Was ist der SpringSecurity+Redis-Authentifizierungsprozess?

Einführung in die Einführung

Die beliebte Technologie-Stack-Kombination für Berechtigungsmanagement auf dem heutigen Markt ist

• ssm+shrio

• SpringCloud+SpringBoot+SpringSecurity

Diese Kombination hat natürlich ihre eigene Übereinstimmung Merkmale: Aufgrund des Prinzips der automatischen Injektionskonfiguration von SpringBoot wird der Filtercontainer (DelegatingFilterProxy), der SpringSecurity verwaltet, beim Erstellen des Projekts automatisch injiziert, und dieser Filter ist der Kern der gesamten SpringSercurity. Beherrscht den gesamten Berechtigungsauthentifizierungsprozess von SpringSercurity und SpringBoot hilft Ihnen, ihn automatisch einzufügen Die Verwendung von ssm zur Integration von Security verbraucht viele Konfigurationsdateien und ist nicht einfach zu entwickeln, und die Microservice-Berechtigungen von Security können perfekt integriert werden Cloud, daher ist Security leistungsfähiger und umfassender als Shrio. Die Kernkonfigurationsdatei von Security Schauen Sie sich den Prozess an
Nach einem kurzen Blick auf den gesamten Berechtigungsauthentifizierungsprozess kann man leicht zu dem Schluss kommen, dass der Kern von Spring Security die folgenden Konfigurationselemente sind

Interceptor Filter

Handler (Handler, Ausnahmehandler, Anmeldeerfolgshandler)

• Dann schließen wir zunächst den Authentifizierungsprozess durch Konfiguration ab! ! ! !

• Sicherheitsauthentifizierungsprozess

Angenommen, wir möchten die folgende Authentifizierungsfunktion implementieren

• 1. Es handelt sich um eine Anmeldeanforderung

Wir müssen zunächst feststellen, ob der Bestätigungscode korrekt ist (Bestätigungscodefilter, Vorabfangen). addFilerbefore)

Bestimmen Sie dann, ob der Benutzername und das Passwort korrekt sind (verwenden Sie den integrierten Benutzernamen- und Passwortfilter,

UsernamePasswordAuthenticationFilter

)

Konfigurieren Sie den Ausnahmehandler (Handler), um die Ausnahmeinformationen über das IO auszuschreiben stream
Informationen zum Überprüfungsprozess für Passwörter:
• Die Passwortüberprüfungsregeln von UsernamePasswordAuthenticationFilter werden basierend auf den Regeln in UserDetailsService unter AuthenticationManagerBuilder (Authentifizierungsmanager) überprüft:

  Die Kernmethode: 1.public

  UserDetails
*loadUserByUsername(String username)
• Gehen Sie zur Datenbank, um über den Benutzernamen des Anforderungsparameters abzufragen. Wenn er vorhanden ist, wird er in UserDetails gekapselt. Der Überprüfungsprozess wird durch Abrufen des Benutzernamens und Passworts in UserDetail über AuthenticationManagerBuilder überprüft kann bestehen

Konfigurieren Sie die Yaml-Datei, um das Kontokennwort festzulegen.

Legen Sie das Kontokennwort über die Datenbank in Kombination mit UserDetail fest.

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		SysUser sysUser = sysUserService.getByUsername(username);
		if (sysUser == null) {
			throw new UsernameNotFoundException("用户名或密码不正确");
		}
		// 注意匹配参数，前者是明文后者是暗纹
		System.out.println("是否正确"+bCryptPasswordEncoder.matches("111111",sysUser.getPassword()));
		return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
	}

Nach bestandener Überprüfung wird der Filter freigegeben. Wenn er nicht bestanden wird, verwenden Sie einen benutzerdefinierten oder Standardprozessor zur Verarbeitung

Kernkonfigurationsdatei:

package com.markerhub.config;

import com.markerhub.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	LoginFailureHandler loginFailureHandler;

	@Autowired
	LoginSuccessHandler loginSuccessHandler;

	@Autowired
	CaptchaFilter captchaFilter;

	@Autowired
	JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;

	@Autowired
	JwtAccessDeniedHandler jwtAccessDeniedHandler;

	@Autowired
	UserDetailServiceImpl userDetailService;

	@Autowired
	JwtLogoutSuccessHandler jwtLogoutSuccessHandler;

	@Bean
	JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
		JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
		return jwtAuthenticationFilter;
	}

	@Bean
	BCryptPasswordEncoder bCryptPasswordEncoder() {
		return new BCryptPasswordEncoder();
	}

	private static final String[] URL_WHITELIST = {

			"/login",
			"/logout",
			"/captcha",
			"/favicon.ico",

	};


	protected void configure(HttpSecurity http) throws Exception {

		http.cors().and().csrf().disable()

				// 登录配置
				.formLogin()
				.successHandler(loginSuccessHandler)
				.failureHandler(loginFailureHandler)

				.and()
				.logout()
				.logoutSuccessHandler(jwtLogoutSuccessHandler)

				// 禁用session
				.and()
				.sessionManagement()
				.sessionCreationPolicy(SessionCreationPolicy.STATELESS)

				// 配置拦截规则
				.and()
				.authorizeRequests()
				.antMatchers(URL_WHITELIST).permitAll()
				.anyRequest().authenticated()

				// 异常处理器
				.and()
				.exceptionHandling()
				.authenticationEntryPoint(jwtAuthenticationEntryPoint)
				.accessDeniedHandler(jwtAccessDeniedHandler)

				// 配置自定义的过滤器
				.and()
				.addFilter(jwtAuthenticationFilter())
				.addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)

		;

	}

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailService);
	}
}

• 2. Es handelt sich nicht um eine Anmeldeanforderung

• Verwenden Sie JwtfFilter, um zu überprüfen, ob es angemeldet ist.

Hinweis bei Verwendung der Redis-Integration.

Im Wesentlichen wird immer noch eine Filterkette geschrieben:

Fügen Sie vor der Anmeldeanforderung einen Filter hinzu.

Achten Sie darauf die Ablaufzeit des in Redis gespeicherten Bestätigungscodes. Wenn die Ablaufzeit überschritten wird, wird er vom Bestätigungscode-Abfangjäger abgefangen.

• Sie müssen eine Schnittstelle zum Generieren von Bestätigungscodes vorbereiten und diese in Redis speichern Nach der Verwendung muss der Bestätigungscode gelöscht werden

// 校验验证码逻辑
	private void validate(HttpServletRequest httpServletRequest) {

		String code = httpServletRequest.getParameter("code");
		String key = httpServletRequest.getParameter("token");

		if (StringUtils.isBlank(code) || StringUtils.isBlank(key)) {
			System.out.println("验证码校验失败2");
			throw new CaptchaException("验证码错误");
		}

		System.out.println("验证码："+redisUtil.hget(Const.CAPTCHA_KEY, key));
		if (!code.equals(redisUtil.hget(Const.CAPTCHA_KEY, key))) {
			System.out.println("验证码校验失败3");
			throw new CaptchaException("验证码错误");
		}

		// 一次性使用
		redisUtil.hdel(Const.CAPTCHA_KEY, key);
	}

Das obige ist der detaillierte Inhalt vonWas ist der SpringSecurity+Redis-Authentifizierungsprozess?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!