurity http) throws Exception { http.cors().and().csrf().disable() // 登录配置 .formLogin() .successHandler(loginSuccessHandler) .failureHandler(loginFailureHandler) .and() .logout() .logoutSuccessHandler(jwtLogoutSuccessHandler) // 禁用session .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 配置拦截规则 .and() .authorizeRequests() .antMatchers(URL_WHITELIST).permitAll() .anyRequest().authenticated() // 异常处理器 .and() .exceptionHandling() .authenticationEntryPoint(jwtAuthenticationEntryPoint) .accessDeniedHandler(jwtAccessDeniedHandler) // 配置自定义的过滤器 .and() .addFilter(jwtAuthenticationFilter()) .addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class) ; } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailService); } }
Lihat melalui JwtfFilter Sama ada status dilog masuk
Pada asasnya, ia masih menulis rantai penapis:
Dalam Tambah penapis sebelum permintaan log masuk
Beri perhatian kepada masa tamat tempoh kod pengesahan yang disimpan dalam redis . Jika masa tamat tempoh melebihi, ia akan dipintas oleh pemintas kod pengesahan
Antara muka untuk menjana kod pengesahan perlu disediakan dan disimpan dalam Redis
Kod pengesahan perlu dipadamkan selepas menggunakannya
// 校验验证码逻辑 private void validate(HttpServletRequest httpServletRequest) { String code = httpServletRequest.getParameter("code"); String key = httpServletRequest.getParameter("token"); if (StringUtils.isBlank(code) || StringUtils.isBlank(key)) { System.out.println("验证码校验失败2"); throw new CaptchaException("验证码错误"); } System.out.println("验证码:"+redisUtil.hget(Const.CAPTCHA_KEY, key)); if (!code.equals(redisUtil.hget(Const.CAPTCHA_KEY, key))) { System.out.println("验证码校验失败3"); throw new CaptchaException("验证码错误"); } // 一次性使用 redisUtil.hdel(Const.CAPTCHA_KEY, key); }
Atas ialah kandungan terperinci Apakah proses pengesahan SpringSecurity+Redis?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!