2. 程式人生 > >前後端分離 SpringBoot + SpringSecurity 許可權解決方案

前後端分離 SpringBoot + SpringSecurity 許可權解決方案

阿新 發佈:2019-01-08

一、前言

而公司這邊都是前後端分離鮮明的,前端不要接觸過多的業務邏輯,都由後端解決,基本思路是這樣的:
服務端通過 JSON字串,告訴前端使用者有沒有登入、認證,前端根據這些提示跳轉對應的登入頁、認證頁等。

二、程式碼

下面給個示例,該自上述的之前的程式碼

1.AjaxResponseBody 給前端JSON的格式

返回給前端的資料格式

package com.cun.security3.bean;

import java.io.Serializable;

public class AjaxResponseBody implements Serializable
 
{

    private String status;
    private String msg;
    private Object result;
    private String jwtToken;

    public String getStatus() {
        return status;
    }

    public void setStatus(String status) {
        this.status = status;
    }

    public String getMsg() {
        return msg;
    }

    public
 
 void setMsg(String msg) {
        this.msg = msg;
    }

    public Object getResult() {
        return result;
    }

    public void setResult(Object result) {
        this.result = result;
    }

    public String getJwtToken() {
        return jwtToken;
    }

    public void setJwtToken(String jwtToken) {
        this
 
.jwtToken = jwtToken;
    }
}

2.AjaxAuthenticationEntryPoint 未登入

使用者沒有登入時返回給前端的資料

package com.cun.security3.config;

import com.alibaba.fastjson.JSON;
import com.cun.security3.bean.AjaxResponseBody;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class AjaxAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        AjaxResponseBody responseBody = new AjaxResponseBody();

        responseBody.setStatus("000");
        responseBody.setMsg("Need Authorities!");

        httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
    }
}

3.AjaxAuthenticationFailureHandler 登入失敗

使用者登入失敗時返回給前端的資料

package com.cun.security3.config;

import com.alibaba.fastjson.JSON;
import com.cun.security3.bean.AjaxResponseBody;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class AjaxAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        AjaxResponseBody responseBody = new AjaxResponseBody();

        responseBody.setStatus("400");
        responseBody.setMsg("Login Failure!");

        httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
    }
}

4.AjaxAuthenticationSuccessHandler 登入成功

使用者登入成功時返回給前端的資料

package com.cun.security3.config;

import com.alibaba.fastjson.JSON;
import com.cun.security3.bean.AjaxResponseBody;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class AjaxAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        AjaxResponseBody responseBody = new AjaxResponseBody();

        responseBody.setStatus("200");
        responseBody.setMsg("Login Success!");

        httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
    }
}

5.AjaxAccessDeniedHandler 無權訪問

package com.cun.security3.config;

import com.alibaba.fastjson.JSON;
import com.cun.security3.bean.AjaxResponseBody;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class AjaxAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        AjaxResponseBody responseBody = new AjaxResponseBody();

        responseBody.setStatus("300");
        responseBody.setMsg("Need Authorities!");

        httpServletResponse.getWriter().write(JSON.toJSONString(responseBody));
    }
}

6.SpringSecurityConf 登入攔截全域性配置

package com.cun.security3.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;

@Configuration
public class SpringSecurityConf extends WebSecurityConfigurerAdapter {

    @Autowired
    AjaxAuthenticationEntryPoint authenticationEntryPoint;  //  未登陸時返回 JSON 格式的資料給前端(否則為 html)

    @Autowired
    AjaxAuthenticationSuccessHandler authenticationSuccessHandler;  // 登入成功返回的 JSON 格式資料給前端(否則為 html)

    @Autowired
    AjaxAuthenticationFailureHandler authenticationFailureHandler;  //  登入失敗返回的 JSON 格式資料給前端(否則為 html)

    @Autowired
    AjaxLogoutSuccessHandler  logoutSuccessHandler;  // 登出成功返回的 JSON 格式資料給前端(否則為 登入時的 html)

    @Autowired
    AjaxAccessDeniedHandler accessDeniedHandler;    // 無權訪問返回的 JSON 格式資料給前端(否則為 403 html 頁面)

    @Autowired
    SelfAuthenticationProvider provider; // 自定義安全認證

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 加入自定義的安全認證
        auth.authenticationProvider(provider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.csrf().disable()

                .httpBasic().authenticationEntryPoint(authenticationEntryPoint)

                .and()
                .authorizeRequests()

                .anyRequest()
                .authenticated()// 其他 url 需要身份認證

                .and()
                .formLogin()  //開啟登入
                .successHandler(authenticationSuccessHandler) // 登入成功
                .failureHandler(authenticationFailureHandler) // 登入失敗
                .permitAll()

                .and()
                .logout()
                .logoutSuccessHandler(logoutSuccessHandler)
                .permitAll();

        http.exceptionHandling().accessDeniedHandler(accessDeniedHandler); // 無權訪問 JSON 格式的資料

    }
}

7.SelfUserDetails 自定義 user 物件

package com.cun.security3.config;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.io.Serializable;
import java.util.Collection;
import java.util.Set;

/**
 *  ① 定義 user 物件
 */
public class SelfUserDetails implements UserDetails, Serializable {
    private String username;
    private String password;
    private Set<? extends GrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    public void setAuthorities(Set<? extends GrantedAuthority> authorities) {
        this.authorities = authorities;
    }

    @Override
    public String getPassword() { // 最重點Ⅰ
        return this.password;
    }

    @Override
    public String getUsername() { // 最重點Ⅱ
        return this.username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

8.SelfUserDetailsService 使用者認證、許可權

package com.cun.security3.config;

import org.springframework.security.authentication.encoding.Md5PasswordEncoder;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Component;

import java.util.HashSet;
import java.util.Set;

/**
 *  ② 根據 username 獲取資料庫 user 資訊
 */
@Component
public class SelfUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //構建使用者資訊的邏輯(取資料庫/LDAP等使用者資訊)
        SelfUserDetails userInfo = new SelfUserDetails();
        userInfo.setUsername(username); // 任意使用者名稱登入

        Md5PasswordEncoder md5PasswordEncoder = new Md5PasswordEncoder();
        String encodePassword = md5PasswordEncoder.encodePassword("123", username); // 模擬從資料庫中獲取的密碼原為 123
        userInfo.setPassword(encodePassword);

        Set authoritiesSet = new HashSet();
        GrantedAuthority authority = new SimpleGrantedAuthority("ROLE_ADMIN"); // 模擬從資料庫中獲取使用者角色

        authoritiesSet.add(authority);
        userInfo.setAuthorities(authoritiesSet);

        return userInfo;
    }
}

9.SelfAuthenticationProvider 前端互動

package com.cun.security3.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.authentication.encoding.Md5PasswordEncoder;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Component;

import java.util.HashSet;
import java.util.Set;

@Component
public class SelfAuthenticationProvider implements AuthenticationProvider {
    @Autowired
    SelfUserDetailsService userDetailsService;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String userName = (String) authentication.getPrincipal(); // 這個獲取表單輸入中返回的使用者名稱;
        String password = (String) authentication.getCredentials(); // 這個是表單中輸入的密碼;

        Md5PasswordEncoder md5PasswordEncoder = new Md5PasswordEncoder();
        String encodePwd = md5PasswordEncoder.encodePassword(password, userName);

        UserDetails userInfo = userDetailsService.loadUserByUsername(userName);

        if (!userInfo.getPassword().equals(encodePwd)) {
            throw new BadCredentialsException("使用者名稱密碼不正確,請重新登陸!");
        }

        return new UsernamePasswordAuthenticationToken(userName, password, userInfo.getAuthorities());
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return true;
    }
}

三、使用 postman 測試 ajax

1.未登入

這裡寫圖片描述

2.登入失敗

這裡寫圖片描述

3.登入成功

這裡寫圖片描述

4.登出成功

這裡寫圖片描述

四、其他

溫馨提示:session+cookie 不安全 ~
上述略有前後端分離的影子,真正前後端開發還要引入 JWT,有空再敘

相關推薦

前後分離 SpringBoot + SpringSecurity 許可權解決方案

一、前言 而公司這邊都是前後端分離鮮明的,前端不要接觸過多的業務邏輯,都由後端解決,基本思路是這樣的: 服務端通過 JSON字串,告訴前端使用者有沒有登入、認證,前端根據這些提示跳轉對應的登入頁、認證頁等。 二、程式碼 下面給個示例,該自上述的之

前後分離跨域問題解決方案

宣告: 在以往的開發中,前後端分離也不是像現在這麼熱門,所謂的前端工程師也只不過是寫好靜態頁面由Java工程師或者php工程師嵌入到頁面中進行開發,這或許加重了這些工程師的工作量,而且在樣式除錯上由純html程式碼到jsp,asp,php除錯起來要兩個工程師一

Vue微信授權登入前後分離較為優雅的解決方案

微信授權登入是一個非常常見的場景,利用微信授權登入,我們可以很容易獲取使用者的一些資訊,通過使用者對公眾號的唯一openid從而建立資料庫繫結使用者身份. 微信授權登入的機制這裡不做詳述,微信官方文件已有詳述,簡述就是通過跳轉微信授權的頁面,使用者點選確認後

shiro 前後分離框架 使用者登入解決方案

介紹 最近公司要原本springmvc+shiro 許可權控制的一個專案,改為前後端分離的,使前端人員能有更多時間來做前端的互動工作,提升使用者體驗。 但是這個問題就來了,原來沒有分離的情況下,shiro 許可權是通過憑證來登入的,現在需要更改為前端ajax

webpack 前後分離開發介面除錯解決方案,proxyTable解決方案

如果你有單獨的後端開發伺服器 API,並且希望在同域名下發送 API 請求 ,那麼代理某些 URL 會很有用。 dev-server 使用了非常強大的 http-proxy-middleware 包。更多高階用法,請查閱其文件。 在 localhost:3000 上有後端服務的話,你可以這樣啟用代理:

前後分離跨域問題解決方案(在server設定header)

import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; i

前後互動跨域問題解決方案,跨域資源共享(CORS)

跨域資源共享(CORS) 普通跨域請求:只服務端設定Access-Control-Allow-Origin即可,前端無須設定,若要帶cookie請求:前後端都需要設定。 需注意的是:由於同源策略的限制,所讀取的cookie為跨域請求介面所在域的cookie,而非當前頁。如

django前後分離csrf驗證的解決方法

django前後端分離csrf的解決方法 第一種方式ensure_csrf_cookie 這種方方式使用ensure_csrf_cookie 裝飾器實現,且前端頁面由瀏覽器傳送檢視請求,在檢視中使用render渲染模板,響應給前端,此時這個渲染模板的檢

前後分離 跨域問題解決

跨域的實現原理 http 跨域請求後端服務的時候會在請求頭中帶上如下資訊 Origin: http://api.jijs.com 後端伺服器需要在http的響應頭中新增以下響應頭 Access-Control-Allow-Origin : htt

SpringBoot+Vue前後分離,使用SpringSecurity完美處理許可權問題(一)

當前後端分離時,許可權問題的處理也和我們傳統的處理方式有一點差異。筆者前幾天剛好在負責一個專案的許可權管理模組,現在許可權管理模組已經做完了,我想通過5-

SpringBoot+Vue前後分離,使用SpringSecurity完美處理許可權問題(二)

當前後端分離時,許可權問題的處理也和我們傳統的處理方式有一點差異。筆者前幾天剛好在負責一個專案的許可權管理模組,現在許可權管理模組已經做完了,我想通過5-6篇文章,來介紹一下專案中遇到的問題以及我的解決方案,希望這個系列能夠給小夥伴一些幫助。本系列文章並不是手把

SpringBoot+Vue前後分離,使用SpringSecurity完美處理許可權問題(六)

當前後端分離時,許可權問題的處理也和我們傳統的處理方式有一點差異。筆者前幾天剛好在負責一個專案的許可權管理模組,現在許可權管理模組已經做完了,我想通過5-6篇文章,來介紹一下專案中遇到的問題以及我的解決方案,希望這個系列能夠給小夥伴一些幫助。本系列文章並不是手把

Atitit 微服務的一些理論 目錄 1. 微服務的4個設計原則和19個解決方案 1 2. 微服務應用4個設計原則 1 2.1. AKF拆分原則 2 2.2. 前後分離 2 2.3. 無狀態服務

Atitit 微服務的一些理論   目錄 1. 微服務的4個設計原則和19個解決方案 1 2. 微服務應用4個設計原則 1 2.1. AKF拆分原則 2 2.2. 前後端分離 2 2.3. 無狀態服務 2 2.4. Restful通訊風格 2 3. 微服

Nginx+Springboot+Vue 前後分離 解決跨域問題

1:前端vue 寫完 打包 npm run build prod   2: 後端api 寫完打包 springboot mvn package -Dmaven.test.skip=true   3: nginx配置反向代理,解決跨域問題 配置如下  server

Php如何返回json資料,前後分離的基本解決方案

php返回json,xml,JSONP等格式的資料 返回json資料: header('Content-Type:application/json; charset=utf-8'); $arr = array('a'=>1,'b'=>2); exit(json_enco

前後分離SpringBoot專案中整合Shiro許可權框架

出自 目錄 專案背景 解決方案 參考文章 專案背景        公司在幾年前就採用了前後端分離的開發模式,前端所有請求都使用ajax。這樣的專案結構在與CAS單點登入等許可權管理框架整合時遇到了很多問題,使得許可權部分的程式碼冗長醜陋,CAS的各種重定向也使得使

從壹開始前後分離[.netCore 不定期 ] 36 ║解決JWT許可權驗證過期問題

緣起 哈嘍,老張的不定期更新的日常又開始了,在咱們的前後端分離的.net core 框架中,雖然已經實現了許可權驗證《框架之五 || Swagger的使用 3.3 JWT許可權驗證【修改】》,只不過還是有一些遺留問題,最近有不少的小夥伴發現了這樣的一些問題,本來想著直接就在原文修改,但是發現可能怕有的小夥伴

前後分離模式下的許可權設計方案

前後端分離模式下,所有的互動場景都變成了資料,傳統業務系統中的許可權控制方案在前端已經不再適用,因此引發了我對許可權的重新思考與設計。 許可權控制到底控制的是什麼? 在理解許可權控制之前,需要明白兩個概念:資源和許可權。什麼是資源,對於一個系統來說,系統內部的所有資訊都可以理解為這個系統的資源。頁面是資源、資

React + Axios + Django前後分離CSRF問題解決方案

想直接看程式碼的移步GitHub: CSRF 403 Forbidden這個問題從我剛開始做這個前端登入介面的時候就遇到了,但為了不耽誤學習進度關閉了Django的CSRF驗證選項。 現在快要做完了,就抽出了半天時間來解決了這個問題。 並不難其實,

SpringBoot使用SpringSecurity搭建基於非對稱加密的JWT及前後分離的搭建

安全問題是一個比較複雜的問題,之前使用過Shiro這個安全框架,確實挺簡單的,後來使用SpringSecurity,SpringSecurity更細粒度可控,現在做專案基本都使用前後端分離的,很少再使用Thymeleaf這類模板引擎,而基於前後端分離的許可權問題