欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

SpringSecurity?鑒權與授權的具體使用

 更新時間:2025年07月01日 10:27:39   作者:超級小忍  
本文介紹了Spring?Security在前后端分離架構中的核心應用,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧

前言

在現(xiàn)代 Web 開發(fā)中,前后端分離架構已經(jīng)成為主流。后端專注于提供 RESTful API,而前端通過 AJAX 請求與后端交互。在這種架構下,如何對用戶進行 認證(Authentication)授權(Authorization) 成為了系統(tǒng)設計中的核心問題。

Spring Security 是 Spring 框架中用于構建安全系統(tǒng)的模塊,它不僅提供了強大的安全機制,還支持靈活的自定義配置。本文將圍繞 鑒權失敗和成功時的行為、需要攔截的路徑配置、以及具體的代碼實現(xiàn)方式 展開講解,并結合多個實際例子,幫助你深入理解 Spring Security 在前后端分離項目中的使用。

本文將從以下三個方面詳細展開:

  • 基礎概念:包括認證、授權、關鍵組件及其作用;
  • 配置流程:從登錄請求到權限控制的完整流程;
  • 實戰(zhàn)示例:JWT 認證、異常處理、多種路徑保護等具體實現(xiàn);

無論你是初學者還是有一定經(jīng)驗的開發(fā)者,這篇文章都將為你提供一套完整的解決方案。

一、基礎概念詳解

Spring Security 的核心在于 認證(Authentication)授權(Authorization)。

1.SecurityFilterChain(安全過濾器鏈)

  • 作用:定義 HTTP 請求的安全策略。
  • 位置:通常在配置類中通過 @Bean 注解創(chuàng)建。
  • 示例
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
        )
        .formLogin(withDefaults())
        .httpBasic(withDefaults());

    return http.build();
}

可以定義多個 SecurityFilterChain 來處理不同路徑的權限策略。

2.UserDetailsService(用戶詳情服務)

  • 作用:負責加載用戶信息(用戶名、密碼、權限)。
  • 實現(xiàn)方式
    • 內存方式(適合測試):
@Bean
public UserDetailsService userDetailsService() {
    UserDetails user = User.withUsername("user")
                           .password(passwordEncoder().encode("123456"))
                           .roles("USER")
                           .build();
    return new InMemoryUserDetailsManager(user);
}
  • 數(shù)據(jù)庫方式(推薦生產環(huán)境):
@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
                .orElseThrow(() -> new UsernameNotFoundException("用戶不存在"));
        return new org.springframework.security.core.userdetails.User(
                user.getUsername(),
                user.getPassword(),
                getAuthorities(user.getRoles()));
    }

    private Collection<? extends GrantedAuthority> getAuthorities(Collection<Role> roles) {
        return roles.stream()
                .map(role -> new SimpleGrantedAuthority("ROLE_" + role.getName()))
                .collect(Collectors.toList());
    }
}

3.PasswordEncoder(密碼編碼器)

  • 作用:加密存儲密碼,并驗證密碼是否匹配。
  • 常用實現(xiàn)
    • BCryptPasswordEncoder(推薦)
    • NoOpPasswordEncoder(不加密,僅用于開發(fā)階段)
@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

4.JwtRequestFilter(自定義 JWT 過濾器)

  • 作用:攔截每個請求,解析 Token 并設置當前用戶認證信息。
  • 實現(xiàn)方式
@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain)
            throws ServletException, IOException {

        String token = extractToken(request);

        if (token != null && jwtTokenUtil.validateToken(token)) {
            String username = jwtTokenUtil.getUsernameFromToken(token);
            UserDetails userDetails = userDetailsService.loadUserByUsername(username);

            UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                    userDetails, null, userDetails.getAuthorities());
            authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }

        filterChain.doFilter(request, response);
    }

    private String extractToken(HttpServletRequest request) {
        String header = request.getHeader("Authorization");
        if (header != null && header.startsWith("Bearer ")) {
            return header.substring(7);
        }
        return null;
    }
}

5.AuthenticationEntryPoint(鑒權失敗處理器)

  • 作用:當用戶未認證訪問受保護資源時觸發(fā)該處理器。
  • 實現(xiàn)方式
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request,
                         HttpServletResponse response,
                         AuthenticationException authException) throws IOException {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.getWriter().write("{\"error\": \"Unauthorized\", \"message\": \"認證失敗,請重新登錄\"}");
    }
}

6.AccessDeniedHandler(權限不足處理器)

  • 作用:當用戶已認證但沒有訪問權限時觸發(fā)。
  • 實現(xiàn)方式
@Component
public class JwtAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException {
        response.setContentType("application/json;charset=UTF-8");
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        response.getWriter().write("{\"error\": \"Forbidden\", \"message\": \"你沒有權限訪問該資源\"}");
    }
}

二、配置流程詳解

成功時的流程:

  1. 用戶發(fā)送登錄請求 → /api/auth/login
  2. 后端驗證用戶名密碼,生成 JWT Token 并返回給前端
  3. 前端保存 Token(如 localStorage)
  4. 后續(xù)請求攜帶 Token(放在 Header 中)
  5. 后端通過自定義 JWT 過濾器解析 Token 并設置認證信息
  6. 用戶訪問受保護資源成功

失敗時的流程:

  1. Token 缺失或格式錯誤 → 返回 401 Unauthorized
  2. Token 已過期或簽名無效 → 返回 401 Unauthorized
  3. 用戶沒有權限訪問某資源 → 返回 403 Forbidden

三、實戰(zhàn)示例詳解

示例 1:JWT Token 工具類(完整版)

@Component
public class JwtTokenUtil {

    private static final long JWT_TOKEN_VALIDITY = 5 * 60 * 60; // 5小時
    private String secret = "your-secret-key-here";

    public String getUsernameFromToken(String token) {
        return getClaimFromToken(token, Claims::getSubject);
    }

    public Date getExpirationDateFromToken(String token) {
        return getClaimFromToken(token, Claims::getExpiration);
    }

    public <T> T getClaimFromToken(String token, Function<Claims, T> claimsResolver) {
        final Claims claims = getAllClaimsFromToken(token);
        return claimsResolver.apply(claims);
    }

    private Claims getAllClaimsFromToken(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(secret)
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

    private Boolean isTokenExpired(String token) {
        final Date expiration = getExpirationDateFromToken(token);
        return expiration.before(new Date());
    }

    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        return doGenerateToken(claims, userDetails.getUsername());
    }

    private String doGenerateToken(Map<String, Object> claims, String subject) {
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + JWT_TOKEN_VALIDITY * 1000))
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    public Boolean validateToken(String token, UserDetails userDetails) {
        final String username = getUsernameFromToken(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }
}

示例 2:登錄接口

@RestController
@RequestMapping("/api/auth")
public class AuthController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    private UserDetailsService userDetailsService;

    @PostMapping("/login")
    public ResponseEntity<?> login(@RequestBody LoginRequest loginRequest) throws Exception {
        try {
            authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())
            );
        } catch (AuthenticationException e) {
            throw new Exception("用戶名或密碼錯誤");
        }

        final UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername());
        final String token = jwtTokenUtil.generateToken(userDetails);

        return ResponseEntity.ok().header("Authorization", "Bearer " + token).build();
    }
}

示例 3:多種路徑保護方式

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .csrf(AbstractHttpConfigurer::disable)
        .cors(cors -> cors.configurationSource(corsConfigurationSource()))
        .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
        .addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class)
        .exceptionHandling(exceptions -> exceptions
            .authenticationEntryPoint(authenticationEntryPoint)
            .accessDeniedHandler(accessDeniedHandler))
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/api/public/**").permitAll()
            .requestMatchers("/api/admin/**").hasRole("ADMIN")
            .requestMatchers("/api/user/**").hasAnyRole("USER", "ADMIN")
            .anyRequest().authenticated()
        );

    return http.build();
}

結語

本文從 Spring Security 的基礎概念出發(fā),詳細介紹了認證與授權的核心組件,并結合多個實戰(zhàn)示例展示了 JWT 的集成、路徑保護、異常處理等常見場景的實現(xiàn)方式。

到此這篇關于SpringSecurity 鑒權與授權的具體使用的文章就介紹到這了,更多相關SpringSecurity 鑒權與授權內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!

相關文章

  • java分布式面試接口如何保證冪等及概念理解

    java分布式面試接口如何保證冪等及概念理解

    這篇文章主要為大家介紹了java分布式面試中接口如何保證冪等的問題解答以及概念描述,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步
    2022-03-03
  • Java開發(fā)實現(xiàn)猜拳游戲

    Java開發(fā)實現(xiàn)猜拳游戲

    這篇文章主要為大家詳細介紹了Java實現(xiàn)猜拳游戲,文中示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2020-08-08
  • SpringBoot整合達夢數(shù)據(jù)庫的教程詳解

    SpringBoot整合達夢數(shù)據(jù)庫的教程詳解

    這篇文章主要給大家介紹了SpringBoot整合達夢數(shù)據(jù)庫的詳細教程,文章中有詳細的圖片介紹和代碼示例供大家參考,具有一定的參考價值,需要的朋友可以參考下
    2023-08-08
  • 深入了解集合操作工具Guava?Collect

    深入了解集合操作工具Guava?Collect

    Guava?Collect是Guava工具包中的一個子模塊,主要對jdk中的集合操作添加了一些簡易的API,同時也是對Collections工具類的擴展。本文將結合實例詳細說說它的使用,需要的可以參考一下
    2022-10-10
  • java中的多態(tài)和繼承示例分析

    java中的多態(tài)和繼承示例分析

    這篇文章主要介紹了java中的多態(tài)和繼承,結合實例形式分析了java中的多態(tài)和繼承原理、實現(xiàn)方法及相關操作注意事項,需要的朋友可以參考下
    2020-05-05
  • IO中flush()函數(shù)的使用代碼示例

    IO中flush()函數(shù)的使用代碼示例

    這篇文章主要介紹了IO中flush()函數(shù)的使用代碼示例,具有一定借鑒價值,需要的朋友可以參考下
    2018-01-01
  • SVN 安裝教程之服務器和客戶端

    SVN 安裝教程之服務器和客戶端

    這篇文章主要介紹了SVN 安裝教程之服務器和客戶端的相關資料,這里對安裝步驟進行了詳細介紹,需要的朋友可以參考下
    2016-11-11
  • java提取json中某個數(shù)組的所有值方法

    java提取json中某個數(shù)組的所有值方法

    下面小編就為大家分享一篇java提取json中某個數(shù)組的所有值方法,具有很好的參考價值,希望對大家有所幫助。一起跟隨小編過來看看吧
    2018-03-03
  • 解析java稀疏數(shù)組如何幫助我們節(jié)省內存提升性能

    解析java稀疏數(shù)組如何幫助我們節(jié)省內存提升性能

    這篇文章主要為大家介紹了java稀疏數(shù)組如何幫助我們節(jié)省內存提升性能解析,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
    2023-11-11
  • Java操作pdf文件的方法大全

    Java操作pdf文件的方法大全

    這篇文章主要為大家詳細介紹了Java操作pdf文件的相關知識,例如合并pdf文件,手繪pdf文件以及導出PDF文件等,有需要的小伙伴可以參考一下
    2024-04-04

最新評論