SpringSecurity+Redis认证过程是怎样的-Redis-PHP中文网

首页

数据库

Redis

SpringSecurity+Redis认证过程是怎样的

王林

Jun 03, 2023 pm 03:22 PM

redisspringsecurity

前言引入

当今市面上用于权限管理的流行的技术栈组合是

ssm+shrio
SpringCloud+SpringBoot+SpringSecurity

SpringSecurity+Redis认证过程是怎样的

这种搭配自然有其搭配的特点，由于SpringBoot的自动注入配置原理，在创建项目时就自动注入管理SpringSecurity的过滤器容器（DelegatingFilterProxy），而这个过滤器是整个SpringSercurity的核心。掌握着SpringSercurity整个权限认证过程，而SpringBoot很香的帮你将其自动注入了，而用ssm
去整合Security，将会耗用大量的配置文件，不易于开发，而Security的微服务权限方案，更是能和Cloud完美融合，于是Security比Shrio更强大，功能更齐全。

Security的核心配置文件

核心：Class SecurityConfig extends WebSecurityConfigurerAdapter

继承了WebSecurityConfigurerAdapter后我们关注于configure方法对于在整个安全认证的过程进行相关的配置，当然在配置之前我们先简单了解一下流程

简单的看了整个权限认证的流程，很轻易的总结得出，SpringSecurity核心的就是以下几种配置项了

拦截器（Interceptor）
过滤器（Filter）
处理器（Handler，异常处理器，登录成功处理器）

那我们就首先通过配置来完成认证过程吧！！！！

Security的认证过程

假设我们要实现一下的认证功能

1. 是登录请求

我们需要先判断验证码是否正确(验证码过滤器，通过addFilerbefore实现前置拦截)
再判断用户名密码是否正确（使用自带的用户名密码过滤器，UsernamePasswordAuthenticationFilter）
配置异常处理器（Handler）通过IO流将异常信息写出

关于密码校验的流程：
UsernamePasswordAuthenticationFilter的密码校验规则是基于AuthenticationManagerBuilder（认证管理器）下的 UserDetailsService里的规则进行验证的：
其中的核心方法：

1.public UserDetails *loadUserByUsername(String username)
通过请求参数的用户名去数据库查询是否存在，存在则将其封装在UserDetails里面，而验证过程是通过AuthenticationManagerBuilder获取到UserDetail里的username和password来校验的，
这样我们就可以通过

配置yaml文件设置账号密码
通过数据库结合UserDetail来设置账号密码

(UserDetailsService中的方法，注意需要将UserDetailsService注入AuthenticationManagerBuilder中)

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		SysUser sysUser = sysUserService.getByUsername(username);
		if (sysUser == null) {
			throw new UsernameNotFoundException("用户名或密码不正确");
		}
		// 注意匹配参数，前者是明文后者是暗纹
		System.out.println("是否正确"+bCryptPasswordEncoder.matches("111111",sysUser.getPassword()));
		return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
	}

通过了这个验证后，过滤器放行，不通过就用自定义或者默认的处理器处理

核心配置文件：

package com.markerhub.config;

import com.markerhub.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	LoginFailureHandler loginFailureHandler;

	@Autowired
	LoginSuccessHandler loginSuccessHandler;

	@Autowired
	CaptchaFilter captchaFilter;

	@Autowired
	JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

	@Autowired
	JwtAccessDeniedHandler jwtAccessDeniedHandler;

	@Autowired
	UserDetailServiceImpl userDetailService;

	@Autowired
	JwtLogoutSuccessHandler jwtLogoutSuccessHandler;

	@Bean
	JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
		JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
		return jwtAuthenticationFilter;
	}

	@Bean
	BCryptPasswordEncoder bCryptPasswordEncoder() {
		return new BCryptPasswordEncoder();
	}

	private static final String[] URL_WHITELIST = {

			"/login",
			"/logout",
			"/captcha",
			"/favicon.ico",

	};


	protected void configure(HttpSecurity http) throws Exception {

		http.cors().and().csrf().disable()

				// 登录配置
				.formLogin()
				.successHandler(loginSuccessHandler)
				.failureHandler(loginFailureHandler)

				.and()
				.logout()
				.logoutSuccessHandler(jwtLogoutSuccessHandler)

				// 禁用session
				.and()
				.sessionManagement()
				.sessionCreationPolicy(SessionCreationPolicy.STATELESS)

				// 配置拦截规则
				.and()
				.authorizeRequests()
				.antMatchers(URL_WHITELIST).permitAll()
				.anyRequest().authenticated()

				// 异常处理器
				.and()
				.exceptionHandling()
				.authenticationEntryPoint(jwtAuthenticationEntryPoint)
				.accessDeniedHandler(jwtAccessDeniedHandler)

				// 配置自定义的过滤器
				.and()
				.addFilter(jwtAuthenticationFilter())
				.addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)

		;

	}

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailService);
	}
}

2. 不是登录请求

通过JwtfFilter来查看是否为登录状态

使用Redis整合时的注意事项

本质上还是编写过滤器链：

在登录请求前添加过滤器
注意验证码存储在redis的失效时间，如果超过失效时间将会被验证码拦截器拦截下来
需要准备一个生成验证码的接口，存储在Redis中
使用完验证码需要将其删除

// 校验验证码逻辑
	private void validate(HttpServletRequest httpServletRequest) {

		String code = httpServletRequest.getParameter("code");
		String key = httpServletRequest.getParameter("token");

		if (StringUtils.isBlank(code) || StringUtils.isBlank(key)) {
			System.out.println("验证码校验失败2");
			throw new CaptchaException("验证码错误");
		}

		System.out.println("验证码："+redisUtil.hget(Const.CAPTCHA_KEY, key));
		if (!code.equals(redisUtil.hget(Const.CAPTCHA_KEY, key))) {
			System.out.println("验证码校验失败3");
			throw new CaptchaException("验证码错误");
		}

		// 一次性使用
		redisUtil.hdel(Const.CAPTCHA_KEY, key);
	}

以上是SpringSecurity+Redis认证过程是怎样的的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文转载于：亿速云。如有侵权，请联系admin@php.cn删除

了解NOSQL：Redis的关键特征Apr 13, 2025 am 12:17 AM

Redis的关键特性包括速度、灵活性和丰富的数据结构支持。1）速度：Redis作为内存数据库，读写操作几乎瞬时，适用于缓存和会话管理。2）灵活性：支持多种数据结构，如字符串、列表、集合等，适用于复杂数据处理。3）数据结构支持：提供字符串、列表、集合、哈希表等，适合不同业务需求。

REDIS：确定其主要功能Apr 12, 2025 am 12:01 AM

Redis的核心功能是高性能的内存数据存储和处理系统。1)高速数据访问：Redis将数据存储在内存中，提供微秒级别的读写速度。2)丰富的数据结构：支持字符串、列表、集合等，适应多种应用场景。3)持久化：通过RDB和AOF方式将数据持久化到磁盘。4)发布订阅：可用于消息队列或实时通信系统。

REDIS：流行数据结构指南Apr 11, 2025 am 12:04 AM

Redis支持多种数据结构，具体包括：1.字符串（String），适合存储单一值数据；2.列表（List），适用于队列和栈；3.集合（Set），用于存储不重复数据；4.有序集合（SortedSet），适用于排行榜和优先级队列；5.哈希表（Hash），适合存储对象或结构化数据。

redis计数器怎么实现Apr 10, 2025 pm 10:21 PM

Redis计数器是一种使用Redis键值对存储来实现计数操作的机制，包含以下步骤：创建计数器键、增加计数、减少计数、重置计数和获取计数。Redis计数器的优势包括速度快、高并发、持久性和简单易用。它可用于用户访问计数、实时指标跟踪、游戏分数和排名以及订单处理计数等场景。

redis命令行怎么用Apr 10, 2025 pm 10:18 PM

使用 Redis 命令行工具 (redis-cli) 可通过以下步骤管理和操作 Redis：连接到服务器，指定地址和端口。使用命令名称和参数向服务器发送命令。使用 HELP 命令查看特定命令的帮助信息。使用 QUIT 命令退出命令行工具。

redis集群模式怎么搭建Apr 10, 2025 pm 10:15 PM

Redis集群模式通过分片将Redis实例部署到多个服务器，提高可扩展性和可用性。搭建步骤如下：创建奇数个Redis实例，端口不同；创建3个sentinel实例，监控Redis实例并进行故障转移；配置sentinel配置文件，添加监控Redis实例信息和故障转移设置；配置Redis实例配置文件，启用集群模式并指定集群信息文件路径；创建nodes.conf文件，包含各Redis实例的信息；启动集群，执行create命令创建集群并指定副本数量；登录集群执行CLUSTER INFO命令验证集群状态；使

redis怎么读取队列Apr 10, 2025 pm 10:12 PM

要从 Redis 读取队列，需要获取队列名称、使用 LPOP 命令读取元素，并处理空队列。具体步骤如下：获取队列名称：以 "queue:" 前缀命名，如 "queue:my-queue"。使用 LPOP 命令：从队列头部弹出元素并返回其值，如 LPOP queue:my-queue。处理空队列：如果队列为空，LPOP 返回 nil，可先检查队列是否存在再读取元素。

redis集群zset怎么使用Apr 10, 2025 pm 10:09 PM

Redis 集群中使用 zset：zset 是一种有序集合，将元素与评分关联。分片策略： a. 哈希分片：根据 zset 键的哈希值分布。 b. 范围分片：根据元素评分划分为范围，并将每个范围分配给不同的节点。读写操作： a. 读操作：如果 zset 键属于当前节点的分片，则在本地处理；否则，路由到相应的分片。 b. 写入操作：始终路由到持有 zset 键的分片。

See all articles