SpringBoot整合SpringSecurity超详细入门教程

已于 2024-04-30 16:06:59 修改
阅读量534 收藏 8
点赞数 25
分类专栏: 程序员 文章标签: spring boot 后端 java
于 2024-04-30 16:06:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83977357/article/details/138348913
版权

创建数据库 security,并创建一个User表:

在这里插入图片描述

对应的数据库 Schema 脚本,数据库 Data 脚本如下:

DROP TABLE IF EXISTS users;

CREATE TABLE users(

id BIGINT(20) PRIMARY KEY AUTO_INCREMENT,

username VARCHAR(20) UNIQUE NOT NULL,

password VARCHAR(100)

);

DELETE FROM users;

INSERT INTO users (id, username, password) VALUES

(1, ‘张三’, ‘123456’),

(2, ‘李四’, ‘123456’),

(3, ‘王五’, ‘123456’);

通过MybatisPlus完成数据库操作: Mybatis-Plus基本使用

添加依赖:

com.baomidou

mybatis-plus-boot-starter

3.3.1.tmp

mysql

mysql-connector-java

runtime

org.projectlombok

lombok

创建实体类Users:

@Data

@AllArgsConstructor

@NoArgsConstructor

public class Users {

private Integer id;

private String username;

private String password;

}

新建mapper包,创建UsersMapper接口:

在这里插入图片描述

想要使用接口,需要在启动器或配置类上添加注解:@MapperScan("com.ly.mapper")

@Repository

public interface UsersMapper extends BaseMapper {

}

配置文件添加数据库配置 :

spring:

#配置数据源

datasource:

driver-class-name: com.mysql.cj.jdbc.Driver

url: jdbc:mysql://localhost:3306/security?useSSL=false&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8

username: root

password: 123456

在实现类中添加数据库相关操作:

@Service(“userDetailsService”)

public class MyUserDetailsService implements UserDetailsService {

@Autowired

private UsersMapper usersMapper;

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

//调用usersMapper方法,根据用户名查询数据库

QueryWrapper wrapper = new QueryWrapper<>();

wrapper.eq(“username”,username);

Users users = usersMapper.selectOne(wrapper);

//判断

if(users==null){//数据库没有数据,认证失败

throw new UsernameNotFoundException(“用户名不存在!”);

}

//手动设置了role,也可以通过数据库查询获取

List auths = AuthorityUtils.commaSeparatedStringToAuthorityList(“role”); //配置角色

return new User(users.getUsername(),

new BCryptPasswordEncoder().encode(users.getPassword()),auths);

}

}

测试访问:

在这里插入图片描述

自定义页面与权限控制

自定义登陆页面:

在这里插入图片描述

Title

用户名:


用户名:


在配置类实现相关配置:

在这里插入图片描述

@Override

protected void configure(HttpSecurity http) throws Exception {

//配置没有权限访问跳转自定义页面

http.exceptionHandling().accessDeniedPage(“/unauth.html”);

http.formLogin() //自定义自己编写的登陆页面

.loginPage(“/login.html”) //登陆页面设置

.loginProcessingUrl(“/user/login”) //登陆访问路径

.defaultSuccessUrl(“/test/hello”).permitAll() //登陆成功后跳转路径

.and().authorizeRequests()

.antMatchers(“/”,“/user/login”).permitAll() //设置那些路径可以直接访问,不需要认证

// .antMatchers(“/test/addUser”).hasAuthority(“addUser”)

// .antMatchers(“/test/findAll”).hasAnyAuthority(“addUser,findAll”)

// .antMatchers(“/test/hello”).hasRole(“admin”)

// .antMatchers(“/test/hello”).hasAnyRole(“admin”)

.anyRequest().authenticated()

.and().csrf().disable(); //关闭csrf的保护

}

在这里插入图片描述

权限控制:

1.在配置类设置当前访问地址有那些权限

//当前用户只有具有addUser权限时才能访问该路径

.antMatchers(“/test/add”).hasAuthority(“addUser”)

相关方法: 角色和权限都可以设置多个,以逗号分开

| 方法名称 | 说明 |

| — | — |

| hasAuthority | 如果当前的主体具有指定的权限,则可以访问 |

| hasAnyAuthority | 如果当前的主体有任何提供的角色的话,就可以访问 |

| hasRole | 如果用户具备给定角色就允许访问 |

| hasAnyRole | 用户具备任何一个角色都可以访问 |

2.在UserDetailsService中为User对象设置权限

对于权限可以直接设置,对于角色以ROLE_**的方式设置

List auths = AuthorityUtils

.commaSeparatedStringToAuthorityList(“addUser,findAll,ROLE_admin,ROLE_user”);

当User对象没有对应权限时会返回403错误:

在这里插入图片描述

自定义403页面:

在这里插入图片描述

403

对不起,您没有访问权限!

在配置类实现相关配置:http.exceptionHandling().accessDeniedPage("/403.html");

在这里插入图片描述

再次测试:

在这里插入图片描述

注解的使用

使用注解前需要在启动器或配置类上添加注解:@EnableGlobalMethodSecurity(securedEnabled=true,...)

@SpringBootApplication

@MapperScan(“com.ly.mapper”)

@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)

public class SecurityDemoApplication {

public static void main(String[] args) {

SpringApplication.run(SecurityDemoApplication.class, args);

}

}

@Secured:判断是否具有角色:

@RequestMapping(“testSecured”)

@ResponseBody

@Secured({“ROLE_normal”,“ROLE_admin”})

public String testSecured() {

return “testSecured”;

}

登录之后直接访问:http://localhost:10081/test/testSecured

在这里插入图片描述

@PreAuthorize:进入方法前进行权限验证, @PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中。

@RequestMapping(“/preAuthorize”)

@ResponseBody

//@PreAuthorize(“hasRole(‘ROLE_管理员’)”)

@PreAuthorize(“hasAnyAuthority(‘findAll’)”)

public String preAuthorize(){

System.out.println(“preAuthorize”);

return “preAuthorize”;

}

登录之后直接访问:http://localhost:10081/test/preAuthorize

在这里插入图片描述

@PostAuthorize:方法执行后再进行权限验证,适合验证带有返回值的权限:

@RequestMapping(“/postAuthorize”)

@ResponseBody

@PostAuthorize(“hasAnyAuthority(‘find’)”)

public String postAuthorize(){

System.out.println(“postAuthorize”);

return “PostAuthorize”;

}

登录之后直接访问:http://localhost:10081/test/postAuthorize

在这里插入图片描述

@PostFilter :权限验证之后对数据进行过滤,留下指定的数据,表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

@RequestMapping(“findAll”)

@PostAuthorize(“hasAnyAuthority(‘findAll’)”)

@PostFilter(“filterObject.username == ‘admin1’”)

@ResponseBody

public List findAllUser(){

ArrayList list = new ArrayList<>();

list.add(new Users(1,“admin1”,“123456”));

list.add(new Users(2,“admin2”,“123456”));

return list;

}

登录之后直接访问:http://localhost:10081/test/findAll

在这里插入图片描述

@PreFilter: 进入控制器之前对数据进行过滤

@RequestMapping(“preFilter”)

@PostAuthorize(“hasAnyAuthority(‘findAll’)”)

@PreFilter(value = “filterObject.id%2==0”)

@ResponseBody

public List testPreFilter(@RequestBody List list){

list.forEach(t-> {

System.out.println(t.getId()+“\t”+t.getUsername());

});

return list;

}

先登录,然后使用 postman 进行测试:

在这里插入图片描述

测试的 Json 数据:

[

{“id”: “1”,“username”: “admin”,“password”: “666”},

{“id”: “2”,“username”: “admins”,“password”: “888”},

{“id”: “3”,“username”: “admins11”,“password”: “11888”},

{“id”: “4”,“username”: “admins22”,“password”: “22888”}

]

在这里插入图片描述

输出结果:

在这里插入图片描述

用户注销

1. 在配置类中添加退出映射地址:http.logout().logoutUrl("/logout").logoutSuccessUrl("/login.html").permitAll();

新建一个登录成功页面success.html:

在这里插入图片描述

在登录页面添加一个退出连接:

success

登录成功
退出

修改登陆成功后的跳转页面:

在这里插入图片描述

测试:退出之后,是无法访问需要登录时才能访问的控制器!

在这里插入图片描述

基于数据库实现自动登录

在这里插入图片描述

创建表,在JdbcTokenReponsitoryImpl中有创建表的语句,可以直接使用:

在这里插入图片描述

CREATE TABLE persistent_logins (

username varchar(64) NOT NULL,

series varchar(64) NOT NULL,

token varchar(64) NOT NULL,

last_used timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE

CURRENT_TIMESTAMP,

PRIMARY KEY (series)

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

创建成功:

在这里插入图片描述

在配置类中添加一下信息:

@Autowired

//注入数据源

private DataSource dataSource;

@Autowired

private PersistentTokenRepository tokenRepository;

@Bean

public PersistentTokenRepository persistentTokenRepository(){

JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();

// 赋值数据源

jdbcTokenRepository.setDataSource(dataSource);

//自动创建表,第一次执行会创建,以后要执行就要删除掉!

//jdbcTokenRepository.setCreateTableOnStartup(true);

return jdbcTokenRepository;

}

开启记住我功能:

// 开启记住我功能 cookie

http.rememberMe()

.tokenRepository(tokenRepository)

.tokenValiditySeconds(600) //设置有效期600秒

.userDetailsService(userDetailsService);

在登陆页面添加记住我复选框:

记住我:

界面效果:

在这里插入图片描述

点击登陆,可以看到cookies中增加了一条remember-me的数据:

在这里插入图片描述

登录成功之后,关闭浏览器再次测试访问 http://localhost:10081/findAll,发现依然可以使用,同时可以看到数据库中存在一条数据:

在这里插入图片描述

跨站请求伪造

跨站请求伪造(英语:Cross-site request forgery,CSRF), 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。

这利用了 web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。

使用CSRF:

需要在pom文件中添加相关依赖:

org.springframework.boot

spring-boot-starter-thymeleaf

写在最后

还有一份JAVA核心知识点整理(PDF):JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…

image

跨站请求伪造(英语:Cross-site request forgery,CSRF), 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。

这利用了 web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。

从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。

使用CSRF:

需要在pom文件中添加相关依赖:

org.springframework.boot

spring-boot-starter-thymeleaf

写在最后

还有一份JAVA核心知识点整理(PDF):JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…

[外链图片转存中…(img-nXCRLdJz-1714464401238)]

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

2401_83977357
关注
  • 25
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot + SpringSecurity + Thymeleaf 入门案例的源代码
09-22
SpringBoot + SpringSecurity + Thymeleaf 入门案例,适合快速整合权限管理框架的同学,可以快速进行修改源代码实现权限控制的效果。代码是入门案例,较为简单。能够使整合更加迅速。其中搭配了前端页面进行效果显示...
编程不良人SpringSecurity资料学习,整合SpringBootSecurity整合资料全网最全
01-28
SpringSecurity最简单的入门视频,没有之一~好资源就要共享
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 7868
SpringSecurity整合基础
springboot项目整合springSecurity框架流程
最新发布
weixin_67909064的博客
04-18 822
addFilter(new TokenVerifyFilter(super.authenticationManager())) // 绑定校验的接口(将步骤四定义的token校验过滤器扔进来).addFilter(new TokenLoginFilter(super.authenticationManager())) // 绑定认证的接口(将步骤三定义的登录过滤器扔进来)auth.userDetailsService(mySecurityService) // 绑定自定义的认证Service。
Springboot整合SpringSecurity
weixin_59015876的博客
12-08 1653
Springboot,SpringSecurity
微服务整合Spring Security实现用户的认证和授权
u014496893的博客
01-31 4965
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
简单的使用SpringBoot整合SpringSecurity
qq_59570311的博客
02-26 7254
spring-security简介 Spring-Security是针对Spring项目的安全框架,也是Spring-Boot底层安全模块默认的技术型,他可以实现强大的Web安全控制,对于安全控制,提供身份验证,授权和针对常见攻击的保护。它具有对保护命令式和反应式应用程序保护的一流支持,是保护基于Spring的应用程序的事实标准。我们仅需要引入spring-boot-start-security模块,进行少量的配置,即可实现强大的安全管理! Spring-Security的两个要目标是“认证”和“授权”
spring-security3 入门篇
03-27
NULL 博文链接:https://gaojiewyh.iteye.com/blog/1152242
spring boot 实践学习案例,与其它组件整合
09-18
spring boot 实践学习案例,与其它组件结合如 mybatis、jpa、dubbo、redis、mongodb、memcached、kafka、rabbitmq、activemq、elasticsearch、security、shiro等 #### Spring Boot 版本 - 2.0.3.RELEASE #### 模块...
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2638
认证过程要是实现AuthenticationManager, AuthenticationManager最重要的实现是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
SpringBoot整合SpringSecurity
燕双嘤
04-25 1467
为了提供安全的机制,Spring提供了其安全框架Spring Security,它是一个能够为基于Spring生态圈,提供安全访问控制解决方案的框架。它提供了一组可以在Spring应用上下文中配置的机制,充分利用了Spring的强大特性,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
二.SpringSecurity基础-简单登录实现
墨家巨子@俏如来
08-27 2328
1.SpringSecurity介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 2.SpringSecurity
详细——SpringBoot整合Spring Security
椿尼的博客
02-26 905
简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。 SpringBoot底层默认的安全框架技术选型就是Spring Security,我们只需要简单的配置即可实现安全管理。 特征 全面和可扩展的身份验证和授权支持 防御会话固定,
SpringBoot整合SpringSecurity详细教程(实战开发讲解)
weixin_50249953的博客
02-07 7701
今天小编使用到了SpringBoot+SpringSecurity进行公司项目开发,之前使用到项目都是采用xml配置来整合SpringSecurity,对于第一次使用SpringBoot整合SpringSecurity也是比较陌生,过程中也是遇到各种各样的问题,在CSDN的知识海洋中遗留的相关的整合教程也是五花八门,找一篇完整的教程简直像是大海捞针,so,小编决定亲自挥笔,整顿这种低质量博文
SpringBoot 整合 SpringSecurity
Lyndon的专栏
10-23 3591
SpringBoot整合Spring Security实现ajax登录
springboot整合springSecurity
qq_43640874的博客
12-13 1236
springSecurity跟shiro都是较为常用的安全管理框架,springSecurity具有更丰富的功能和社区资源,一般中大型项目更倾向于springSecurity,而shiro更倾向于配置简单的小型项目,简单来说就是为了实现认证和授权两个功能。
springboot整合springsecurity教程
05-18
Spring Security是一个基于Spring框架的安全性框架,可以帮助我们完成身份验证、授权、攻击防护等功能。Spring Boot是一种基于Spring框架的快速开发Web项目的工具,可以让我们快速构建和部署应用程序。 下面是将Spring BootSpring Security整合的简单步骤: 1. 添加Spring Security依赖 在Maven或Gradle配置文件中添加Spring Security的依赖。例如,使用Maven,可以在pom.xml文件中添加以下依赖项: ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.2.2.RELEASE</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>5.2.2.RELEASE</version> </dependency> ``` 2. 创建Spring Security配置 创建一个配置,该扩展了WebSecurityConfigurerAdapter。在该中,您可以定义一些安全配置,例如用户身份验证和授权规则。 例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("{noop}password").roles("USER") .and() .withUser("admin").password("{noop}password").roles("USER", "ADMIN"); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/**").permitAll() .and() .formLogin(); } } ``` 上面的代码定义了两个用户,一个是普通用户,另一个是管理员用户。普通用户只能访问所有页面,而管理员用户只能访问以“/admin”开头的页面。 3. 配置Spring Boot应用程序 在Spring Boot应用程序中,您需要配置一些额外的配置。您可以使用@EnableWebSecurity注释来启用Spring Security,并使用@Order注释来指定该配置的顺序。 例如: ```java @SpringBootApplication @EnableWebSecurity @Order(SecurityProperties.BASIC_AUTH_ORDER) public class DemoApplication extends WebSecurityConfigurerAdapter { // ... public static void main(String[] args) { SpringApplication.run(DemoApplication.class, args); } } ``` 在上面的示例中,我们使用了@Order注释,并将其设置为SecurityProperties.BASIC_AUTH_ORDER。这将确保Spring Security的基本身份验证将在其他可用的身份验证机制之前应用。 这就是整合Spring BootSpring Security的基本步骤。您可以根据需要进行更改和扩展,以满足您的应用程序的安全需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值