热门标签
热门文章
- 1MySql数据库_mysql中通过年份月份求当前年龄大于18的
- 2发布原子化服务&HarmonyOS 3.0应用开发系列课_信息中心 2.0支持获取harmonyos和openharmony的资源
- 3typora mac版本激活_mac typora激活
- 4GPT-4 插件和插件化的思考_gpt4插件
- 5Postman传递@requestbody标注的List集合的传参遇到的问题_@requestbody list
- 6Jmeter 之 https接口 性能测试_jmeter测试https
- 72023 年 亚太赛 APMCM (B题)国际大学生数学建模挑战赛 |数学建模完整代码+建模过程全解全析
- 8ACL介绍及基本命令配置_acl配置命令详解
- 9计算机视觉之手势、面部、姿势捕捉以Python Mediapipe为工具
- 10【愚公系列】2023年11月 Java教学课程 203-RabbitMQ(SpringAMQP)
当前位置: article > 正文
spring security 安全框架改造统一登录oauth2.0方式_security多系统统一登陆
作者:繁依Fanyi0 | 2024-02-15 11:45:58
赞
踩
security多系统统一登陆
继上次改造统一登录之后,这次又接到改造任务,这次的项目结构略有不同,不再有web.xml文件,也不是集成的含有拦截器的jar包,而是oauth2.0的授权码(CODE)方式的认证流程,
因为前端还是vue,所以也让前端同事帮忙改了一些,
首先是,摒弃我们的登录页面,vue项目启动的时候,自动跳转到统一登录页(http://[ip]:[port]/[server_appname]/oauth2/authorize?client_id=[client_id]&response_type=code&redirect_uri=[redirect_uri]这里需要说明下,跳转登录页的路径是统一登录平台提供的,当然参数client_id也是对方给分配的response_code=code是固定值,redirect_uri是回调路径),在统一登录页面输入用户名和密码,点击登录,统一登录平台负责校验账号和密码,完成后,会返回给你这边一个code,并执行回调路径打开我们的登录页(也可以不打开页面,就算打开也是为了拿到code,然后立马发送获取token的请求),然后我们拿着code去统一登录端换取token,(http://[ip]:[port]/[server_appname]/oauth2/access_token?client_id=[client_id]&client_secret=[client_secret]&grant_type=authorization_code&code=[code]&redirect_uri=[redirect_uri]client_secret也是统一登录平台给分配的,就是这一步,要根据实际项目需要看是前端直接请求,还是让后端帮忙转发,后端转发的好处是,后端可以先拿到返回的token,然后再根据token获取用户信息,包括权限,然后返回前端,这样做就会有一个问题,你以后每次访问某个页面,spring security框架都会拦截你的请求,检查是否有token,假如有token,还会比较跟用户信息能不能对应上,因为统一平台返回的token,在我们系统的application中跟用户没有绑定,所以就不能访问成功。)
后来我们是这样处理的,拿到统一平台的token后,紧接着去统一平台获取用户信息
(http://[ip]:[port]/[server_appname]/oauth2/introspect?access_token=[access_token])此地址由统一平台提供,获取用户信息后,我们拿着用户名再次我们系统的登录逻辑,此时的登录,仅仅是检查此用户是否在我们的系统中存在,存在则查询出详细信息,用详细信息封装成一个 spring security 需要的token,并存入整个后台应用上下文。返回登录成功,此时,在访问系统中的任何页面,也会判断请求是否有token,token跟用户信息是否匹配。下面是一是一些伪代码;
先配置一个不会拦截的路径,作用是在第二步,用code换取token是,前台请求这个路径,我后台再次转发请求
然后前台的每次请求都去检查一下token
改善后如下:
@RequestMapping("/sso")
public ResponseMessage loginAppWithLoginName( HttpServletRequest request) {
try {
String code = request.getParameter("code");
CloseableHttpClient httpclient = HttpClients.createDefault();
HttpGet tttpGet = new HttpGet("http://192.168.0.70:30017/oauth2/access_token?client_id=XhWXEp2UQkmMUvMJ3Qjf5Q&client_secret=GWWzr1UgQuqRyp_pDB3WPw" +
"&grant_type=authorization_code&code=" + code + "&redirect_uri=http://localhost:8089/#");// 创建httpPost
CloseableHttpResponse response = null;
response = httpclient.execute(tttpGet);
StatusLine status = response.getStatusLine();
int state = status.getStatusCode();
if (state == HttpStatus.SC_OK) {
HttpEntity responseEntity = response.getEntity();
String jsonString = EntityUtils.toString(responseEntity);
System.out.println(jsonString);
JSONObject jsonObject = JSONObject.parseObject(jsonString);
String token = jsonObject.getString("access_token");
System.out.println("token---->>>" + token);
String urlp = "http://192.168.0.70:30017/oauth2/user_info?access_token=" + token;
System.out.println("urlp---->>>" + urlp);
HttpGet tttpGet1 = new HttpGet(urlp);// 创建httpPo
tttpGet1.setHeader("Accept", "application/json");
// httpPost.setHeader("Content-Type", "application/json");
// String charSet = "UTF-8";
CloseableHttpClient httpclient1 = HttpClients.createDefault();
CloseableHttpResponse response1 = null;
response1 = httpclient1.execute(tttpGet1);
StatusLine status1 = response1.getStatusLine();
int state1 = status1.getStatusCode();
if (state1 == HttpStatus.SC_OK) {
HttpEntity responseEntity1 = response1.getEntity();
String jsonString1 = EntityUtils.toString(responseEntity1);
System.out.println(jsonString1);
JSONObject jsonObject1 = JSONObject.parseObject(jsonString1);
String account = jsonObject1.getString("account");
System.out.println("account-->>>>>>>>>>>>>>" + account);
ResponseMessage responseMessage= InsiisCommBusinessSys.autologin(account, request);
return responseMessage;
}
} else {
return ResponseMessage.error("非法请求,未获取到用户信息");
}
/*String data=jo.get("data").toString();
String signature=jo.get("signature").toString();
if(SignUtils.checkSignature(signature, data)) {
String decodedata=AesUtil.decrypt(data);
JSONObject jsondata=JSONObject.parseObject(decodedata);
//在这里拿到用户名,再次调用不需要密码的登录,产生自己的spring security 需要的token
return InsiisCommBusinessSys.autologin(jsondata.getString(SignUtils.SIGN_DATA_EST), request);
}else {
return ResponseMessage.error("非法请求,未获取到用户信息");
}
}catch (Exception e) {
return ResponseMessage.error("未获取到用户信息");
}*/
}catch (Exception e){
e.printStackTrace();
}
return ResponseMessage.error("未获取到用户信息");
}
重点是autologin()方法生成spring security需要的token
public static ResponseMessage autologin(String loginname,HttpServletRequest request) {
try {
if(null==loginname||loginname.equals("")) {
return ResponseMessage.error("登录用户名不能为空");
}
UserDetails userDetails = sysUserDetailsService.loadUserByUsername(loginname);
Authentication token = new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());
//((UsernamePasswordAuthenticationToken) token).setDetails(new WebAuthenticationDetails(request));
UsernamePasswordAuthenticationFilter to =new UsernamePasswordAuthenticationFilter();
to.setDetails(request,(UsernamePasswordAuthenticationToken)token);
// SecurityContextHolder.getContext().getAuthentication();
SecurityContextHolder.getContext().setAuthentication(token);
SysUserDetails sysUserDetails= (SysUserDetails)token.getPrincipal();
String tokens= JWT.create().withAudience(sysUserDetails.getUserid())
.sign(Algorithm.HMAC256(sysUserDetails.getPassword()));
sysUserDetails.setEst(tokens);
try {
System.out.println("InsiisCommBusinessSys sessionid: "+request.getSession().getId()+",sessionMaxInterval:"+request.getSession().getMaxInactiveInterval()+"");
System.out.println("单点登录"+sysUserDetails.getNickname()+"成功");
SysLogonLog log = logService.saveLogonLog(SecurityUtils.getIpAddr(request),request.getSession().getId());
sysUserDetails.getOthers().put("logid",log.getLogonlogid());
sysUserDetails.getOthers().put("logontime",log.getLogontime());
userService.clearFailNO(userDetails.getUsername());
}catch (Exception e){
System.out.println("单点登录失败"+loginname+e.getMessage());
e.printStackTrace();
return ResponseMessage.error("登录失败"+e.getMessage());
}
return ResponseMessage.ok("获取成功",sysUserDetails);
} catch (Exception e) {
return ResponseMessage.error("未获取到用户信息");
}
}
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/blog/article/detail/84297
推荐阅读
- 聊聊web绑定器(WebDataBinder、@InitBinder)_webdatabinderwebdatabinder文章目录1.绑定器的作用2.使用方式(测试代码)`@InitBinder`3.相关的几个核心类的真实类型4.原理4.... [详细]
赞
踩
- Spring的核心特性包括IOC容器、事件、资源管理、国际化、校验、数据绑定、类型转换、EL表达式、AOP。其他特性可以轻易的在网络上找到很多资料,而数据绑定这个特性即便在Spring官网描述却也不太多。这是因为数据绑定主要应用于Sprin... [详细]
赞
踩
- 上一篇《SpringMVC设计原理》中提到了SpringMVC在使用RequestMappingHandlerAdapter处理HTTP请求时会进行参数绑定,参数绑定会在两种方法上发生:@RequestMapping方法的参数绑定 @Mod... [详细]
赞
踩
- SpringBoot使用过程中,经常需要和很多注解打交道。也是我们常说的注解编程。所以接下来我们对SpringBoot常用注解做一个简单的收集。一配置类相关注解配置类相关注解解释@SpringBootApplication组合注解,由@Sp... [详细]
赞
踩
- 一简要说明Spring什么时候实例化bean,首先要分2种情况第一:如果你使用BeanFactory作为SpringBean的工厂类,则所有的bean都是在第一次使用该Bean的时候实例化第二:如果你使用ApplicationContext... [详细]
赞
踩
- 加载xml配置文件,解析获取配置中的每个的信息,封装成一个个的BeanDefinition对象将BeanDefinition存储在一个名为beanDefinitionMap的Map中ApplicationContext底层遍历beanDef... [详细]
赞
踩
- 在每个SpringIoC容器中一个bean定义只有一个对象实例(共享)默认情况下会在容器启动时初始化bean(单例的都会被初始化)而scrope="prototype"多例默认不启动我们可以指定Bean节点的lazy-init=“true”... [详细]
赞
踩
- 1、application-prod.properties生产配置启动脚本nohupjava-jar-Dspring.profiles.active=prodxxx.jar>/dev/null2>&1&2、application-dev.p... [详细]
赞
踩
- spring中bean默认是sinleton的,延迟加载为false。即如果想要一个类延迟实例化,那么将其的lazy-init=”true”或改变其scope(类的管理方式)。spring在服务器启动时就将所有的singleton的bean... [详细]
赞
踩
- 【SpringBean生命周期系列】传送门1、SpringBean生命周期:Bean元信息的配置与解析阶段2、SpringBean生命周期:Bean的注册3、SpringBean生命周期:BeanDefinition的合并过程写在前面注:本... [详细]
赞
踩
- 入口:org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory#applyMergedBeanDefinitionPostProcessors(... [详细]
赞
踩
- 对于写Java的程序员来说,Spring已经成为了目前最流行的第三方开源框架之一,在我们充分享受SpringIOC容器带来的红利的同时,我们也应该考虑一下Spring这个大工厂是如何将一个个的Bean生产出来的。Spring将管理的一个个的... [详细]
赞
踩
- SpringBean的生命周期_springbean生命周期哪四个阶段?springbean生命周期哪四个阶段?Spring中bean的生命周期包括四个阶段:1.实例化bean2.bean属性填充3.初始化bean4.销毁bean。一、当客... [详细]
赞
踩
- 知识回顾上一篇介绍了Spring中三级缓存的singletonObjects、earlySingletonObjects、singletonFactories,Spring在处理循环依赖时在实例化后属性填充前将一个lambda表达式放在了三... [详细]
赞
踩
- 1.Bean生命周期转载:https://www.jianshu.com/p/38032b0b9869Bean的生命周期概括起来就是4个阶段:实例化(Instantiation)属性赋值(Populate)初始化(Initializatio... [详细]
赞
踩
- 经过上一篇的BeanDefinition生成过程后,已经得到实例化bean的相关的源信息,这一篇重点介绍springbean的实例化的过程,也就是我们通常的创建对象,不过这样需要推断构造器,使用反射实例化对象。此阶段主要包括:SpringB... [详细]
赞
踩
- Spring中bean的生命周期短暂吗?在spring中,从BeanFactory或ApplicationContext取得的实例为Singleton,也就是预设为每一个Bean的别名只能维持一个实例,而不是每次都产生一个新的对象使用Sin... [详细]
赞
踩
- SpringBean的生命周期详解,完整的代码演示_bean的生命周期bean的生命周期(1)SpringBean的生命周期介绍Bean的生命周期简单分为4个阶段:实例化、属性赋值、初始化和销毁。实例化和属性赋值对应构造方法和setter方... [详细]
赞
踩
- 一、SpringBean的生命周期总共分为4个阶段一阶段:Bean的实例化和DI(dependencyinjection)二阶段:检查SpringAwareness三阶段:创建bean生命周期回调四阶段:销毁bean生命周期回调二、4个阶段... [详细]
赞
踩
- SpringBean的完整生命周期从创建Spring容器开始,直到最终Spring容器销毁Bean,这其中包含了一系列关键点。Springbean生命周期四个阶段Bean的实例化阶段Bean的设置属性阶段Bean的初始化阶段Bean的销毁阶... [详细]
赞
踩
相关标签
