Heim > Datenbank > Redis > Was ist der SpringSecurity+Redis-Authentifizierungsprozess?

Was ist der SpringSecurity+Redis-Authentifizierungsprozess?

王林
Freigeben: 2023-06-03 15:22:20
nach vorne
1015 Leute haben es durchsucht

Einführung in die Einführung

Die beliebte Technologie-Stack-Kombination für Berechtigungsmanagement auf dem heutigen Markt ist

  • ssm+shrio

  • SpringCloud+SpringBoot+SpringSecurity

Was ist der SpringSecurity+Redis-Authentifizierungsprozess?

Diese Kombination hat natürlich ihre eigene Übereinstimmung Merkmale: Aufgrund des Prinzips der automatischen Injektionskonfiguration von SpringBoot wird der Filtercontainer (DelegatingFilterProxy), der SpringSecurity verwaltet, beim Erstellen des Projekts automatisch injiziert, und dieser Filter ist der Kern der gesamten SpringSercurity. Beherrscht den gesamten Berechtigungsauthentifizierungsprozess von SpringSercurity und SpringBoot hilft Ihnen, ihn automatisch einzufügen Die Verwendung von ssm zur Integration von Security verbraucht viele Konfigurationsdateien und ist nicht einfach zu entwickeln, und die Microservice-Berechtigungen von Security können perfekt integriert werden Cloud, daher ist Security leistungsfähiger und umfassender als Shrio. Die Kernkonfigurationsdatei von Security Schauen Sie sich den Prozess an
Nach einem kurzen Blick auf den gesamten Berechtigungsauthentifizierungsprozess kann man leicht zu dem Schluss kommen, dass der Kern von Spring Security die folgenden Konfigurationselemente sind

Interceptor Filter

Handler (Handler, Ausnahmehandler, Anmeldeerfolgshandler)

  • Dann schließen wir zunächst den Authentifizierungsprozess durch Konfiguration ab! ! ! !
  • Sicherheitsauthentifizierungsprozess

  • Angenommen, wir möchten die folgende Authentifizierungsfunktion implementieren
  • 1. Es handelt sich um eine Anmeldeanforderung

Wir müssen zunächst feststellen, ob der Bestätigungscode korrekt ist (Bestätigungscodefilter, Vorabfangen). addFilerbefore)

Bestimmen Sie dann, ob der Benutzername und das Passwort korrekt sind (verwenden Sie den integrierten Benutzernamen- und Passwortfilter,

UsernamePasswordAuthenticationFilter

)

    Konfigurieren Sie den Ausnahmehandler (Handler), um die Ausnahmeinformationen über das IO auszuschreiben stream
  • Informationen zum Überprüfungsprozess für Passwörter:
  • Die Passwortüberprüfungsregeln von UsernamePasswordAuthenticationFilter werden basierend auf den Regeln in UserDetailsService unter AuthenticationManagerBuilder (Authentifizierungsmanager) überprüft:

    Die Kernmethode: 1.public

    UserDetails
  • *loadUserByUsername(String username)
  • Gehen Sie zur Datenbank, um über den Benutzernamen des Anforderungsparameters abzufragen. Wenn er vorhanden ist, wird er in UserDetails gekapselt. Der Überprüfungsprozess wird durch Abrufen des Benutzernamens und Passworts in UserDetail über AuthenticationManagerBuilder überprüft kann bestehen

Konfigurieren Sie die Yaml-Datei, um das Kontokennwort festzulegen.



Legen Sie das Kontokennwort über die Datenbank in Kombination mit UserDetail fest.

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		SysUser sysUser = sysUserService.getByUsername(username);
		if (sysUser == null) {
			throw new UsernameNotFoundException("用户名或密码不正确");
		}
		// 注意匹配参数,前者是明文后者是暗纹
		System.out.println("是否正确"+bCryptPasswordEncoder.matches("111111",sysUser.getPassword()));
		return new AccountUser(sysUser.getId(), sysUser.getUsername(), sysUser.getPassword(), getUserAuthority(sysUser.getId()));
	}
Nach dem Login kopieren
Nach bestandener Überprüfung wird der Filter freigegeben. Wenn er nicht bestanden wird, verwenden Sie einen benutzerdefinierten oder Standardprozessor zur Verarbeitung

Kernkonfigurationsdatei:

    package com.markerhub.config;
    
    import com.markerhub.security.*;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
    import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
    import org.springframework.security.config.http.SessionCreationPolicy;
    import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
    import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
    
    @Configuration
    @EnableWebSecurity
    @EnableGlobalMethodSecurity(prePostEnabled = true)
    public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    	@Autowired
    	LoginFailureHandler loginFailureHandler;
    
    	@Autowired
    	LoginSuccessHandler loginSuccessHandler;
    
    	@Autowired
    	CaptchaFilter captchaFilter;
    
    	@Autowired
    	JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
    
    	@Autowired
    	JwtAccessDeniedHandler jwtAccessDeniedHandler;
    
    	@Autowired
    	UserDetailServiceImpl userDetailService;
    
    	@Autowired
    	JwtLogoutSuccessHandler jwtLogoutSuccessHandler;
    
    	@Bean
    	JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
    		JwtAuthenticationFilter jwtAuthenticationFilter = new JwtAuthenticationFilter(authenticationManager());
    		return jwtAuthenticationFilter;
    	}
    
    	@Bean
    	BCryptPasswordEncoder bCryptPasswordEncoder() {
    		return new BCryptPasswordEncoder();
    	}
    
    	private static final String[] URL_WHITELIST = {
    
    			"/login",
    			"/logout",
    			"/captcha",
    			"/favicon.ico",
    
    	};
    
    
    	protected void configure(HttpSecurity http) throws Exception {
    
    		http.cors().and().csrf().disable()
    
    				// 登录配置
    				.formLogin()
    				.successHandler(loginSuccessHandler)
    				.failureHandler(loginFailureHandler)
    
    				.and()
    				.logout()
    				.logoutSuccessHandler(jwtLogoutSuccessHandler)
    
    				// 禁用session
    				.and()
    				.sessionManagement()
    				.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
    
    				// 配置拦截规则
    				.and()
    				.authorizeRequests()
    				.antMatchers(URL_WHITELIST).permitAll()
    				.anyRequest().authenticated()
    
    				// 异常处理器
    				.and()
    				.exceptionHandling()
    				.authenticationEntryPoint(jwtAuthenticationEntryPoint)
    				.accessDeniedHandler(jwtAccessDeniedHandler)
    
    				// 配置自定义的过滤器
    				.and()
    				.addFilter(jwtAuthenticationFilter())
    				.addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class)
    
    		;
    
    	}
    
    	@Override
    	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    		auth.userDetailsService(userDetailService);
    	}
    }
    Nach dem Login kopieren
  • 2. Es handelt sich nicht um eine Anmeldeanforderung

  • Verwenden Sie JwtfFilter, um zu überprüfen, ob es angemeldet ist.

Hinweis bei Verwendung der Redis-Integration.

Im Wesentlichen wird immer noch eine Filterkette geschrieben:

Fügen Sie vor der Anmeldeanforderung einen Filter hinzu.

Achten Sie darauf die Ablaufzeit des in Redis gespeicherten Bestätigungscodes. Wenn die Ablaufzeit überschritten wird, wird er vom Bestätigungscode-Abfangjäger abgefangen.
  • Sie müssen eine Schnittstelle zum Generieren von Bestätigungscodes vorbereiten und diese in Redis speichern Nach der Verwendung muss der Bestätigungscode gelöscht werden

// 校验验证码逻辑
	private void validate(HttpServletRequest httpServletRequest) {

		String code = httpServletRequest.getParameter("code");
		String key = httpServletRequest.getParameter("token");

		if (StringUtils.isBlank(code) || StringUtils.isBlank(key)) {
			System.out.println("验证码校验失败2");
			throw new CaptchaException("验证码错误");
		}

		System.out.println("验证码:"+redisUtil.hget(Const.CAPTCHA_KEY, key));
		if (!code.equals(redisUtil.hget(Const.CAPTCHA_KEY, key))) {
			System.out.println("验证码校验失败3");
			throw new CaptchaException("验证码错误");
		}

		// 一次性使用
		redisUtil.hdel(Const.CAPTCHA_KEY, key);
	}
Nach dem Login kopieren

Das obige ist der detaillierte Inhalt vonWas ist der SpringSecurity+Redis-Authentifizierungsprozess?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage