Spring Security & Spring Session 实现单点登录
时间: 2024-08-16 07:09:04 浏览: 114
Spring Security 和 Spring Session 结合可以实现企业级应用的单点登录(Single Sign-On, SSO)功能。Spring Security 是一款广泛使用的开源安全框架,负责用户认证、授权等任务,而 Spring Session 则是 Spring 提供的一个轻量级会话管理解决方案。
在实现 SSO 的过程中,通常的做法是:
1. 用户首次登录时,通过 Spring Security 进行身份验证。如果成功,会在服务器端存储用户的 session(包括用户的标识信息),这个 session 会被关联到一个特定的登录名或 session ID。
2. 当用户从其他应用访问系统时,首先检查他们是否已经有一个有效的 session(例如通过 cookie 或 URL 参数传递)。如果没有,引导用户进入登录页面。
3. 如果有 session,Spring Security 会检查该 session 是否有效(例如过期时间),同时验证 session 中的用户信息。如果验证通过,直接视为已登录,跳过登录流程。
4. Spring Session 可以跨多个应用共享 session,使得用户只需要在一个应用中登录一次,就能在所有依赖 Spring Security 的应用中保持登录状态,实现了单点登录。
相关问题
springsecurity获取所有的session
要获取所有的session,你需要使用Spring Security提供的SessionRegistry接口。以下是获取所有活动session的示例代码:
```
@Autowired
private SessionRegistry sessionRegistry;
public List<Object> getAllSessions() {
List<Object> principals = sessionRegistry.getAllPrincipals();
List<Object> sessions = new ArrayList<>();
for (Object principal : principals) {
List<SessionInformation> sessionInformationList = sessionRegistry.getAllSessions(principal, false);
if (sessionInformationList != null && sessionInformationList.size() > 0) {
for (SessionInformation sessionInformation : sessionInformationList) {
sessions.add(sessionInformation.getSessionId());
}
}
}
return sessions;
}
```
这个方法首先使用`sessionRegistry.getAllPrincipals()`获取所有活动用户的Principal(即用户名),然后使用`sessionRegistry.getAllSessions(principal, false)`获取每个用户的所有session,并将它们的session ID添加到一个列表中。最后,该方法将这个列表返回。
请注意,这个方法只能在已经启用Spring Security的情况下使用,而且只能获取已经认证的用户的session。如果你想获取未认证用户的session,你需要使用Servlet API提供的方法来获取session。
springsecurity+jwt实现单点登录代码流程
Spring Security结合JWT实现单点登录的代码流程如下:
1. 创建一个Spring Boot项目并添加以下依赖:
```
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>io.jsonwebtoken</groupId>
<artifactId>jjwt</artifactId>
<version>0.9.1</version>
</dependency>
```
2. 在Spring Security配置类中添加以下代码:
```
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private JwtAuthenticationEntryPoint unauthorizedHandler;
@Autowired
private CustomUserDetailsService customUserDetailsService;
@Value("${jwt.secret}")
private String secret;
@Value("${jwt.expiration}")
private int expiration;
@Bean
public JwtAuthenticationFilter authenticationTokenFilter() {
return new JwtAuthenticationFilter();
}
@Override
public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
authenticationManagerBuilder
.userDetailsService(customUserDetailsService)
.passwordEncoder(passwordEncoder());
}
@Bean(BeanIds.AUTHENTICATION_MANAGER)
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.cors()
.and()
.csrf()
.disable()
.exceptionHandling()
.authenticationEntryPoint(unauthorizedHandler)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers("/api/auth/**")
.permitAll()
.anyRequest()
.authenticated();
// 添加JWT过滤器
http.addFilterBefore(authenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
}
@Bean
public JwtTokenProvider jwtTokenProvider() {
return new JwtTokenProvider(secret, expiration);
}
}
```
3. 创建一个JwtTokenProvider类,实现JWT的生成、解析和验证:
```
@Service
public class JwtTokenProvider {
private final String secret;
private final long expiration;
@Autowired
public JwtTokenProvider(@Value("${jwt.secret}") String secret, @Value("${jwt.expiration}") long expiration) {
this.secret = secret;
this.expiration = expiration;
}
public String generateToken(Authentication authentication) {
UserPrincipal userPrincipal = (UserPrincipal) authentication.getPrincipal();
Date now = new Date();
Date expiryDate = new Date(now.getTime() + expiration);
return Jwts.builder()
.setSubject(Long.toString(userPrincipal.getId()))
.setIssuedAt(new Date())
.setExpiration(expiryDate)
.signWith(SignatureAlgorithm.HS512, secret)
.compact();
}
public Long getUserIdFromToken(String token) {
Claims claims = Jwts.parser()
.setSigningKey(secret)
.parseClaimsJws(token)
.getBody();
return Long.parseLong(claims.getSubject());
}
public boolean validateToken(String token) {
try {
Jwts.parser().setSigningKey(secret).parseClaimsJws(token);
return true;
} catch (SignatureException ex) {
System.out.println("Invalid JWT signature");
} catch (MalformedJwtException ex) {
System.out.println("Invalid JWT token");
} catch (ExpiredJwtException ex) {
System.out.println("Expired JWT token");
} catch (UnsupportedJwtException ex) {
System.out.println("Unsupported JWT token");
} catch (IllegalArgumentException ex) {
System.out.println("JWT claims string is empty.");
}
return false;
}
}
```
4. 创建一个JwtAuthenticationFilter类,拦截请求并验证JWT:
```
public class JwtAuthenticationFilter extends OncePerRequestFilter {
@Autowired
private JwtTokenProvider jwtTokenProvider;
@Autowired
private CustomUserDetailsService customUserDetailsService;
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
try {
String jwt = getJwtFromRequest(request);
if (StringUtils.hasText(jwt) && jwtTokenProvider.validateToken(jwt)) {
Long userId = jwtTokenProvider.getUserIdFromToken(jwt);
UserDetails userDetails = customUserDetailsService.loadUserById(userId);
UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
SecurityContextHolder.getContext().setAuthentication(authentication);
}
} catch (Exception ex) {
logger.error("Could not set user authentication in security context", ex);
}
filterChain.doFilter(request, response);
}
private String getJwtFromRequest(HttpServletRequest request) {
String bearerToken = request.getHeader("Authorization");
if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) {
return bearerToken.substring(7, bearerToken.length());
}
return null;
}
}
```
5. 创建一个JwtAuthenticationEntryPoint类,处理未授权的请求:
```
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
}
}
```
6. 创建一个UserPrincipal类,实现Spring Security的UserDetails接口:
```
public class UserPrincipal implements UserDetails {
private Long id;
private String username;
private String email;
private String password;
private Collection<? extends GrantedAuthority> authorities;
public UserPrincipal(Long id, String username, String email, String password, Collection<? extends GrantedAuthority> authorities) {
this.id = id;
this.username = username;
this.email = email;
this.password = password;
this.authorities = authorities;
}
public Long getId() {
return id;
}
public String getEmail() {
return email;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return authorities;
}
@Override
public String getPassword() {
return password;
}
@Override
public String getUsername() {
return username;
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
```
7. 创建一个CustomUserDetailsService类,实现Spring Security的UserDetailsService接口:
```
@Service
public class CustomUserDetailsService implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
@Transactional
public UserDetails loadUserByUsername(String usernameOrEmail) throws UsernameNotFoundException {
User user = userRepository.findByUsernameOrEmail(usernameOrEmail, usernameOrEmail)
.orElseThrow(() ->
new UsernameNotFoundException("User not found with username or email : " + usernameOrEmail)
);
return UserPrincipal.create(user);
}
@Transactional
public UserDetails loadUserById(Long id) {
User user = userRepository.findById(id)
.orElseThrow(() ->
new ResourceNotFoundException("User", "id", id)
);
return UserPrincipal.create(user);
}
}
```
以上就是Spring Security结合JWT实现单点登录的代码流程,可以根据具体的需求进行相应的修改和调整。
阅读全文
相关推荐
最新推荐
spring boot整合Shiro实现单点登录的示例代码
Spring Boot 整合 Shiro 实现单点登录的示例代码 本篇文章主要介绍了 Spring Boot 整合 Shiro 实现单点登录的示例代码的知识点,旨在帮助读者快速掌握该技术的实现方法。下面是相关知识点的详细介绍: 一、Shiro ...
如何基于spring security实现在线用户统计
在 spring-security.xml 文件中,我们需要添加 session-management 配置,以便使用 session 注册跟踪,并实现显示系统中当前活跃用户的数量。 ```xml <s:session-management invalid-session-url="/timeout"> ...
SpringSecurity退出功能实现的正确方式(推荐)
Spring Security 退出功能实现的正确方式 Spring Security 框架提供了强大的安全功能,其中退出功能是非常重要的一部分。本文将介绍如何正确地实现 Spring Security 退出功能。 一、logout 最简及最佳实践 使用 ...
spring boot配置ssl实现HTTPS的方法
Spring Boot 配置 SSL 实现 HTTPS 的方法 在本文中,我们将详细介绍 Spring Boot 配置 SSL 实现 HTTPS 的方法。HTTPS(Hypertext Transfer Protocol Secure)是一种安全通信协议,旨在提供安全的数据传输。它是基于...
单点登录(SingleSignOn-SSO)完整案例
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次输入凭证。这种技术极大地提升了用户体验,减少了登录过程中的繁琐步骤,同时也能增强安全性...
ES管理利器:ES Head工具详解
资源摘要信息:"es-head是一个用于管理Elasticsearch的开源工具,它通过图形界面来展示Elasticsearch集群的各种状态信息,并提供了一定程度的集群管理功能。它是由一个名为Shay Banon的开发者创建的,他也是Elasticsearch的创造者。es-head工具可以运行在谷歌浏览器(Chrome)上,并作为一个扩展插件(crx文件)进行安装。"
知识点详细说明:
1. Elasticsearch基础:Elasticsearch是一款基于Lucene的开源搜索引擎,它能够存储、搜索和分析大量数据,特别擅长处理全文搜索和复杂的查询。Elasticsearch常用于实现搜索功能、日志分析、安全分析等场景。它具有水平可扩展、分布式、高可用和容错性强等特点。
2. es-head工具介绍:es-head是一个浏览器扩展插件,它提供了一个简洁直观的用户界面,使得用户能够轻松地管理和监控运行中的Elasticsearch集群。通过这个工具,用户可以查看集群状态、节点信息、索引状态、分片分布、数据统计、搜索和分析等数据。
3. 安装与使用:es-head作为一个Chrome扩展插件,用户首先需要在Chrome浏览器中添加它。安装完成后,可以通过扩展管理页面启用它。安装之后,用户可以通过访问Elasticsearch集群的URL,配合es-head提供的信息,执行各种操作。
4. es-head核心功能:es-head工具的主要功能包括但不限于:
- 显示集群健康状态(绿色、黄色、红色)。
- 展示集群中所有节点的状态、版本、安装插件等信息。
- 查看和管理索引(创建索引、查看索引设置、索引统计等)。
- 显示索引中的文档数量和状态。
- 提供对文档的搜索、查看和更新操作。
- 显示集群中的分片分配情况。
- 执行集群的各种统计和管理任务,比如节点的增加和移除、索引的滚动刷新等。
5. 技术细节:es-head通过与Elasticsearch集群的HTTP REST API交互,获取集群状态和数据信息。它将这些信息以图形化的方式展示给用户,并提供一些基本的交互功能。
6. 相关标签:在本文件中,提到的标签为"es",这很可能是对"Elasticsearch"的简称。在讨论es-head的时候,"es"这个标签也表明了该工具是专门为Elasticsearch设计的。
7. 安全性考虑:使用es-head时,需要确保Elasticsearch集群本身的安全性。由于es-head需要与Elasticsearch集群进行通信,因此需要在集群的访问控制和网络配置上做好相应的安全措施,避免数据泄露或未授权访问。
8. 其他相关工具:es-head虽然方便,但它并不是唯一的Elasticsearch管理工具。还有其他的工具和解决方案,如Kibana、Elasticsearch自带的Kibana插件、Cerebro、Bigdesk等,它们也提供了与es-head相似或更多的功能来管理和监控Elasticsearch集群。
通过以上知识点的介绍,可以理解es-head工具在Elasticsearch管理和监控中的作用,以及如何安装和使用它来提高工作效率。同时,也能够意识到管理和安全性配置对于Elasticsearch集群的重要性。
管理建模和仿真的文件
管理Boualem Benatallah引用此版本:布阿利姆·贝纳塔拉。管理建模和仿真。约瑟夫-傅立叶大学-格勒诺布尔第一大学,1996年。法语。NNT:电话:00345357HAL ID:电话:00345357https://theses.hal.science/tel-003453572008年12月9日提交HAL是一个多学科的开放存取档案馆,用于存放和传播科学研究论文,无论它们是否被公开。论文可以来自法国或国外的教学和研究机构,也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire
Hadoop YARN安全机制详解:守护集群安全的关键措施
# 1. Hadoop YARN 安全机制概述
在大数据生态系统中,Hadoop YARN作为资源管理的核心组件,其安全机制至关重要。YARN的安全架构设计为多层次、模块化的安全策略,旨在保护整个集群免受内部和外部威胁。本章将概述YARN的安全机制,为读者提供一个理解后续深入讨论的基石。
安全机制不
模板不定个数固定类型
在C++中,模板不定个数固定类型是指使用模板来创建可以接受不同数量但类型相同的参数的函数或类。这主要通过`template <typename... Args>`的形式实现,其中`Args...`表示一系列可变的参数类型。
**函数指针示例[^1]**:
```cpp
// 定义一个可变参数模板的函数指针
template<typename... Args>
using FunctionPointer = void (*)(Args...);
// 使用时,可以传递任意数量的相同类型的参数
FunctionPointer<int, float, std::string> myFunctio
Layui前端UI框架压缩包:轻量级的Web界面构建利器
资源摘要信息:"Layui前端UI框架压缩包"
Layui是一款流行且功能全面的前端UI框架,它以轻量级、模块化和响应式设计为核心特点,广泛应用于各种Web开发项目中。以下是对Layui框架知识点的详细说明:
### 简洁易用性
Layui强调的是简单易用,开发者可以在不需要深入阅读大量文档的情况下快速上手。它遵循“低侵入、高自由”的设计理念,提供了大量封装好的UI组件和功能模块,这些组件和模块无需依赖其他库即可使用,使得开发者能够轻松地定制和扩展自己所需的界面。
### 模块化设计
Layui的模块化设计是其架构的核心。它将所有的UI组件和功能模块拆分为独立的文件,这种设计方式带来的好处包括:
- **按需加载:** 开发者可以根据实际需要选择加载特定的模块,从而避免了不必要的资源加载,优化了页面的加载时间。
- **代码维护性:** 独立的模块文件使得代码更加模块化,便于团队协作和代码的维护。
- **扩展性:** 新的模块可以很容易地添加到框架中,或者对现有模块进行修改和扩展,而不会影响到框架的其他部分。
### 响应式设计
Layui支持响应式设计,这意味着开发人员不需要编写特定于设备的代码,Layui可以自动适应不同屏幕尺寸和分辨率。这对于现代多设备浏览环境来说至关重要,确保了网站在移动设备、平板电脑以及桌面电脑等不同设备上都能提供一致的用户体验。
### 组件丰富性
Layui内置了丰富的UI组件,包括但不限于:
- **基础组件:** 如按钮、图标、标签、提示框等。
- **表单元素:** 如输入框、选择框、单选按钮和复选框等。
- **数据展示:** 如表格、列表、分页控件、卡片布局等。
- **交互组件:** 包括模态框、弹出层、提示信息、加载动画等。
- **导航组件:** 如菜单、标签页、面包屑导航等。
- **排版组件:** 如标题、段落、卡片等。
此外,Layui还提供了一些功能组件,如日期选择器、文件上传器、树形控件和图片轮播等,这些组件能够帮助开发人员快速实现复杂的交互和视觉效果。
### 社区活跃度
Layui拥有活跃的社区用户群体,这些用户群体不断贡献着各种插件、模板和教程等资源。通过社区,开发者可以找到各种问题的解决方案,同时也能够分享自己的经验和技术。活跃的社区有利于推动框架的持续发展和改进。
### 压缩包文件说明
在此次提供的Layui框架压缩包中,包含的是Layui的版本2.9.8。这个版本号表明了Layui的成熟度和稳定性,因为通常一个框架会在多个版本迭代后达到较高的稳定性和可靠性。版本号后缀还可能包含开发者对框架所做的修复、改进和新增功能的具体信息。
总之,Layui通过其简洁的设计、模块化架构、响应式支持和丰富的组件库,为前端开发者提供了一个高效、易用的界面开发工具。随着Web技术的发展,Layui也在持续演进,以满足日益增长的开发需求。