小小卷王
小小卷王

SpringSecurity+JWT+OAuth2

一个简洁的博客网站:http://lss-coding.top,欢迎大家来访
学习娱乐导航页:http://miss123.top/

1. Spring Security 简介

1.1 概述

什么是安全框架?解决系统安全问题的框架,如果没有安全框架。我们需要手动处理每个资源的访问控制,非常麻烦,使用安全框架,我们可以通过配置的方式实现对资源的访问控制。

1.2 常用安全框架

Spring Security,Spring 家族的成员,是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置 Bean。充分利用 Spring IOC、DI 和 AOP功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

Apach Shiro,功能强大且易于使用的 Java 安全框架,提供了认证、授权、加密和会话管理。

1.3 SpringSecurity

一个高度自定义的安全框架。利用 IOC/DI和AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Security 的原因有很多,但大部分都是发现了 JavaEE 和 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还有大量工作去重新匹配你的应用程序。使用 Spring Security 解决了这些问题,也为你提供许多其他有用的、可定制的安全功能。正如你可能知道的两个应用程序的两个主要区域是“认证”和“授权”或者称为访问控制。这两点也是 Spring Security 重要核心功能。“认证”,是建立一个他生命的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),就是说系统认为用户是否能登录。“授权”指确定一个主体是否允许在你的应用程序执行一个动作的过程。就是系统判断用户是否有权限去做某一些事情。

2. 案例分析

2.1 简单案例
  1. 创建一个 SpringBoot 工程,引入依赖
<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-securityartifactId>
dependency>
  1. 在 static 文件夹下创建 login.html 和 main.html 页面,分别模拟登录和主页面。
DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Titletitle>
head>
<body>
<form action="/login" method="post">
    <input type="text" name="username" /><br>
    <input type="password" name="password"><br>
    <button type="submit">登录button>
form>
body>
html>

DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Titletitle>
head>
<body>
<h1>登录成功h1>
body>
html>
  1. 创建 LoginController 类,用于实现页面跳转
@Controller
public class LoginController {
    /**
      * @description 登录
      * @author lishisen
      * @date 2021/12/27 8:15
     **/
    @RequestMapping("/login")
    public String login() {
        return "redirect:main.html";
    }
}

  1. 启动测试

    启动后访问登录请求会发现,首先进入的是一个登录页面,这个登录页面是 Spring Security 内置的一个登录页面。这个登录账号默认是 user,密码在控制台有输出(每一次都不一样)。当这个判断我们的用户名和密码正确的时候才进入到我们自定义的登录页面。

SpringSecurity+JWT+OAuth2_第1张图片

2.2 UserDetailsService
2.3 PasswordEncoder

SpringSecurity+JWT+OAuth2_第2张图片

SpringSecurity+JWT+OAuth2_第3张图片

BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析器。

BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现,是基于 Hash 算法实现的单向加密,可以通过 strength 控制加密强度,默认 10。

@Test
void contextLoads() {
    // 创建一个密码解析器
    BCryptPasswordEncoder pw = new BCryptPasswordEncoder();
    // 对密码进行加密,相同的值每一次加密都是会不同的
    String encode = pw.encode("123456");
    System.out.println(encode);
    // 判断用户给定的明文是否与解密后的密文相等,相等返回true,否则返回false
    boolean matches = pw.matches("12345", encode);
    System.out.println(matches);
}

3. 自定义 Spring Security 内置功能

3.1 自定义登录逻辑
  1. 创建 SpringSecurity 配置类,将 BCryptPasswordEncoder 注册到容器中
@Configuration
public class SpringSecurityConfig {

    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}
  1. 业务逻辑层
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private BCryptPasswordEncoder pw;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 1. 根据用户名去数据库查询,如果不存在则抛出 UsernameNotFoundException 异常
        if (!"admin".equals(username)) {
            throw new UsernameNotFoundException("用户不存在");
        }
        // 2. 比较密码(注册时已经加密过),如果匹配成功返回 UserDetails
        String password = pw.encode("123");

        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal"));
    }
}

  1. 启动测试

    启动后我们可以发现,控制台不会在打印一个 SpringSecurity 默认的密码

    登录的时候使用自定义的用户:admin、密码:123 就可以进行登录了。

SpringSecurity+JWT+OAuth2_第4张图片

3.2 自定义登录页面

虽然 Spring Security 提供了登录页面,但是实际项目中不会用到的,大多数情况使用自己的登录页面。

  1. SpringSecurityConfig 继承 WebSecurityConfigurerAdapter 类,实现 configure 方法

SpringSecurity+JWT+OAuth2_第5张图片

  1. 设置表单提交的路径,授权的路径
@Override
protected void configure(HttpSecurity http) throws Exception {
    // 表单提交
    http.formLogin()
            // 自定义登录页面
            .loginPage("/login.html")
            // 必须和表单提交的接口一样,会去执行自定义登录逻辑
            .loginProcessingUrl("/login")
            // 登录成功后跳转的页面,POST 请求
            .successForwardUrl("/toMain");
    // 授权
    http.authorizeRequests()
            // 放行 /login.html ,不需要认证
            .antMatchers("/login.html").permitAll()
            // 所有请求都必须认证才能访问,必须登录
            .anyRequest().authenticated();
    // 关闭 csrf 防护
    http.csrf().disable();
}
  1. 在 LoginController 中添加 /toMain 请求路径
/**
  * @description 登录到主页
  * @author lishisen
  * @date 2021/12/27 8:15
 **/
@RequestMapping("/toMain")
public String login() {
    return "redirect:main.html";
}
3.3 自定义登录失败页面
  1. error.html 页面
DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Titletitle>
head>
<body>
登录失败,点击 <a href="/login.html">跳转a>到登录页面
body>
html>
  1. Controller 创建方法用于跳转
/**
  * @description 跳转到错误页面
  * @author lishisen
  * @date 2021/12/27 9:35
 **/
@RequestMapping("/toError")
public String toError() {
    return "redirect:error.html";
}
  1. 认证和授权
// 表单提交
http.formLogin()
        // 自定义登录页面
        .loginPage("/login.html")
        // 必须和表单提交的接口一样,会去执行自定义登录逻辑
        .loginProcessingUrl("/login")
        // 登录成功后跳转的页面,POST 请求
        .successForwardUrl("/toMain")
        // 登录失败后跳转的页面
        .failureForwardUrl("/toError");
// 授权
http.authorizeRequests()
        // 放行 /error.html,不需要认证
        .antMatchers("/error.html").permitAll()
        // 放行 /login.html ,不需要认证
        .antMatchers("/login.html").permitAll()
        // 所有请求都必须认证才能访问,必须登录
        .anyRequest().authenticated();
3.4 请求账户的用户和密码参数
<form action="/login" method="post">// 必须为 post 请求
    用户名:<input type="text" name="username" /><br>// name 必须为 username
    密码:  <input type="password" name="password"><br>// name 必须为 password
    <button type="submit">登录button>
form>

以上的约束在这个类中都进行了定义:UsernamePasswordAuthenticationFilter

public class UsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

	public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";

	public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";
    private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/login",
			"POST");
    ......
    private boolean postOnly = true;f
        
   @Override
public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
		throws AuthenticationException {
	if (this.postOnly && !request.getMethod().equals("POST")) {
        // 如果不是 post 请求就会抛出异常
		throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
	}
	String username = obtainUsername(request);
	username = (username != null) ? username : "";
	username = username.trim();
	String password = obtainPassword(request);
	password = (password != null) ? password : "";
	UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
	// Allow subclasses to set the "details" property
	setDetails(request, authRequest);
	return this.getAuthenticationManager().authenticate(authRequest);
}
    
// 使用 request.getParameter(); 获取用户名或者密码
    @Nullable
protected String obtainPassword(HttpServletRequest request) {
    						// passwordParameter==passowrd
	return request.getParameter(this.passwordParameter);
}
    @Nullable
protected String obtainUsername(HttpServletRequest request) {
    						// usernameParameter==username
	return request.getParameter(this.usernameParameter);
}
  • 如果想要自定义接收参数的名称,可以在 SpringCecurityConfig 的 http.formLogin(); 链上追加
http.formLogin()
    	// 自定义的 username123
        .usernameParameter("username123")
    	// 自定义的 password123	
        .passwordParameter("password123")
3.5 自定义登录成功处理器

有一个需求:登录成功跳转到 http://wwwbaidu.com 这个网站,修改 http.formLogin() 中的 successForwardUrl

// 表单提交
http.formLogin()
        // 自定义登录页面
        .loginPage("/login.html")
        // 必须和表单提交的接口一样,会去执行自定义登录逻辑
        .loginProcessingUrl("/login")
        // 登录成功后跳转的页面,POST 请求
    	//  对这里进行修改
        .successForwardUrl("http://www.baidu.com")
        // 登录失败后跳转的页面
        .failureForwardUrl("/toError");

修改后经过测试结果为 404

SpringSecurity+JWT+OAuth2_第6张图片

查看源码发现,底层其实就是一个简单的页面转发,转发是不能跳转到百度页面的,所以我们下面自定义可以使用重定向

public class ForwardAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
		Authentication authentication) throws IOException, ServletException {
	request.getRequestDispatcher(this.forwardUrl).forward(request, response);
}

    
public interface AuthenticationSuccessHandler {

	/**
	 * Called when a user has been successfully authenticated.
	 * @param request the request which caused the successful authentication
	 * @param response the response
	 * @param chain the {@link FilterChain} which can be used to proceed other filters in
	 * the chain
	 * @param authentication the Authentication object which was created during
	 * the authentication process.
	 * @since 5.2.0
	 */
	default void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
			Authentication authentication) throws IOException, ServletException {
		onAuthenticationSuccess(request, response, authentication);
		chain.doFilter(request, response);
	}

	/**
	 * Called when a user has been successfully authenticated.
	 * @param request the request which caused the successful authentication
	 * @param response the response
	 * @param authentication the Authentication object which was created during
	 * the authentication process.
	 */
	void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException;

}

我们可以自定义这个处理器:AuthenticationSuccessHandler

/**
 * @author lishisen
 * @description 自定义 认证成功后重定向到另一个网站
 * @date 2021/12/27 10:04
 **/
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    private final String url;

    public MyAuthenticationSuccessHandler(String url) {
        this.url = url;
    }

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        
        // 自定义登录的时候拿到一个对象
		User user = (User) authentication.getPrincipal();
		// 获得登录的用户名
		System.out.println(user.getUsername());
		// 获得登录的密码,为了安全考虑密码为 null
		System.out.println(user.getPassword());
		// 获得登录的权限
		System.out.println(user.getAuthorities());			
        
        response.sendRedirect(url);
    }
}

// 控制台输出
admin
null				// 密码为了安全起见为 null
[admin, normal]		// 这个是在登录的时候给授予的权限

在 http.formLogin() 中使用 .successHandler(new MyAuthenticationSuccessHandler(“http://www.baidu.com”))

启动测试,登录成功后成功跳转到百度

SpringSecurity+JWT+OAuth2_第7张图片

3.6 自定义登录失败处理器

与登录成功处理器类似

创建 MyAuthenticationFailureHandler 处理器类,实现 AuthenticationFailureHandler 接口

/**
 * @author lishisen
 * @description 自定义登录失败处理器
 * @date 2021/12/27 10:26
 **/
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

    private String url;

    public MyAuthenticationFailureHandler(String url) {
        this.url = url;
    }

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.sendRedirect(url);
    }
}

在 http.formPage() 中进行配置

http.formLogin()
        // 自定义登录页面
        .loginPage("/login.html")
        // 必须和表单提交的接口一样,会去执行自定义登录逻辑
        .loginProcessingUrl("/login")
        // 登录成功后跳转的页面,POST 请求
        .successHandler(new MyAuthenticationSuccessHandler("/main.html"))
        // 登录失败后跳转的页面
        .failureHandler(new MyAuthenticationFailureHandler("/error.html"));
3.7自定义 403 页面
  1. 创建一个全局处理器类 MyAccessDeniedHandler
/**
 * @author lishisen
 * @description 403 页面处理
 * @date 2021/12/27 11:53
 **/
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 响应状态
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        // 返回 json 格式
        response.setHeader("Content-Type","application/json;charset=utf-8");
        PrintWriter writer = response.getWriter();
        writer.write("{\"status\":\"error\",\"msg\":\"权限不足,请联系管理员\"}");
        writer.flush();
        writer.close();

    }
}
  1. 在SpringSecurityConfig 中配置异常处理
// 异常处理
http.exceptionHandling().accessDeniedHandler(new MyAccessDeniedHandler());
  1. 测试访问

SpringSecurity+JWT+OAuth2_第8张图片

4. 授权

4.1 anyRequest()
// 授权
http.authorizeRequests()
        // 放行 /error.html,不需要认证
        .antMatchers("/error.html").permitAll()
        // 放行 /login.html ,不需要认证
        .antMatchers("/login.html").permitAll()
        // 所有请求都必须认证才能访问,必须登录
        .anyRequest().authenticated();
        
/**
	.anyRequest().authenticated(); 
	表示匹配所有的请求,设置全部内容都需要认证
	要放到最下面,因为是顺序执行,如果放到第一行的话就是拦截全部的请求了
**/
4.2 antMatchers()
public C antMatchers(String... antPatterns) {

参数是不定向参数,每个参数是一个 ant 表达式,用于匹配 URL 规则

  • ?:匹配一个字符
  • *:匹配 0 个或多个字符
  • **:匹配 0 个或多个目录
.antMathchers("/css/**","/js/**","/images/**").permitAll();		// 放行 js文件夹下所有脚本文件
    
 .antMatchers("/**/*.js").permitAll();	// 只要是 .js 文件都放行


// 授权
http.authorizeRequests()
        // 放行 /error.html,不需要认证
        .antMatchers("/error.html").permitAll()
        // 放行 /login.html ,不需要认证
        .antMatchers("/login.html").permitAll()
    
        // 放行静态资源
        .antMatchers("/images/**", "/css/**").permitAll()
        .antMatchers("/**/*.png").permitAll()
    
        // 所有请求都必须认证才能访问,必须登录
        .anyRequest().authenticated();
4.3 regexMatchers()

正则表达式

// 正则表达式
.regexMatchers(".+[.]png").permitAll()
    
//可以加上请求的method,antMatchers 也可以
.regexMatchers(HttpMethod.POST, ".+[.]png").permitAll()
4.4 mvcMatchers()
# 配置文件
spring.mvc.servlet.path=/xxxx

// mvc 匹配
.mvcMatchers("/hello").servletPath("/xxxx").permitAll()
4.5 控制访问的方法

  • permitAll 允许所有的一个请求

  • denyAll 禁止

  • anonymous 只有匿名才能匹配到路径

  • authenticated 必须要认证

  • fullyAuthenticated 必须是完全登录了之后才能访问

  • rememberMe 通过免登录的形式才能访问

5. 角色权限判断

5.1 基于权限判断

Spring Security 中支持很多其他权限控制,这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。

在 http.authorizeRequests() 中添加权限控制语句

// 授权
http.authorizeRequests()
        // 放行 /error.html,不需要认证
        .antMatchers("/error.html").permitAll()
        // 放行 /login.html ,不需要认证
        .antMatchers("/login.html").permitAll()
        // 放行静态资源
        .antMatchers("/images/**", "/css/**").permitAll()
        .antMatchers("/**/*.png").permitAll()

        // 权限控制										
        .antMatchers("/main1.html").hasAuthority("admin")// " "双引号里面的权限严格区分大小写
    
        // 所有请求都必须认证才能访问,必须登录
        .anyRequest().authenticated();

启动测试后有 admin 登录成功会赋予权限,然后请求 main1.html 可以正常访问。如果把admin换成Admin,则会出现 403 的错误,表示权限不够。

SpringSecurity+JWT+OAuth2_第9张图片

可以使用 hasAnyAuthority 设置多个权限值

// 权限控制
.antMatchers("/main1.html").hasAnyAuthority("admin","Admin")
5.2 基于角色判断

在服务层实现类中添加权限 UserDetailsServiceImpl,

return new User(username, password,
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal,ROLE_aaa"));
																				// 注意,这里添加的角色权限必须以 ROLE_ 开头

在 SpringSecurityConfig 中进行配置

// 角色控制
.antMatchers("/main1.html").hasRole("aaa")
    							// 这里绝对不能写 ROLE_ ,只需要写 _后面的值就可以,严格区分大小写,否则会有 403 权限不够的错误。
5.3 基于 IP 地址
// Ip 地址控制
.antMatchers("/main1.html").hasIpAddress("127.0.0.1")
5.4 基于 Access

上面用到的访问控制的方法都可以使用 access 表达式来实现

// access
.antMatchers("/main1.html").access("hasRole('abc')")

官网地址:https://docs.spring.io/spring-security/site/docs/5.5.4/reference/html5/#el-common-built-in

SpringSecurity+JWT+OAuth2_第10张图片

5.5 自定义 Access
  1. 创建 MyService 接口
public interface MyService {

    boolean hasPermission(HttpServletRequest request, Authentication authentication);

}
  1. 接口实现类
/**
 * @author lishisen
 * @description 自定义 access 访问控制
 * @date 2021/12/27 12:44
 **/
@Service
public class MyServiceImpl implements MyService {

    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        // 获取主体
        Object obj = authentication.getPrincipal();
        // 判断主体是否属于 UserDetails
        if (obj instanceof UserDetails) {
            // 获取权限
            UserDetails userDetails = (UserDetails) obj;
            Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();
            // 判断请求的 URI 是否在权限里
            return authorities.contains(new SimpleGrantedAuthority(request.getRequestURI()));
        }
        return false;
    }
}
  1. 在 SpringSecurityConfig 中使用自定的 access 访问控制
// 授权
http.authorizeRequests()
        // 放行 /error.html,不需要认证
        .antMatchers("/error.html").permitAll()
        // 放行 /login.html ,不需要认证
        .antMatchers("/login.html").permitAll()
        // 放行静态资源
        .antMatchers("/images/**", "/css/**").permitAll()
        .antMatchers("/**/*.png").permitAll()
        // 使用自定义的 access 访问控制
        .anyRequest().access("@myServiceImpl.hasPermission(request, authentication)");

  1. 启动测试后会发现没有权限不能访问,因为这个自定义中得到的 URI 在授权的时候没有给与权限 /main.html

    在 UserDetailsServiceImpl 中给与权限即可

return new User(username, password,
                AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal,ROLE_aaa,/main.html"));

6. 基于注解的访问控制

Spring Security 中提供了一些访问控制的注解。这些注解都是默认是都不可用的,需要通过 @EnableGlobalMethodSecurity 进行开启后使用

如果设置的条件允许,程序正常执行,如果不允许会报 500 错误。

这些注解可以写到 Service 接口或方法上,也可以写到 Controller 或 Controller 的方法上。通常情况下都是写在控制器方法上的,控制接口 URL 是否允许被访问。

6.1 @Secured

专门用于判断是否具有角色的,能写在方法或类上,参数要以 ROLE_ 开头

使用:

  1. 在启动类上开启注解
@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true) // 默认是false,需要开启才能使用
public class SecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class, args);
    }

}
  1. 在请求上使用注解
/**
  * @description 登录
  * @author lishisen
  * @date 2021/12/27 8:15
 **/
@Secured("ROLE_aaa")	// 判断请求是否有这个角色
@RequestMapping("/toMain")
public String login() {
    return "redirect:main.html";
}
6.2 @PreAuthorize/@PostAuthorize

都是方法或类级别注解

  • @PreAuthorize 表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解,注解的参数和 access() 方法参数取值相同,都是权限表达式
  • @PostAuthorize 表示方法或类执行结束后判断权限,此注解很少被使用

使用:

  1. 在启动类开启注解
@EnableGlobalMethodSecurity(prePostEnabled = true)
  1. 在 Controller 的请求方法上使用进行判断
/**
  * @description 登录
  * @author lishisen
  * @date 2021/12/27 8:15
 **/
// 允许角色以 ROLE_ 开头,也可以不以 ROLE_ 开头,严格区分大小写
@PreAuthorize("hasRole('aaa')")
@RequestMapping("/toMain")
public String login() {
    return "redirect:main.html";
}

7. RememberMe 功能实现

SpringSecurity 中 RememberMe 为“记住我” 功能,用户只需要在登录时添加 remember-me 复选框,取值为 true。SpringSecurity 会自动把用户信息存储到数据源中,以后就可以不登录进行访问。

使用:

  1. 添加依赖

    Spring Security 实现 RememberMe 功能时底层实现依赖 Spring-JDBC ,所以需要导入 Spring-JDBC。以后多使用 MyBatis 框架而很少直接导入 Spring-JDBC,所以导入 MyBatis 启动器同时添加 MySQL 驱动。


<dependency>
    <groupId>org.mybatis.spring.bootgroupId>
    <artifactId>mybatis-spring-boot-starterartifactId>
    <version>2.2.0version>
dependency>

<dependency>
    <groupId>mysqlgroupId>
    <artifactId>mysql-connector-javaartifactId>
    <version>8.0.16version>
dependency>
  1. 配置数据源
spring:
  datasource:
    url: jdbc:mysql://127.0.0.1:3306/security?serverTimezone=UTC&zeroDateTimeBehavior=CONVERT_TO_NULL&allowMultiQueries=true
    username: root
    password: root
    driver-class-name: com.mysql.cj.jdbc.Driver
  1. PersistentTokenRepository 配置类
@Bean
public PersistentTokenRepository persistentTokenRepository() {
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    // 设置数据源
    jdbcTokenRepository.setDataSource(dataSource);
    // 自动建表,第一次使用,第二次关闭
    //jdbcTokenRepository.setCreateTableOnStartup(true);
    return jdbcTokenRepository;
}
  1. 在 SpringSecurityConfig 中使用 http.rememberMe()
// 记住我
http.rememberMe()
        // 设置数据源
        .tokenRepository(persistentTokenRepository)
        // 超时时间,默认两周
        .tokenValiditySeconds(60)
        // 自定义登录逻辑
        .userDetailsService(userDetailsService);

当我们登录的时候,在数据库中的表中都会记录一条记录,上面记录了最后一次登录的时间,如果下次访问网页的时候时间过了就需要重新进行一下登录。

8. Thymeleaf 中使用 SpringSecurity

SpringSecurity 可以在一些视图技术中进行控制显示效果。例如:jsp 或者 thymeleaf。在非前后端分离且使用 Spring Boot 的项目中多使用 Thyemeleaf 作为视图展示技术。

Thymeleaf 对 Spring Security 的支持都放在 thymeleaf-extras-springsecurityX 中,所以使用的时候需要引入此 jar 包依赖和 thymeleaf 的依赖。

8.1 获取属性

可以在 html 页面中通过 sec:authentication="" 获取 UsernamePasswordAuthenticationToken 中所有 getXXX 的内容,包含父类中的 getXXX 的内容。

  • name:登录账号名称
  • principal:登录主体,在自定义登录逻辑中是 UserDetails
  • credentials:凭证
  • authorities:权限和角色
  • details:实际上是 WebAuthenticationDetails 的实例。可以获取 remoteAddress(客户端 ip)和 sessionId(当前 sessionId)
  1. 引入依赖

<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-thymeleafartifactId>
dependency>

<dependency>
    <groupId>org.thymeleaf.extrasgroupId>
    <artifactId>thymeleaf-extras-springsecurity5artifactId>
dependency>
  1. 在 html 页面中引入 thymeleaf 命名空间和 security 命名空间
  1. 在 templates 文件夹下创建 demo.html
DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
>
    <meta charset="UTF-8">
    <title>Titletitle>
head>
<body>
登录账号:<span sec:authentication="name">span><br/>
登录账号:<span sec:authentication="principal.username">span><br>
凭证:<span sec:authentication="credentials">span><br>
权限和角色:<span sec:authentication="authorities">span><br>
客户端地址:<span sec:authentication="details.remoteAddress">span><br>
sessionId:<span sec:authentication="details.sessionId">span>
body>
html>
  1. 在 controller 下写接口 /demo
@RequestMapping("/demo")
public String toDemo() {
    return "demo";
}

  1. 访问测试

    首先访问登录上去,然后访问 localhost:8080/demo

    可以看到一些授权的信息

SpringSecurity+JWT+OAuth2_第11张图片

8.2 权限判断

设置用户角色和权限

设定用户具有 admin、/insert、/delete 权限 ROLE_abc 角色

// 在 UserDetailsServiceImpl 类中设置权限
return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal,ROLE_aaa,/main.html,/insert/delete"));

在页面中根据用户权限和角色判断页面中显示的内容

通过权限判断:
<button sec:authorize="hasAuthority('/insert')">新增button>
<button sec:authorize="hasAuthority('delete')">删除button>
<button sec:authorize="hasAuthority('update')">修改button>
<button sec:authorize="hasAuthority('select')">查看button>
<br>
通过角色判断:
<button sec:authorize="hasRole('abc')">新增button>
<button sec:authorize="hasRole('abc')">删除button>
<button sec:authorize="hasRole('abc')">修改button>
<button sec:authorize="hasRole('abc')">查看button>

启动测试:

SpringSecurity+JWT+OAuth2_第12张图片

9. 退出登录

只需要向 Spring Security 项目中发送一个 /logout 请求就可以了

修改之前的 main.html 页面,添加一个退出链接请求,运行后点击退出按钮就可以退出了

DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Titletitle>
head>
<body>
<h1>登录成功h1>
<br>
<h1><a href="main1.html"> 跳转a>h1>
<br>
<a href="/logout"> 退出a>
body>
html>

SpringSecurity+JWT+OAuth2_第13张图片

退出后地址栏的 url 效果不是很好,可以在 SpringSecurityConfig 中添加配置

SpringSecurity+JWT+OAuth2_第14张图片

http.logout()
        // 自定义的退出请求路径,一般默认即可
        .logoutUrl("/logout")
        // 退出成功后跳转的地址
        .logoutSuccessUrl("/login.html");

10. SpringSecurity 中的 CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求

客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了 cookie 进行记录客户端身份。在 cookie 中会存放 session id 用来识别客户端身份的。在跨域的情况下,session id 可能被第三方恶意胁持,通过这个 session id 向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。

从 Spring Security 4 开始 CSRF 防护默认开启。默认会拦截请求。进行 CSRF 处理。CSRF 为了保证不是其他第三方网站访问,要求访问时携带参数名为 _csrf 值为 token(token 在服务端产生) 的内容,如果 token 和服务端的 token 匹配成功,则正常访问。

简单说就是我拿到了别人的 session id 去替别人做一些事情

使用:

  1. 在 templates 文件夹下创建一个 login.html 登陆模板
DOCTYPE html>
<html lang="en" xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Titletitle>
head>
<body>
<form action="/login" method="post">
    
    <input type="hidden" th:value="${_csrf.token}" name="_csrf" th:if="${_csrf}">
    用户名:<input type="text" name="username"><br>
    密码:  <input type="password" name="password"><br>
    <button type="submit">登录button>
form>
body>
html>
  1. 编写一个 Controller 请求
/**
  * @description 跳转到 template 里面的login页面
  * @author lishisen
  * @date 2021/12/28 8:27
 **/
@RequestMapping("/showLogin")
public String toLogin() {
    return "login";
}
  1. 在 SpringSecurityConfig 中开启 crsf 防护
// 注释掉
// 关闭 csrf 防护
//http.csrf().disable();
  1. 启动测试,如果没有设置存放 token 的那个 input 为隐藏域,则进入 login.html 后可以看到接受到的 token 的值

SpringSecurity+JWT+OAuth2_第15张图片

提交登录请求后,在控制台可以看到请求的参数会携带 _crsf

SpringSecurity+JWT+OAuth2_第16张图片

后台会进行对比是否是自己给出的 token 的值,如果是则是安全的请求,如果不是则会以为是一个恶意的攻击请求,会阻止请求。

11. Oauth2 认证

11.1 Oauth2 简介

第三方认证技术方案最主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。

OAUTH 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。同时,任何第三方都可以使用 OAUTH 认证服务,任何服务提供商都可以实现自身的 OAUTH 认证服务,因而 OAUTH 是开放的。业界提供了 OAUTH 的多种实现如 PHP、JavaScript、Java、Ruby 等各种语言开发包,大大节约了程序员的时间,因而 OAUTH 是简易的。互联网很多服务如 Open API,很多大公司如 Google,Yahoo,Microsoft 等都提供了 Oauth 认证服务,这些足以证明 OAUTH 标准逐渐称为开放资源授权的标准。

与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此OAUTH是安全的。oAuth是Open Authorization的简写。

百度百科:https://baike.baidu.com/item/oAuth/7153134?fr=aladdin

OAUTH协议:https://datatracker.ietf.org/doc/html/rfc6749

网站使用微信认证的过程:

SpringSecurity+JWT+OAuth2_第17张图片

  1. 资源拥有者同意给客户端授权

资源拥有者扫描二维码表示资源拥有者同意给客户端授权,微信会对资源拥有者的身份进行验证,验证通过后,微信会询问用户是否给授权网站访问自己的微信数据,用户点击“确认登录”表示同意授权,微信认证服务器会颁发一个授权码,并重定向到网站。

  1. 客户端获取到授权码,请求认证服务器申请令牌

此过程用户看不到,客户端应用程序请求认证服务器,请求携带授权码

  1. 认证服务器向客户端响应令牌

认证服务器验证了客户端请求的授权码,如果合法则给客户端颁发令牌,令牌是客户端访问资源的通行证。此交互过程用户看不到,当客户端拿到令牌后,用户在网站看到已经登录成功。

  1. 客户端请求资源服务器的资源

客户端携带令牌访问资源服务器的资源。网站携带令牌请求访问微信服务器获取用户的基本信息。

  1. 资源服务器返回受保护资源

资源服务器校验令牌的合法性,如果合法则向用户响应资源信息内容。

注意:资源服务器和认证服务器可以是一个服务器也可以分开的服务,如果是分开的服务资源服务器通常要请求认证服务器来校验令牌的合法性。

Oauth2 认证流程:

SpringSecurity+JWT+OAuth2_第18张图片

  • 客户端:本身不存放资源,需要通过资源拥有者的授权去请求资源服务器的资源,比如:Android 客户端、Web 客户端(浏览器端)、微信客户端等
  • 资源拥有者:通常为用户,也可以是应用程序,即该资源的拥有者
  • 授权服务器(认证服务器):用来对资源拥有的身份进行认证、对访问资源进行授权。客户端要想访问资源需要通过认证服务器由资源拥有者授权后方可访问
  • 资源服务器:存储资源的服务器,比如:网站用户管理服务器存储了网站用户信息,网站相册服务器存储了用户的相册信息,微信的资源服务存储了微信的用户信息等。客户端最终访问资源服务器获取资源信息。

常用术语:

  • 客户凭证(client Credentials):客户端的 clientId 和密码用于认证客户
  • 令牌(tokens):授权服务器在接收到客户请求后,颁发的访问令牌
  • 作用域(scopes):客户请求访问令牌时,由资源拥有者额外指定的细分权限(permission)

令牌类型:

  • 授权码:仅用于授权码授权类型,用于交换获取访问令牌和刷新令牌
  • 访问令牌:用于代表一个用户或服务直接去访问受保护的资源
  • 刷新令牌:用于去授权服务器获取一个刷新访问令牌
  • Bearer Token:不管谁拿到 Token 都可以访问资源,类似现金
  • Proof of Possession(PoP)Token:可以校验 client 是否对 Token 有明确的拥有权

特点:

  • 优点:安全,客户端不接触用户密码,服务器端更易集中保护、广泛传播并被持续采用、短寿命和封装的token、资源服务器和授权服务器解耦、集中式授权,简化客户端、HTTP/JSON 友好易于请求和传递 token、考虑多种客户端架构场景、客户可以具有不同的信任级别。
  • 缺点:协议框架太广泛,造成各种实现的兼容性和互操作性差、不是一个认证协议,本身并不能告诉你任何用户信息、
11.2 授权模式
11.2.1 授权码模式(Authorization Code)

SpringSecurity+JWT+OAuth2_第19张图片

11.2.2 简化授权模式(Implicit)

SpringSecurity+JWT+OAuth2_第20张图片

11.2.3 密码模式(Resource Owner PasswordCredentials)

SpringSecurity+JWT+OAuth2_第21张图片

11.2.4 客户端模式(client Credentials)

SpringSecurity+JWT+OAuth2_第22张图片

11.3 刷新令牌

SpringSecurity+JWT+OAuth2_第23张图片

12. Spring Security Oauth2

12.1 授权服务器

SpringSecurity+JWT+OAuth2_第24张图片

  • Authorize Endpoint:授权端点,进行授权
  • Token Endpoint:令牌端点,经过授权拿到对应的 Token
  • Introspection Endpoint:校验端点,校验 Token 的合法性
  • Revocation Endpoint:撤销端点,撤销授权(如果有恶意会撤销)
12.2 架构

SpringSecurity+JWT+OAuth2_第25张图片

流程:

  1. 用户访问,此时没有 Token。Oauth2RestTemplate 会报错,这个报错信息会被 Oauth2ClientContextFilter 捕获并重定向到认证服务器
  2. 认证服务器通过 Authorization Endpoint 进行授权,并通过 AuthorizationServerTokenServices 生成授权码并返回给客户端
  3. 客户端拿到授权码去认证服务器通过 Token Endpoint 调用 AuthorizationServerTokenServices 生成 Token 并返回给客户端
  4. 客户端拿到 Token 去资源服务器访问资源,一般会通过 Oauth2AuthticationManager 调用 ResourceServerTokenServices 进行校验,校验通过可以获取资源。
12.3 授权码模式的代码演示
  1. 创建一个项目,引入依赖
<properties>
    <java.version>1.8java.version>
    <spring-cloud.version>Greenwich.SR6spring-cloud.version>
properties>
<dependencies>
    <dependency>
        <groupId>org.springframework.cloudgroupId>
        <artifactId>spring-cloud-starter-securityartifactId>
    dependency>
    <dependency>
        <groupId>org.springframework.cloudgroupId>
        <artifactId>spring-cloud-starter-oauth2artifactId>
    dependency>
    <dependency>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-webartifactId>
    dependency>
    <dependency>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-testartifactId>
        <scope>testscope>
    dependency>
dependencies>
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloudgroupId>
            <artifactId>spring-cloud-dependenciesartifactId>
            <version>${spring-cloud.version}version>
            <type>pomtype>
            <scope>importscope>
        dependency>
    dependencies>
dependencyManagement>
  1. 创建一个 User 的实体类,之前使用的是 security 内置的 User 类,也可以自定义的,实现 UserDetails 接口
public class User implements UserDetails {

    private String username;
    private String password;
    private List<GrantedAuthority> authorities;

    public User(String username, String password, List<GrantedAuthority> authorities) {
        this.username = username;
        this.password = password;
        this.authorities = authorities;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    @Override
    public String getPassword() {
        return null;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
  1. 创建一个 UserService 类,用于 user 登录之后进行授权使用
@Service
public class UserService implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        String password = passwordEncoder.encode("123456");
        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}
  1. 创建 SecurityConfig 类,做权限认证
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/oauth/**", "/login/**", "/logout/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .permitAll()
                .and()
                .csrf().disable();
    }
}
  1. 创建一个授权服务器的配置类
/**
 * @author lishisen
 * @description 授权服务器
 * @date 2021/12/28 11:03
 **/
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                // 客户端ID
                .withClient("client")
                // 密钥
                .secret(passwordEncoder.encode("111222333"))
                // 重定向地址
                .redirectUris("http://www.baidu.com")
                // 授权范围
                .scopes("all")
                //授权模式: authorization_code:授权码模式
                .authorizedGrantTypes("authorization_code");
    }
}
  1. 创建一个资源服务器的配置类
/**
 * @author lishisen
 * @description 资源服务器
 * @date 2021/12/28 11:10
 **/
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 所有请求都去认证
                .anyRequest()
                .authenticated()
                .and()
                // 认证资源
                .requestMatchers()
                .antMatchers("/user/**");
    }
}

  1. 启动测试运行

    地址栏访问:http://localhost:8080/oauth/authorize?response_type=code&client_id=admin&redirect_uri=http://www.baidu.com&scope=all,进入 Security 内置的登录页面

SpringSecurity+JWT+OAuth2_第26张图片

​ 点击 Authorize 按钮之后在地址栏可以看到一个授权码

SpringSecurity+JWT+OAuth2_第27张图片

使用 postman 请求地址:http://localhost:8080/oauth/token

携带以下参数

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3JBKgvQL-1640697518420)(D:\notes\SpringSecurity\Spirng Security 基础知识点总结.assets\image-20211228130950887.png)]

结果得到一个进入的 token:access_token

得到 token 之后,使用 postman 请求 http://localhost:8080/user/getCurrentUser 资源地址,并且携带 token参数,得到 Controller 中返回的结果

SpringSecurity+JWT+OAuth2_第28张图片

12.4 密码模式

修改上面的授权服务器的配置类

重写方法:configure(AuthorizationServerEndpointsConfigurer endpoints)

@Autowired
private AuthenticationManager authenticationManager;
@Autowired
private UserService userService;

@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints.authenticationManager(authenticationManager).userDetailsService(userService);
}

// 在 SecurityConfig 中注册这个 Bean
@Bean
public AuthenticationManager authenticationManager() throws Exception {
    return super.authenticationManager();
}

授权控制器的授权模式中增加一项 password

SpringSecurity+JWT+OAuth2_第29张图片

启动测试:

在请求的时候携带 username 和 password,结果会有一个 token,通过这个 token 可以访问到资源的信息

SpringSecurity+JWT+OAuth2_第30张图片

12.5 使用 Redis 存储 Token
  1. 导入依赖

<dependency>
    <groupId>org.springframework.bootgroupId>
    <artifactId>spring-boot-starter-data-redisartifactId>
dependency>

<dependency>
    <groupId>org.apache.commonsgroupId>
    <artifactId>commons-pool2artifactId>
dependency>
  1. yml 配置 Redis 的地址
spring.redis.host=127.0.0.1
  1. 创建 RedisConfig 配置类
@Configuration
public class RedisConfig {

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Bean
    public TokenStore redisTokenStore() {
        return new RedisTokenStore(redisConnectionFactory);
    }
}
  1. 修改授权服务器 AuthorizationServerConfig 里面的密码模式,将 token 存储到 redis 中
@Autowired
@Qualifier("redisTokenStore")
private TokenStore tokenStore;

/**
  * @description 密码模式
  * @author lishisen
  * @date 2021/12/28 13:44
 **/
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    endpoints.authenticationManager(authenticationManager).userDetailsService(userService)
    .tokenStore(tokenStore);
}

  1. 启动测试

    正常的使用用户名和密码进行请求,然后查看 Redis 中

SpringSecurity+JWT+OAuth2_第31张图片

SpringSecurity+JWT+OAuth2_第32张图片

13. JWT

13.1 常见的认证机制
  1. HTTP Basic Auth

HTTP Basic Auth 简单点说明就是每次请求 API 时都提供用户的 username和 password,Basic Auth 是配合 RESTful API 使用的最简单的认证方式,只需提供用户密码即可,但由于把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少,因此,在开发对外开放的 RESTful API 时,尽量避免采用 HTTP Basic Auth。

  1. Cookie Auth

Cookie 认证机制就是为一次请求认证在服务端创建一个 Sessiion 对象,同时在客户端的浏览器端创建了一个 Cookie 对象;通过客户端带上来 Cookie 对象来与服务器端的 session 对象匹配来实现状态管理的。默认的,当我们关闭浏览器器的时候,cookie 会被删除。但可以通过修改 cookie 的 expire time 使 cookie 在一定时间内有效。

  1. OAuth

OAuth(开放授权,Open Authorization)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一 web 服务上存储的私密资源(如照片、视频、联系人列表),而无需将用户名和密码提供给第三方应用。如网站通过微信、微博登录等,主要用于第三方登录。

OAuth 允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方系统(例如:视频编辑网站)在特定的时段(例如,接下来的2个小时内)内访问特定的资源(例如,仅仅是某一相册中的视频)。这样 OAuth 让用户可以授权第三方网站访问他们存储在另外服务提供者的某些特定信息,而非所有内容。

  1. Token Auth

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录,大概的流程是这样的:

  • 客户端使用用户名跟密码请求登录
  • 服务端收到请求,去验证用户名与密码
  • 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  • 客户端收到 Token 以后可以把他存储起来,比如放在 Cookie 里
  • 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  • 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

SpringSecurity+JWT+OAuth2_第33张图片

Token Auth 的优点(Token 机制相对于 Cookie 机制又有什么好处?)

  1. 支持跨域访问:Cookie 是不允许跨域访问的,这一点对 Token 机制是不存在的,前提是传输的用户认证信息通过 HTTP 头传输。
  2. 无状态(也称:服务端可扩展行):Token 机制在服务端不需要存储 Session 信息,因为 Token 自身包括了所有登录用户的信息,只需要在客户端的 Cookie 或本地介质存储状态信息
  3. 更实用 CDN:可以通过内容分发网络请求你服务端的所有资料(如:javascript,HTML,图片等),而你的服务端只要提供 API 即可
  4. 去耦:不需要绑定到一个特定的身份验证方案。Token 可以在任何地方生成,只要在你的 API 被调用的时候,你可以进行 Token 生成调用即可。
  5. 更适用于移动应用:当你的客户端是一个原生平台(IOS、Android、Windows 10 等)时,Cookie 是不被支持的(你需要通过 Cookie 容器进行处理),这时采用 Token 认证机制就会简单的多。
  6. CSRF:因为不再依赖于 Cookie,所以你就不需要考虑对 CSRF(跨站请求伪造)的防范
  7. 性能:一次网络往返时间(通过数据库查询 session 信息)总比做一次 HMACSHA256 计算的 Token 验证和解析要费时的多。
  8. 不需要为登录页面做特殊处理,如果你使用 Protractor 做功能测试的时候,不再需要为登录页面做特殊处理
  9. 基于标准化,你的 API 可以采用标准化的 JSON Web Token(JWT),这个标准已经存在多个后端库(.NET,Ruby,Java,Python,PHP) 和多家公司的支持(Firebase,Google,Microsoft)
13.2 JWT 简介

什么是 JWT?

JSON Web Token(JWT)是一个开放的行业标准(RFC 7519),他定义了一种简介的、自包含的协议格式,用于在通信双方传递 json 对象,传递的信息经过数字签名可以被验证和信任。JWT 可以使用 HMAC 算法或使用 RSA 的公钥/私钥对来签名,防止被篡改。

JWT令牌的优点: jwt 基于 json,非常方便解析;可以在令牌中自定义丰富的内容,易扩展;通过非对称加密算法及数字签名技术,JWT 防止篡改,安全性高;资源服务使用 JWT 可不依赖认证服务即可完成授权。

缺点: JWT 令牌较长,占存储空间比较大

**JWT 组成:**一个 JWT 实际上就是一个字符串,三部分组成:头部、载荷与签名。

  • 头部(Header):

头部用于描述关于该 JWT 的最基本的信息,例如其类型(即 JWT)以及签名所用的算法(如 HMAC SHA 256 或 RSA)等,这也可以被表示成一个 JSON 对象。

{
    "alg": "HS256",
    "typ": "JWT"
}
  • typ :是类型
  • alg :签名的算法,这里使用的算法是 HS256 算法

对头部的 json 字符串进行 BASE64 编码,编码后的字符串如下: ewogICAgImFsZyI6ICJIUzI1NiIsCiAgICAidHlwIjogIkpXVCIKfQ==

BASE64 是一种基于 64 个可打印字符来表示二进制数据的表示方法,由于 2 的 6 次方等于 64,所以每 6 个比特为一个单元,对应某个可打印字符。三个字节有 24 个比特,对应与 4 个 BASE64 单元,即 3 个字节需要 4 个可打印字符来表示。JDK 中提供了非常方便的 BASE64Encoder 和 BASE64Decoder,用他们可以非常方便的完成基于 BASE64 的编码和解码。

  • 负载(Payload)

第二部分是负载,就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包括三个部分:

  1. 标准中注册的声明(建议但不强制使用)
iss: jwt 签发者
sub: jwt 所面向的用户
aud: 接受 jwt 的一方
exp: jwt 的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该 jwt 都是不可用的
iat: jwt 的签发时间
jti: jwt 的唯一身份标识,主要用来作为一次性 token,从而回避重放攻击。
  1. 公共的生命

公共的声明可以添加任何的信息,一般添加用户的相关信息或其他业务需要的必要信息,但不建议添加敏感信息,因为该部分在客户端可解密。

  1. 私有的声明

私有声明是 提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为 base64 是对称解密的,意味着该部分信息可以归类为明文信息

这个指的就是自定义的 claim。比如下面那个举例中的 name 都属于自定义的claim。这些 claim 跟 JWT 标准规定的 claim 区别在于:JWT 规定的 claim,JWT 的接收方在拿到 JWT 之后,都知道怎么对这些标准的 claim 进行验证(还不知道是否能够验证);而 private claims 不会验证,除非明确告诉接收方要对这些 claim 进行验证以及规则才行。

{
    "sub": "1234567890",
    "name": "John Doe",
    "iat": 1516239022
}

其中 sub 是标准的声明,name 是自定义的声明(公共的或私有的),然后将其进行 base64 编码,得到 Jwt 的第二部分

ewogICAgInN1YiI6ICIxMjM0NTY3ODkwIiwKICAgICJuYW1lIjogIkpvaG4gRG9lIiwKICAgICJpYXQiOiAxNTE2MjM5MDIyCn0=

这个声明中尽量不要放一些敏感的信息

  • 签证、签名(signature)

JWT 的第三部分是一个签证信息,这个签证信息由三个部分组成:

  1. header(base64 后的)
  2. payload(base64 后的)
  3. secret(盐,一定要保密的)

这个部分需要 base64 加密后的 header 和base64 加密后的 payload 使用,连接组成的字符串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第三部分。

将这三部分用 . 连接成一个完成的字符串,构成了最终的 jwt

注意:secret 是保存在服务器端的,jwt 的签发生成也是在服务器端的,secret 就是用来进行 jwt 的签发和 jwt 的验证,所以,它就是你服务端的私钥,在任何场景都不应该流露出去。一旦客户端得知这个 secret,那就意味着客户端是可以自我签发 jwt 了。

13.3 JJWT 简介

JJWT 是一个提供端到端的JWT 创建和验证的 Java 库,永远免费和开源(Apache License,版本 2.0),JJWT 很容易使用和理解。它被设计成一个以建筑为中心的流畅界面,隐藏了它的大部分复杂性。

规范官网:https://jwt.io/

13.3.1 加密
  1. 创建一个 Spring Boot 项目,导入以下依赖
<dependency>
	<groupId>io.jsonwebtokengroupId>
	<artifactId>jjwtartifactId>
	<version>0.9.0version>
dependency>
  1. 测试类
@Test
void contextLoads() {
	JwtBuilder jwtBuilder = Jwts.builder()
			// 唯一ID{“id": "888"}
			.setId("888")
			// 接收的用户 {"sub": "Zhangsan"}
			.setSubject("Zhangsan")
			// 签发时间 {"iat": "..."}
			.setIssuedAt(new Date())
			// 签名算法,及密钥
			.signWith(SignatureAlgorithm.HS256, "xxxx");
	String compact = jwtBuilder.compact();
	System.out.println(compact);
	System.out.println("--------------------------------");
	String[] split = compact.split("\\.");
	System.out.println(Base64Codec.BASE64.decodeToString(split[0]));
	System.out.println(Base64Codec.BASE64.decodeToString(split[1]));
	System.out.println(Base64Codec.BASE64.decodeToString(split[2]));
}

SpringSecurity+JWT+OAuth2_第34张图片

13.3.2 解密
// 解析 token
@Test
void tokenParse() {
	String token = "eyJhbGciOiJIUzI1NiJ9.eyJqdGkiOiI4ODgiLCJzdWIiOiJaaGFuZ3NhbiIsImlhdCI6MTY0MDY3ODAzM30.42FtM2rhB0DU-X2OdnMHw8Gdy5-jKYuL4UuC35JIe_A";
	// 解析 token,获取 Claims jwt 中荷载申明的对象
	Claims xxxx = (Claims) Jwts.parser()
			// 密钥
			.setSigningKey("xxxx")
			.parse(token)
			.getBody();
	System.out.println(xxxx.getId());
	System.out.println(xxxx.getSubject());
	System.out.println(xxxx.getIssuedAt());
}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-syRFiygC-1640697518424)(D:\notes\SpringSecurity\Spirng Security 基础知识点总结.assets\image-20211228160609766.png)]

13.3.3 token 过期检验

很多时候 token 是不能够永久生效的,所以需要给下发的 token 添加一个过期时间。原因:从服务器发出的 token,服务器自己并不做记录,就存在一个弊端就是,服务端无法主动控制某 token 的立刻生效。

/**
  * @description 带有过期时间的jwt
  * @author lishisen
  * @date 2021/12/28 16:13
 **/
@Test
void JwtHasExipre() {
	// 当前时间
	long date = System.currentTimeMillis();
	// 失效时间
	long exp = date + 60 * 1000;
	JwtBuilder jwtBuilder = Jwts.builder()
			// 唯一ID{“id": "888"}
			.setId("888")
			// 接收的用户 {"sub": "Zhangsan"}
			.setSubject("Zhangsan")
			// 签发时间 {"iat": "..."}
			.setIssuedAt(new Date())
			// 签名算法,及密钥
			.signWith(SignatureAlgorithm.HS256, "xxxx")
        	// 设置失效时间
			.setExpiration(new Date(exp));
	String compact = jwtBuilder.compact();
	System.out.println(compact);
	System.out.println("--------------------------------");
	String[] split = compact.split("\\.");
	System.out.println(Base64Codec.BASE64.decodeToString(split[0]));
	System.out.println(Base64Codec.BASE64.decodeToString(split[1]));
	System.out.println(Base64Codec.BASE64.decodeToString(split[2]));
}

// 失效后访问令牌会抛出异常
io.jsonwebtoken.ExpiredJwtException: JWT expired at 2021-12-28T16:18:21Z. Current time: 2021-12-28T16:18:28Z, a difference of 7072 milliseconds.  Allowed clock skew: 0 milliseconds.
13.3.4 自定义的声明
// 以键值对的方式进行声明
.claim("name", "zhao")
.claim("photo","aaa.jpg");

// 解析,通过键取
System.out.println(xxxx.get("name"));
System.out.println(xxxx.get("photo"));
13.4 SpringSecurity 使用 JWT 令牌

在上面的 SpringSecurity 2 中使用的是 Redis 保存的授权码,换成 JWT 之后不在需要使用 Redis 进行存储了,因为 JWT 是无状态的。

使用:

  1. 创建一个 JwtTokenStoreConfig 配置类
/**
 * @author lishisen
 * @description JWT 令牌配置
 * @date 2021/12/28 16:33
 **/
@Configuration
public class JwtTokenStoreConfig {
    @Bean
    public TokenStore jwtTokenStore() {
        return new JwtTokenStore(jwtAccessTokenConverter());
    }
    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        // 设置 jwt 密钥
        jwtAccessTokenConverter.setSigningKey("test_key");
        return  jwtAccessTokenConverter;
    }
}
  1. 在授权服务器中导入并且进行转化
@Autowired
@Qualifier("jwtTokenStore")
private TokenStore tokenStore;

@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;

/**
   * @description 密码模式
   * @author lishisen
   * @date 2021/12/28 13:44
  **/
 @Override
 public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
     endpoints.authenticationManager(authenticationManager).userDetailsService(userService)
      // accessToken转成JWTtoken
     .tokenStore(tokenStore)
     .accessTokenConverter(jwtAccessTokenConverter);
 }
  1. 启动测试

SpringSecurity+JWT+OAuth2_第35张图片

SpringSecurity+JWT+OAuth2_第36张图片

13.5 JWT 拓展
  1. 创建一个 JwtTokenEnhancer 类实现 TokenEnhancer 接口
/**
 * @author lishisen
 * @description TODO
 * @date 2021/12/28 17:18
 **/
public class JwtTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken oAuth2AccessToken, OAuth2Authentication oAuth2Authentication) {
        // 放一些扩展的信息
        HashMap<String, Object> map = new HashMap<>();
        map.put("enhance","enhancer info");
        ((DefaultOAuth2AccessToken)oAuth2AccessToken).setAdditionalInformation(map);
        return oAuth2AccessToken;
    }
}


// 需要向容器中注入一个这个bean
@Bean
public JwtTokenEnhancer jwtTokenEnhancer() {
    return new JwtTokenEnhancer();
}
  1. 在授权服务器中设置增强内容
@Autowired
private JwtAccessTokenConverter jwtAccessTokenConverter;

@Autowired
private JwtTokenEnhancer jwtTokenEnhancer; 

/**
   * @description 密码模式
   * @author lishisen
   * @date 2021/12/28 13:44
  **/
 @Override
 public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
     // 设置增强内容
     TokenEnhancerChain chain = new TokenEnhancerChain();
     ArrayList<TokenEnhancer> delegates = new ArrayList<>();
     delegates.add(jwtTokenEnhancer);
     delegates.add(jwtAccessTokenConverter);
     chain.setTokenEnhancers(delegates);
     endpoints.authenticationManager(authenticationManager).userDetailsService(userService)
      // accessToken转成JWTtoken
     .tokenStore(tokenStore)
     .accessTokenConverter(jwtAccessTokenConverter)
     .tokenEnhancer(chain);
 }
  1. 运行测试

SpringSecurity+JWT+OAuth2_第37张图片

SpringSecurity+JWT+OAuth2_第38张图片

13.6 解析Token

修改 /user/getCurrentUser 请求用于得到 Token 进行解析

@RestController
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/getCurrentUser")
    public Object getCurrentUser(Authentication authentication, HttpServletRequest request) {
        String header = request.getHeader("Authorization");
        String token = header.substring(header.lastIndexOf("bearer") + 7);
        return Jwts.parser()
                .setSigningKey("test_key".getBytes(StandardCharsets.UTF_8))
                .parseClaimsJws(token)
                .getBody();
    }

}

使用 postman 进行请求

首先获得令牌

SpringSecurity+JWT+OAuth2_第39张图片

请求的时候设置请求头

SpringSecurity+JWT+OAuth2_第40张图片

13.7 刷新令牌

首先在授权服务器AuthorizationServerConfig配置中设置令牌的过期时间

public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    clients.inMemory()
            // 客户端ID
            .withClient("client")
            // 密钥
            .secret(passwordEncoder.encode("111222333"))
            // 重定向地址
            .redirectUris("http://www.baidu.com")
            // 设置令牌过期时间
            .accessTokenValiditySeconds(60)
            // 刷新令牌失效时间
            .refreshTokenValiditySeconds(6000)
            // 授权范围
            .scopes("all")
            //授权模式: authorization_code:授权码模式
        	// "refresh_token" 设置刷新令牌
            .authorizedGrantTypes("authorization_code","password","refresh_token");
}
  • 设置令牌过期时间
    .accessTokenValiditySeconds(60)
  • 刷新令牌失效时间
    .refreshTokenValiditySeconds(6000)
  • “refresh_token” 设置刷新令牌

运行测试的时候,当我们请求令牌的时候就会多一个刷新令牌的键值对

SpringSecurity+JWT+OAuth2_第41张图片

当令牌过期的时候我们使用之前的令牌就不能进行访问了

然后通过设置参数和上面得到的刷新令牌进行访问就可以得到新的令牌了

SpringSecurity+JWT+OAuth2_第42张图片

14. 单点登录

14.1 简介

单点登录(Single Sign On),简称为 SSO,是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

SpringSecurity+JWT+OAuth2_第43张图片

14.2 OAuth2 整合单点登录(SSO)

单点系统需要有一个单独的认证系统,所有的应用系统都需要去找这个认证系统。

认证系统有两个非常重要的作用:

  1. 验证用户登录的用户名和密码,验证成功返回 token
  2. 验证 cookie

使用之前的一个认证系统 security-oauth2 工程中的 AuthorizationServerConfig(认证系统/授权服务器)

修改 认证系统的 AuthorizationServerConfig 配置类

// 重定向地址
.redirectUris("http://localhost:8081")
// 自动授权
.autoApprove(true)

// 重写方法
@Override
public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
    // 获取密钥必须要身份认证,单点登录必须要配置
    security.tokenKeyAccess("isAuthenticated()");
}
  1. 创建一个登录系统 oauth2client01,导入依赖
<properties>
    <java.version>1.8java.version>
    <spring-cloud.version>Greenwich.SR6spring-cloud.version>
properties>
<dependencies>
    <dependency>
        <groupId>org.springframework.cloudgroupId>
        <artifactId>spring-cloud-starter-securityartifactId>
    dependency>
    <dependency>
        <groupId>org.springframework.cloudgroupId>
        <artifactId>spring-cloud-starter-oauth2artifactId>
    dependency>
    <dependency>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-webartifactId>
    dependency>
    <dependency>
        <groupId>org.springframework.bootgroupId>
        <artifactId>spring-boot-starter-testartifactId>
        <scope>testscope>
    dependency>
    <dependency>
        <groupId>io.jsonwebtokengroupId>
        <artifactId>jjwtartifactId>
        <version>0.9.0version>
    dependency>
dependencies>
<dependencyManagement>
    <dependencies>
        <dependency>
            <groupId>org.springframework.cloudgroupId>
            <artifactId>spring-cloud-dependenciesartifactId>
            <version>${spring-cloud.version}version>
            <type>pomtype>
            <scope>importscope>
        dependency>
    dependencies>
dependencyManagement>
  1. yml 配置文件
server:
  port: 8081
  # 防止 Cookie 冲突,冲突会导致登录验证不通过
  servlet:
    session:
      cookie:
        name: OAUTH2-CLIENT-SESSIONID01
  # 授权服务器地址
oauth2-server-url: http://localhost:8080
# 授权服务器对应的配置
security:
  oauth2:
    client:
      client-id: client
      client-secret: 111222333
      user-authorization-uri: ${oauth2-server-url}/oauth/authorize
      access-token-uri: ${oauth2-server-url}/oauth/token
    resource:
      jwt:
        key-uri: ${oauth2-server-url}/oauth/token_key
  1. 创建一个 Controller 请求路径
@RestController
@RequestMapping("/user")
public class UserController {

    @RequestMapping("/getCurrentUser")
    public Object getCurrentUser(Authentication authentication) {
        return authentication;
    }
}
  1. 在主启动类上加上注解 @EnableOAuth2Sso
@SpringBootApplication
// 开启单点登录
@EnableOAuth2Sso
public class Oauth2client01Application {
    public static void main(String[] args) {
        SpringApplication.run(Oauth2client01Application.class, args);
    }
}

  1. 启动测试

    首先启动认证系统服务,然后启动客户端服务

    地址栏访问 http://localhost:8081/user/getCurrentUser 的时候会自动跳转到 http://localhost:8080/login 请求

    这里的用户名密码是认证服务器 UserService 中配置的 UserDetails

SpringSecurity+JWT+OAuth2_第44张图片

账号密码输入正确认证通过后又会跳转到 http://localhost:8081/user/getCurrentUser,单点登录成功

SpringSecurity+JWT+OAuth2_第45张图片

本视频参考学习自:https://www.bilibili.com/video/BV1CY411p7dT?p=1

你可能感兴趣的:(笔记,java,java-ee,开发语言)

  • 10月|愿你的青春不负梦想-读书笔记-01 Tracy的小书斋
    本书的作者是俞敏洪,大家都很熟悉他了吧。俞敏洪老师是我行业的领头羊吧,也是我事业上的偶像。本日摘录他书中第一章中的金句:『一个人如果什么目标都没有,就会浑浑噩噩,感觉生命中缺少能量。能给我们能量的,是对未来的期待。第一件事,我始终为了进步而努力。与其追寻全世界的骏马,不如种植丰美的草原,到时骏马自然会来。第二件事,我始终有阶段性的目标。什么东西能给我能量?答案是对未来的期待。』读到这里的时候,我便
  • 《投行人生》读书笔记 小蘑菇的树洞
    《投行人生》----作者詹姆斯-A-朗德摩根斯坦利副主席40年的职业洞见-很短小精悍的篇幅,比较适合初入职场的新人。第一部分成功的职业生涯需要规划1.情商归为适应能力分享与协作同理心适应能力,更多的是自我意识,你有能力识别自己的情并分辨这些情绪如何影响你的思想和行为。2.对于初入职场的人的建议,细节,截止日期和数据很重要截止日期,一种有效的方法是请老板为你所有的任务进行优先级排序。和老板喝咖啡的好
  • Long类型前后端数据不一致 igotyback 前端
    响应给前端的数据浏览器控制台中response中看到的Long类型的数据是正常的到前端数据不一致前后端数据类型不匹配是一个常见问题,尤其是当后端使用Java的Long类型(64位)与前端JavaScript的Number类型(最大安全整数为2^53-1,即16位)进行数据交互时,很容易出现精度丢失的问题。这是因为JavaScript中的Number类型无法安全地表示超过16位的整数。为了解决这个问
  • LocalDateTime 转 String igotyback java开发语言
    importjava.time.LocalDateTime;importjava.time.format.DateTimeFormatter;publicclassMain{publicstaticvoidmain(String[]args){//获取当前时间LocalDateTimenow=LocalDateTime.now();//定义日期格式化器DateTimeFormatterformat
  • Linux下QT开发的动态库界面弹出操作(SDL2) 13jjyao QT类qt开发语言sdl2linux
    需求:操作系统为linux,开发框架为qt,做成需带界面的qt动态库,调用方为java等非qt程序难点:调用方为java等非qt程序,也就是说调用方肯定不带QApplication::exec(),缺少了这个,QTimer等事件和QT创建的窗口将不能弹出(包括opencv也是不能弹出);这与qt调用本身qt库是有本质的区别的思路:1.调用方缺QApplication::exec(),那么我们在接口
  • 【一起学Rust | 设计模式】习惯语法——使用借用类型作为参数、格式化拼接字符串、构造函数 广龙宇 一起学Rust#Rust设计模式rust设计模式开发语言
    提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档文章目录前言一、使用借用类型作为参数二、格式化拼接字符串三、使用构造函数总结前言Rust不是传统的面向对象编程语言,它的所有特性,使其独一无二。因此,学习特定于Rust的设计模式是必要的。本系列文章为作者学习《Rust设计模式》的学习笔记以及自己的见解。因此,本系列文章的结构也与此书的结构相同(后续可能会调成结构),基本上分为三个部分
  • git常用命令笔记 咩酱-小羊 git笔记
    ###用习惯了idea总是不记得git的一些常见命令,需要用到的时候总是担心旁边站了人~~~记个笔记@_@,告诉自己看笔记不丢人初始化初始化一个新的Git仓库gitinit配置配置用户信息gitconfig--globaluser.name"YourName"gitconfig--globaluser.email"[email protected]"基本操作克隆远程仓库gitclone查看
  • 509. 斐波那契数(每日一题) lzyprime
    lzyprime博客(github)创建时间:2021.01.04qq及邮箱:2383518170leetcode笔记题目描述斐波那契数,通常用F(n)表示,形成的序列称为斐波那契数列。该数列由0和1开始,后面的每一项数字都是前面两项数字的和。也就是:F(0)=0,F(1)=1F(n)=F(n-1)+F(n-2),其中n>1给你n,请计算F(n)。示例1:输入:2输出:1解释:F(2)=F(1)+
  • 拥有断舍离的心态,过精简生活--《断舍离》读书笔记 爱吃丸子的小樱桃
    不知不觉间房间里的东西越来越多,虽然摆放整齐,但也时常会觉得空间逼仄,令人心生烦闷。抱着断舍离的态度,我开始阅读《断舍离》这本书,希望从书中能找到一些有效的方法,帮助我实现空间、物品上的断舍离。《断舍离》是日本作家山下英子通过自己的经历、思考和实践总结而成的,整体内涵也从刚开始的私人生活哲学的“断舍离”升华成了“人生实践哲学”,接着又成为每个人都能实行的“改变人生的断舍离”,从“哲学”逐渐升华成“
  • 四章-32-点要素的聚合 彩云飘过
    本文基于腾讯课堂老胡的课《跟我学Openlayers--基础实例详解》做的学习笔记,使用的openlayers5.3.xapi。源码见1032.html,对应的官网示例https://openlayers.org/en/latest/examples/cluster.htmlhttps://openlayers.org/en/latest/examples/earthquake-clusters.
  • DIV+CSS+JavaScript技术制作网页(旅游主题网页设计与制作)云南大理 STU学生网页设计 网页设计期末网页作业html静态网页html5期末大作业网页设计web大作业
    ️精彩专栏推荐作者主页:【进入主页—获取更多源码】web前端期末大作业:【HTML5网页期末作业(1000套)】程序员有趣的告白方式:【HTML七夕情人节表白网页制作(110套)】文章目录二、网站介绍三、网站效果▶️1.视频演示2.图片演示四、网站代码HTML结构代码CSS样式代码五、更多源码二、网站介绍网站布局方面:计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。网站程
  • 【华为OD机试真题2023B卷 JAVA&JS】We Are A Team 若博豆 java算法华为javascript
    华为OD2023(B卷)机试题库全覆盖,刷题指南点这里WeAreATeam时间限制:1秒|内存限制:32768K|语言限制:不限题目描述:总共有n个人在机房,每个人有一个标号(1<=标号<=n),他们分成了多个团队,需要你根据收到的m条消息判定指定的两个人是否在一个团队中,具体的:1、消息构成为:abc,整数a、b分别代
  • 高端密码学院笔记285 柚子_b4b4
    高端幸福密码学院(高级班)幸福使者:李华第(598)期《幸福》之回归内在深层生命原动力基础篇——揭秘“激励”成长的喜悦心理案例分析主讲:刘莉一,知识扩充:成功=艰苦劳动+正确方法+少说空话。贪图省力的船夫,目标永远下游。智者的梦再美,也不如愚人实干的脚印。幸福早课堂2020.10.16星期五一笔记:1,重视和珍惜的前提是知道它的价值非常重要,当你珍惜了,你就真正定下来,真正的学到身上。2,大家需要
  • 关于城市旅游的HTML网页设计——(旅游风景云南 5页)HTML+CSS+JavaScript 二挡起步 web前端期末大作业javascripthtmlcss旅游风景
    ⛵源码获取文末联系✈Web前端开发技术描述网页设计题材,DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业|游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作|HTML期末大学生网页设计作业,Web大学生网页HTML:结构CSS:样式在操作方面上运用了html5和css3,采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScrip
  • HTML网页设计制作大作业(div+css) 云南我的家乡旅游景点 带文字滚动 二挡起步 web前端期末大作业web设计网页规划与设计htmlcssjavascriptdreamweaver前端
    Web前端开发技术描述网页设计题材,DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作HTML期末大学生网页设计作业HTML:结构CSS:样式在操作方面上运用了html5和css3,采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScript:做与用户的交互行为文章目录前端学习路线
  • Day17笔记-高阶函数 ~在杰难逃~ Python笔记python开发语言pycharm数据分析
    高阶函数【重点掌握】函数的本质:函数是一个变量,函数名是一个变量名,一个函数可以作为另一个函数的参数或返回值使用如果A函数作为B函数的参数,B函数调用完成之后,会得到一个结果,则B函数被称为高阶函数常用的高阶函数:map(),reduce(),filter(),sorted()1.map()map(func,iterable),返回值是一个iterator【容器,迭代器】func:函数iterab
  • Day1笔记-Python简介&标识符和关键字&输入输出 ~在杰难逃~ Pythonpython开发语言大数据数据分析数据挖掘
    大家好,从今天开始呢,杰哥开展一个新的专栏,当然,数据分析部分也会不定时更新的,这个新的专栏主要是讲解一些Python的基础语法和知识,帮助0基础的小伙伴入门和学习Python,感兴趣的小伙伴可以开始认真学习啦!一、Python简介【了解】1.计算机工作原理编程语言就是用来定义计算机程序的形式语言。我们通过编程语言来编写程序代码,再通过语言处理程序执行向计算机发送指令,让计算机完成对应的工作,编程
  • node.js学习 小猿L node.jsnode.js学习vim
    node.js学习实操及笔记温故node.js,node.js学习实操过程及笔记~node.js学习视频node.js官网node.js中文网实操笔记githubcsdn笔记为什么学node.js可以让别人访问我们编写的网页为后续的框架学习打下基础,三大框架vuereactangular离不开node.jsnode.js是什么官网:node.js是一个开源的、跨平台的运行JavaScript的运行
  • 数据仓库——维度表一致性 墨染丶eye 背诵数据仓库
    数据仓库基础笔记思维导图已经整理完毕,完整连接为:数据仓库基础知识笔记思维导图维度一致性问题从逻辑层面来看,当一系列星型模型共享一组公共维度时,所涉及的维度称为一致性维度。当维度表存在不一致时,短期的成功难以弥补长期的错误。维度时确保不同过程中信息集成起来实现横向钻取货活动的关键。造成横向钻取失败的原因维度结构的差别,因为维度的差别,分析工作涉及的领域从简单到复杂,但是都是通过复杂的报表来弥补设计
  • 【Git】常见命令(仅笔记) 好想有猫猫 GitLinux学习笔记git笔记elasticsearchlinuxc++
    文章目录创建/初始化本地仓库添加本地仓库配置项提交文件查看仓库状态回退仓库查看日志分支删除文件暂存工作区代码远程仓库使用`.gitigore`文件让git不追踪一些文件标签创建/初始化本地仓库gitinit添加本地仓库配置项gitconfig-l#以列表形式显示配置项gitconfiguser.name"ljh"#配置user.namegitconfiguser.email"[email protected]
  • Java 重写(Override)与重载(Overload) 叨唧唧的
    Java重写(Override)与重载(Overload)重写(Override)重写是子类对父类的允许访问的方法的实现过程进行重新编写,返回值和形参都不能改变。即外壳不变,核心重写!重写的好处在于子类可以根据需要,定义特定于自己的行为。也就是说子类能够根据需要实现父类的方法。重写方法不能抛出新的检查异常或者比被重写方法申明更加宽泛的异常。例如:父类的一个方法申明了一个检查异常IOExceptio
  • 简单了解 JVM 记得开心一点啊 jvm
    目录♫什么是JVM♫JVM的运行流程♫JVM运行时数据区♪虚拟机栈♪本地方法栈♪堆♪程序计数器♪方法区/元数据区♫类加载的过程♫双亲委派模型♫垃圾回收机制♫什么是JVMJVM是JavaVirtualMachine的简称,意为Java虚拟机。虚拟机是指通过软件模拟的具有完整硬件功能的、运行在一个完全隔离的环境中的完整计算机系统(如:JVM、VMwave、VirtualBox)。JVM和其他两个虚拟机
  • 1分钟解决 -bash: mvn: command not found,在Centos 7中安装Maven Energet!c 开发语言
    1分钟解决-bash:mvn:commandnotfound,在Centos7中安装Maven检查Java环境1下载Maven2解压Maven3配置环境变量4验证安装5常见问题与注意事项6总结检查Java环境Maven依赖Java环境,请确保系统已经安装了Java并配置了环境变量。可以通过以下命令检查:java-version如果未安装,请先安装Java。1下载Maven从官网下载:前往Apach
  • 为什么你总是对下属不满意? ZhaoWu1050
    【ZhaoWu的听课笔记】大多数公司,都存在两种问题。我创业四年,更是体会深切。这两种问题就是:老板经常不满意下属的表现;下属总是不知道老板想要什么;虽然这两种问题普遍存在,其实解决方法并不复杂。这节课,我们再聊聊第一个问题:为什么老板经常不满意下属表现?其实,这背后也是一条管理常识。管理学家德鲁克先生早就说过:管理者的任务,不是去改变人。*来自《卓有成效的管理者》只是大多数老板和我一样,都是一边
  • 母亲节如何做小红书营销 美橙传媒
    小红书的一举一动引起了外界的高度关注。通过爆款笔记和流行话题,我们可以看到“干货”类型的内容在小红书中偏向实用的生活经验共享和生活指南非常受欢迎。根据运营社的分析,这种现象是由小红书用户心智和内容社区背后机制共同决定的。首先,小红书将使用“强搜索”逻辑为用户提供特定的“搜索场景”。在“我必须这样生活”中,大量使用了满足小红书站用户喜好和需求的内容。内容社区自制的高质量内容也吸引了寻找营销新途径的品
  • Java企业面试题3 马龙强_ java
    1.break和continue的作用(智*图)break:用于完全退出一个循环(如for,while)或一个switch语句。当在循环体内遇到break语句时,程序会立即跳出当前循环体,继续执行循环之后的代码。continue:用于跳过当前循环体中剩余的部分,并开始下一次循环。如果是在for循环中使用continue,则会直接进行条件判断以决定是否执行下一轮循环。2.if分支语句和switch分
  • JVM、JRE和 JDK:理解Java开发的三大核心组件 Y雨何时停T Javajava
    Java是一门跨平台的编程语言,它的成功离不开背后强大的运行环境与开发工具的支持。在Java的生态中,JVM(Java虚拟机)、JRE(Java运行时环境)和JDK(Java开发工具包)是三个至关重要的核心组件。本文将探讨JVM、JDK和JRE的区别,帮助你更好地理解Java的运行机制。1.JVM:Java虚拟机(JavaVirtualMachine)什么是JVM?JVM,即Java虚拟机,是Ja
  • 读书笔记|《遇见孩子,遇见更好的自己》5 抹茶社长
    为人父母意味着放弃自己的过去,不要对以往没有实现的心愿耿耿于怀,只有这样,孩子们才能做回自己。985909803.jpg孩子在与父母保持亲密的同时更需要独立,唯有这样,孩子才会成为孩子,父母才会成其为父母。有耐心的人生往往更幸福,给孩子留点余地。认识到养儿育女是对耐心的考验。为失败做好心理准备,教会孩子控制情绪。了解自己的底线,说到底线,有一点很重要,父母之所以发脾气,真正的原因往往在于他们自己,
  • Java面试题精选:消息队列(二) 芒果不是芒 Java面试题精选javakafka
    一、Kafka的特性1.消息持久化:消息存储在磁盘,所以消息不会丢失2.高吞吐量:可以轻松实现单机百万级别的并发3.扩展性:扩展性强,还是动态扩展4.多客户端支持:支持多种语言(Java、C、C++、GO、)5.KafkaStreams(一个天生的流处理):在双十一或者销售大屏就会用到这种流处理。使用KafkaStreams可以快速的把销售额统计出来6.安全机制:Kafka进行生产或者消费的时候会
  • 基于Python给出的PDF文档转Markdown文档的方法 程序媛了了 pythonpdf开发语言
    注:网上有很多将Markdown文档转为PDF文档的方法,但是却很少有将PDF文档转为Markdown文档的方法。就算有,比如某些网站声称可以将PDF文档转为Markdown文档,尝试过,不太符合自己的要求,而且无法保证文档没有泄露风险。于是本人为了解决这个问题,借助GPT(能使用GPT镜像或者有条件直接使用GPT的,反正能调用GPT接口就行)生成Python代码来完成这个功能。笔记、代码难免存在
  • Java实现的简单双向Map,支持重复Value superlxw1234 java双向map
    关键字:Java双向Map、DualHashBidiMap     有个需求,需要根据即时修改Map结构中的Value值,比如,将Map中所有value=V1的记录改成value=V2,key保持不变。   数据量比较大,遍历Map性能太差,这就需要根据Value先找到Key,然后去修改。   即:既要根据Key找Value,又要根据Value
  • PL/SQL触发器基础及例子 百合不是茶 oracle数据库触发器PL/SQL编程
      触发器的简介; 触发器的定义就是说某个条件成立的时候,触发器里面所定义的语句就会被自动的执行。因此触发器不需要人为的去调用,也不能调用。触发器和过程函数类似 过程函数必须要调用,   一个表中最多只能有12个触发器类型的,触发器和过程函数相似 触发器不需要调用直接执行, 触发时间:指明触发器何时执行,该值可取: before:表示在数据库动作之前触发
  • [时空与探索]穿越时空的一些问题 comsci 问题
          我们还没有进行过任何数学形式上的证明,仅仅是一个猜想.....       这个猜想就是; 任何有质量的物体(哪怕只有一微克)都不可能穿越时空,该物体强行穿越时空的时候,物体的质量会与时空粒子产生反应,物体会变成暗物质,也就是说,任何物体穿越时空会变成暗物质..(暗物质就我的理
  • easy ui datagrid上移下移一行 商人shang js上移下移easyuidatagrid
    /** * 向上移动一行 * * @param dg * @param row */ function moveupRow(dg, row) { var datagrid = $(dg); var index = datagrid.datagrid("getRowIndex", row); if (isFirstRow(dg, row)) {
  • Java反射 oloz 反射
    本人菜鸟,今天恰好有时间,写写博客,总结复习一下java反射方面的知识,欢迎大家探讨交流学习指教 首先看看java中的Class package demo; public class ClassTest { /*先了解java中的Class*/ public static void main(String[] args) { //任何一个类都
  • springMVC 使用JSR-303 Validation验证 杨白白 springmvc
    JSR-303是一个数据验证的规范,但是spring并没有对其进行实现,Hibernate Validator是实现了这一规范的,通过此这个实现来讲SpringMVC对JSR-303的支持。 JSR-303的校验是基于注解的,首先要把这些注解标记在需要验证的实体类的属性上或是其对应的get方法上。 登录需要验证类 public class Login { @NotEmpty
  • log4j 香水浓 log4j
    log4j.rootCategory=DEBUG, STDOUT, DAILYFILE, HTML, DATABASE #log4j.rootCategory=DEBUG, STDOUT, DAILYFILE, ROLLINGFILE, HTML #console log4j.appender.STDOUT=org.apache.log4j.ConsoleAppender log4
  • 使用ajax和history.pushState无刷新改变页面URL agevs jquery框架Ajaxhtml5chrome
    表现 如果你使用chrome或者firefox等浏览器访问本博客、github.com、plus.google.com等网站时,细心的你会发现页面之间的点击是通过ajax异步请求的,同时页面的URL发生了了改变。并且能够很好的支持浏览器前进和后退。 是什么有这么强大的功能呢? HTML5里引用了新的API,history.pushState和history.replaceState,就是通过
  • centos中文乱码 AILIKES centosOSssh
    一、CentOS系统访问 g.cn ,发现中文乱码。 于是用以前的方式:yum -y install fonts-chinese CentOS系统安装后,还是不能显示中文字体。我使用 gedit 编辑源码,其中文注释也为乱码。       后来,终于找到以下方法可以解决,需要两个中文支持的包: fonts-chinese-3.02-12.
  • 触发器 baalwolf 触发器
    触发器(trigger):监视某种情况,并触发某种操作。 触发器创建语法四要素:1.监视地点(table) 2.监视事件(insert/update/delete) 3.触发时间(after/before) 4.触发事件(insert/update/delete) 语法: create trigger triggerName after/before 
  • JS正则表达式的i m g bijian1013 JavaScript正则表达式
            g:表示全局(global)模式,即模式将被应用于所有字符串,而非在发现第一个匹配项时立即停止。         i:表示不区分大小写(case-insensitive)模式,即在确定匹配项时忽略模式与字符串的大小写。         m:表示
  • HTML5模式和Hashbang模式 bijian1013 JavaScriptAngularJSHashbang模式HTML5模式
            我们可以用$locationProvider来配置$location服务(可以采用注入的方式,就像AngularJS中其他所有东西一样)。这里provider的两个参数很有意思,介绍如下。 html5Mode         一个布尔值,标识$location服务是否运行在HTML5模式下。 ha
  • [Maven学习笔记六]Maven生命周期 bit1129 maven
    从mvn test的输出开始说起   当我们在user-core中执行mvn test时,执行的输出如下:   /software/devsoftware/jdk1.7.0_55/bin/java -Dmaven.home=/software/devsoftware/apache-maven-3.2.1 -Dclassworlds.conf=/software/devs
  • 【Hadoop七】基于Yarn的Hadoop Map Reduce容错 bit1129 hadoop
    运行于Yarn的Map Reduce作业,可能发生失败的点包括 Task Failure Application Master Failure Node Manager Failure Resource Manager Failure 1. Task Failure 任务执行过程中产生的异常和JVM的意外终止会汇报给Application Master。僵死的任务也会被A
  • 记一次数据推送的异常解决端口解决 ronin47 记一次数据推送的异常解决
       需求:从db获取数据然后推送到B         程序开发完成,上jboss,刚开始报了很多错,逐一解决,可最后显示连接不到数据库。机房的同事说可以ping 通。     自已画了个图,逐一排除,把linux 防火墙 和 setenforce 设置最低。    service iptables stop
  • 巧用视错觉-UI更有趣 brotherlamp UIui视频ui教程ui自学ui资料
    我们每个人在生活中都曾感受过视错觉(optical illusion)的魅力。 视错觉现象是双眼跟我们开的一个玩笑,而我们往往还心甘情愿地接受我们看到的假象。其实不止如此,视觉错现象的背后还有一个重要的科学原理——格式塔原理。 格式塔原理解释了人们如何以视觉方式感觉物体,以及图像的结构,视角,大小等要素是如何影响我们的视觉的。 在下面这篇文章中,我们首先会简单介绍一下格式塔原理中的基本概念,
  • 线段树-poj1177-N个矩形求边长(离散化+扫描线) bylijinnan 数据结构算法线段树
    package com.ljn.base; import java.util.Arrays; import java.util.Comparator; import java.util.Set; import java.util.TreeSet; /** * POJ 1177 (线段树+离散化+扫描线),题目链接为http://poj.org/problem?id=1177
  • HTTP协议详解 chicony http协议
    引言                                 
  • Scala设计模式 chenchao051 设计模式scala
    Scala设计模式                我的话: 在国外网站上看到一篇文章,里面详细描述了很多设计模式,并且用Java及Scala两种语言描述,清晰的让我们看到各种常规的设计模式,在Scala中是如何在语言特性层面直接支持的。基于文章很nice,我利用今天的空闲时间将其翻译,希望大家能一起学习,讨论。翻译
  • 安装mysql daizj mysql安装
    安装mysql   (1)删除linux上已经安装的mysql相关库信息。rpm  -e  xxxxxxx   --nodeps (强制删除)      执行命令rpm -qa |grep mysql 检查是否删除干净   (2)执行命令  rpm -i MySQL-server-5.5.31-2.el
  • HTTP状态码大全 dcj3sjt126com http状态码
    完整的 HTTP 1.1规范说明书来自于RFC 2616,你可以在http://www.talentdigger.cn/home/link.php?url=d3d3LnJmYy1lZGl0b3Iub3JnLw%3D%3D在线查阅。HTTP 1.1的状态码被标记为新特性,因为许多浏览器只支持 HTTP 1.0。你应只把状态码发送给支持 HTTP 1.1的客户端,支持协议版本可以通过调用request
  • asihttprequest上传图片 dcj3sjt126com ASIHTTPRequest
    NSURL *url =@"yourURL"; ASIFormDataRequest*currentRequest =[ASIFormDataRequest requestWithURL:url]; [currentRequest setPostFormat:ASIMultipartFormDataPostFormat];[currentRequest se
  • C语言中,关键字static的作用 e200702084 C++cC#
    在C语言中,关键字static有三个明显的作用: 1)在函数体,局部的static变量。生存期为程序的整个生命周期,(它存活多长时间);作用域却在函数体内(它在什么地方能被访问(空间))。 一个被声明为静态的变量在这一函数被调用过程中维持其值不变。因为它分配在静态存储区,函数调用结束后并不释放单元,但是在其它的作用域的无法访问。当再次调用这个函数时,这个局部的静态变量还存活,而且用在它的访
  • win7/8使用curl geeksun win7
    1.  WIN7/8下要使用curl,需要下载curl-7.20.0-win64-ssl-sspi.zip和Win64OpenSSL_Light-1_0_2d.exe。 下载地址:  http://curl.haxx.se/download.html 请选择不带SSL的版本,否则还需要安装SSL的支持包   2.  可以给Windows增加c
  • Creating a Shared Repository; Users Sharing The Repository hongtoushizi git
    转载自:   http://www.gitguys.com/topics/creating-a-shared-repository-users-sharing-the-repository/ Commands discussed in this section: git init –bare git clone git remote git pull git p
  • Java实现字符串反转的8种或9种方法 Josh_Persistence 异或反转递归反转二分交换反转java字符串反转栈反转
    注:对于第7种使用异或的方式来实现字符串的反转,如果不太看得明白的,可以参照另一篇博客: http://josh-persistence.iteye.com/blog/2205768   /** * */ package com.wsheng.aggregator.algorithm.string; import java.util.Stack; /**
  • 代码实现任意容量倒水问题 home198979 PHP算法倒水
    形象化设计模式实战             HELLO!架构                     redis命令源码解析   倒水问题:有两个杯子,一个A升,一个B升,水有无限多,现要求利用这两杯子装C
  • Druid datasource zhb8015 druid
    推荐大家使用数据库连接池 DruidDataSource. http://code.alibabatech.com/wiki/display/Druid/DruidDataSource DruidDataSource经过阿里巴巴数百个应用一年多生产环境运行验证,稳定可靠。 它最重要的特点是:监控、扩展和性能。 下载和Maven配置看这里: http
  • 两种启动监听器ApplicationListener和ServletContextListener spjich javaspring框架
    引言:有时候需要在项目初始化的时候进行一系列工作,比如初始化一个线程池,初始化配置文件,初始化缓存等等,这时候就需要用到启动监听器,下面分别介绍一下两种常用的项目启动监听器   ServletContextListener  特点: 依赖于sevlet容器,需要配置web.xml 使用方法: public class StartListener implements
  • JavaScript Rounding Methods of the Math object 何不笑 JavaScriptMath
        The next group of methods has to do with rounding decimal values into integers. Three methods — Math.ceil(),  Math.floor(), and  Math.round() — handle rounding in differen
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他