02-Spring Security 安全框架应用(学一个)(1)

于 2024-06-24 13:45:51 发布
阅读量1k 收藏 27
点赞数 15
文章标签: spring 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84254343/article/details/139923733
版权

创建配置文件

在resources目录下创建application.yml文件,并指定服务端口

server:

port: 8080

创建项目启动类

package com.cy.jt;

import org.springframework.boot.SpringApplication;

import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication

public class SpringSecurityApplication {

public static void main(String[] args) {

SpringApplication.run(

SpringSecurityApplication.class,

args);

}

}

运行启动类访问测试

第一步:检查控制输出,是否自动生成了一个密码,例如:

Using generated security password: 360123aa-df93-4cd9-bab4-5212af421d2c

第二步:打开浏览器输入http://localhost:8080,然后呈现登录页面,例如:

在这里插入图片描述

在登录窗口中输入用户名user(系统默认),密码(服务启动时,控制台默认输出的

密码),然后点击Sign in进行登录,登录成功默认会出现,如下界面:

在这里插入图片描述

定义登录成功页面

在项目的resources目录下创建static目录,并在此目录创建一个index.html文件,例如:

Title

Login Ok

启动服务,再次进行登录访问测试,登录成功以后系统默认会跳转到index.html页面,例如

在这里插入图片描述

配置登录密码

第一步:编写一个方法(可以在启动类中调用执行),对一个名文进行加密,例如:

static void encodePwd(){

BCryptPasswordEncoder encoder=new BCryptPasswordEncoder();

String password=“123456”;//明文

String newPwd=encoder.encode(“123456”);

System.out.println(newPwd);//$2a 10 10 10fahHJIe3SJm3KcyiPPQ2d.a2qR029gB3qKHrKanQ87u.KbtZ6Phr.

}

第二步:将用户和密码在在springboot工程的application.yml文件中进行配置,例如:

spring:

security:

user:

name: jack

#password: 123456 #这种写法,密码太简单了

password: ‘{bcrypt}$2a 10 10 10fahHJIe3SJm3KcyiPPQ2d.a2qR029gB3qKHrKanQ87u.KbtZ6Phr.’

其中,{bcrypt}指定了密码加密时使用的算法

第三步:启动服务,重新进行登录测试.

SpringSecurity 认证逻辑实现

===============================================================================

自定义登陆逻辑

SpringSecurity支持通过配置文件的方式定义用户信息(账号密码和角色等),但这种方式有明显的缺点,那就是系统上线后,用户信息的变更比较麻烦。因此SpringSecurity还支持通过实现UserDetailsService接口的方式来提供用户认证授权信息,其应用过程如下:

第一步:定义security配置类,例如:

/**

  • 由@Configuration注解描述的类为spring中的配置类,配置类会在spring

  • 工程启动时优先加载,在配置类中通常会对第三方资源进行初始配置.

*/

@Configuration

public class SecurityConfig {

/**

  • 定义SpringSecurity密码加密对象

  • @Bean 注解通常会在@Configuration注解描述的类中描述方法,

  • 用于告诉spring框架这个方法的返回值会交给spring管理,并spring

  • 管理的这个对象起个默认的名字,这个名字与方法名相同,当然也可以通过

  • @Bean注解起名字

*/

@Bean //对象名默认为方法名

//@Bean(“bcryptPasswordEncoder”)//bean对象名字为bcryptPasswordEncoder

public BCryptPasswordEncoder passwordEncoder(){

return new BCryptPasswordEncoder();

}

}

第二步:定义UserDetailService接口实现类,自定义登陆逻辑,代码如下:

UserDetailService为SpringSecurity官方提供的登录逻辑处理对象,我们自己可以实现此接口,然后在对应的方法中进行登录逻辑的编写即可.

package com.cy.jt.security.service;

@Service

public class UserDetailServiceImpl implements UserDetailsService {

@Autowired

private BCryptPasswordEncoder passwordEncoder;

/**

  • 当我们执行登录操作时,底层会通过过滤器等对象,调用这个方法.

  • @param username 这个参数为页面输出的用户名

  • @return 一般是从数据库基于用户名查询到的用户信息

  • @throws UsernameNotFoundException

*/

@Override

public UserDetails loadUserByUsername(String username)

throws UsernameNotFoundException {

//1.基于用户名从数据库查询用户信息

//User user=userMapper.selectUserByUsername(username);

if(!“jack”.equals(username))//假设这是从数据库查询的信息

throw new UsernameNotFoundException(“user not exists”);

//2.将用户信息封装到UserDetails对象中并返回

//假设这个密码是从数据库查询出来的

String encodedPwd=passwordEncoder.encode(“123456”);

//假设这个权限信息也是从数据库查询到的

//假如分配权限的方式是角色,编写字符串时用"ROLE_"做前缀

List grantedAuthorities =

AuthorityUtils.commaSeparatedStringToAuthorityList(

“ROLE_admin,ROLE_normal,sys:res:retrieve,sys:res:create”);

//这个user是SpringSecurity提供的UserDetails接口的实现,用于封装用户信息

//后续我们也可以基于需要自己构建UserDetails接口的实现

User user=new User(username,encodedPwd,grantedAuthorities);

return user;

}

}

说明,这里的User对象会交给SpringSecurity框架,框架提取出密码信息,然后与用户输入的密码进行匹配校验.

第三步:启动服务进行登陆,访问测试。

在这里插入图片描述

在这里插入图片描述

自定义登陆页面

第一步:定义登陆页面(直接在static目录下创建即可),关键代码如下:

Please sign in

Sign in

注意:请求的url暂时为”/login”,请求方式必须为post方式,请求的参数暂时必须为username,password。这些规则默认在UsernamePasswordAuthenticationFilter中进行了定义。

第二步:修改安全配置类,让其实现接口,并重写相关config方法,进行登陆设计,代码如下:

@Configuration

public class SecutiryConfig extends WebSecurityConfigurerAdapter {

@Bean

public PasswordEncoder passwordEncoder(){

return new BCryptPasswordEncoder();

}

@Override

protected void configure(HttpSecurity http) throws Exception {

//super.configure(http);

//关闭跨域攻击,不关闭容易出错

http.csrf().disable();

//自定义登陆表单

http.formLogin()

//设置登陆页面

.loginPage(“/login.html”)

//设置登陆请求处理地址(对应form表单中的action),登陆时会访问UserDetailService对象

.loginProcessingUrl(“/login”)

//设置请求用户名参数为username(默认就是username,可以自己修改,需要与表单同步)

.usernameParameter(“username”)

//请求请求密码参数为password(默认就是password,可以自己修改,需要与表单同步)

.passwordParameter(“password”)

//设置登陆成功跳转页面(默认为/index.html)

.defaultSuccessUrl(“/index.html”)

//登陆失败访问的页面(默认为/login.html?error)

.failureUrl(“/login.html?error”);

//认证设计

http.authorizeRequests()

//设置要放行的咨询

.antMatchers(“/login.html”).permitAll()

//设置需要认证的请求(除了上面的要放行,其它都要进行认证)

.anyRequest().authenticated();

}

}

登陆成功和失败处理器

现在的很多系统都采用的是前后端分离设计,我们登陆成功以后可能会跳转到前端系统的某个地址,或者返回一个json数据,我们可以自己定义登录成功的处理操作,例如:

定义登陆成功处理器:

方案1:可以直接执行重定向的处理器,例如

package com.cy.jt.auth.config.authentication;

public class RedirectAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

//定义要跳转的url

private String redirectUrl;

public RedirectAuthenticationSuccessHandler(String redirectUrl){

this.redirectUrl=redirectUrl;

}

@Override

public void onAuthenticationSuccess(HttpServletRequest httpServletRequest,HttpServletResponse httpServletResponse,

Authentication authentication)

throws IOException, ServletException {

httpServletResponse.sendRedirect(redirectUrl);

}

}

方案2:可以直接返回JSON数据的处理器,例如:

package com.cy.jt.security.config.handler;

/**处理登录失败

  • 0)Default-默认

  • 1)Authentication-认证

  • 2)Failure-失败

  • 3)Handler-处理器

  • */

public class DefaultAuthenticationFailureHandler implements AuthenticationFailureHandler {

@Override

public void onAuthenticationFailure(

HttpServletRequest httpServletRequest,

HttpServletResponse httpServletResponse,

AuthenticationException e) throws IOException, ServletException {

//1.设置响应数据的编码

httpServletResponse.setCharacterEncoding(“utf-8”);

//2.告诉客户端响应数据的类型,以及客户端以怎样的编码进行显示

httpServletResponse.setContentType(“application/json;charset=utf-8”);

//3.获取一个输出流对象

PrintWriter out=httpServletResponse.getWriter();

//4.向客户端输出一个json格式字符串

//4.1构建一个map对象

Map<String,Object> map=new HashMap<>();

map.put(“state”,“500”);

map.put(“msg”,“username or password error”);

//4.2基于jackson中的ObjectMapper对象将一个对象转换为json格式字符串

String jsonStr= new ObjectMapper().writeValueAsString(map);

out.println(jsonStr);

out.flush();

}

}

定义登陆失败处理器:

方案1:登陆失败重定向到页面,例如

package com.cy.jt.auth.config.authentication;

public class RedirectAuthenticationFailureSuccessHandler implements AuthenticationFailureHandler {

private String redirectUrl;

public RedirectAuthenticationFailureSuccessHandler(String redirectUrl){

this.redirectUrl=redirectUrl;

}

@Override

public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {

httpServletResponse.sendRedirect(redirectUrl);

}

}

方案2:定义登陆失败处理器,例如:

package com.cy.jt.security.config.handler;

/**处理登录失败

  • 0)Default-默认

  • 1)Authentication-认证

  • 2)Failure-失败

  • 3)Handler-处理器

  • */

public class DefaultAuthenticationFailureHandler

implements AuthenticationFailureHandler {

@Override

public void onAuthenticationFailure(

HttpServletRequest httpServletRequest,

HttpServletResponse httpServletResponse,

AuthenticationException e) throws IOException, ServletException {

//1.设置响应数据的编码

httpServletResponse.setCharacterEncoding(“utf-8”);

//2.告诉客户端响应数据的类型,以及客户端以怎样的编码进行显示

httpServletResponse.setContentType(“application/json;charset=utf-8”);

//3.获取一个输出流对象

PrintWriter out=httpServletResponse.getWriter();

//4.向客户端输出一个json格式字符串

//4.1构建一个map对象

Map<String,Object> map=new HashMap<>();

map.put(“state”,“500”);

map.put(“msg”,“username or password error”);

//4.2基于jackson中的ObjectMapper对象将一个对象转换为json格式字符串

String jsonStr= new ObjectMapper().writeValueAsString(map);

out.println(jsonStr);

out.flush();

}

}

修改配置类,设置登陆成功与失败处理器。

@Configuration

public class SecutiryConfig extends WebSecurityConfigurerAdapter {

@Bean

public PasswordEncoder passwordEncoder(){

return new BCryptPasswordEncoder();

}

@Override

protected void configure(HttpSecurity http) throws Exception {

//super.configure(http);

//关闭跨域攻击,不关闭容易出错

http.csrf().disable();

//自定义登陆表单

http.formLogin()

//设置登陆页面

.loginPage(“/login.html”)

//设置登陆请求处理地址(对应form表单中的action),登陆时会访问UserDetailService对象

.loginProcessingUrl(“/login”)

//设置请求用户名参数为username(默认就是username,可以自己修改,需要与表单同步)

.usernameParameter(“username”)

//请求请求密码参数为password(默认就是password,可以自己修改,需要与表单同步)

.passwordParameter(“password”)

//设置登陆成功跳转页面(默认为/index.html)

.successHandler(new RedirectAuthenticationSuccessHandler(“你的url”))

//登陆失败访问的页面(默认为/login.html?error)

.failureHandler(new RedirectAuthenticationFailureHandler(“你的url”))

//认证设计

http.authorizeRequests()

//设置要放行的咨询

.antMatchers(“/login.html”).permitAll()

//设置需要认证的请求(除了上面的要放行,其它都要进行认证)

.anyRequest().authenticated();

}

}

第四步:启动服务进行访问测试(分别用正确和错误的账号进行测试)。

放行静态资源

在SecurityManager配置类中的configure(HttpSecurity http)方法中我们可以通过对anMatchers方法定义要放行静态资源,例如:

.authorizeRequests() //设置请求的授权

.antMatchers( //配置下列路径的授权

“/index.html”,

“/js/*”,

“/css/*”,

“/img/**”,

“/bower_components/**”,

“/login.html”

).permitAll() //设置上述所有路径不需要登录就能访问(放行)

其中:

  • “*”用于匹配0个或多个字符

  • “**”用于匹配0个或多个目录及字符

登出设计及实现

在SecurityManager配置类中的configure(HttpSecurity http)方法中,添加登出配置,例如

http.logout() //开始设置登出信息

.logoutUrl(“/logout”) //登出路径

.logoutSuccessUrl(“/login.html?logout”);//设置登出后显示的页面

SpringSecurity授权逻辑实现

==============================================================================

修改授权配置类

在权限配置类上添加启用全局方法访问控制注解,例如:

package com.cy.auth.config;

//这个配置类是配置Spring-Security的,

//prePostEnabled= true表示启动权限管理功能

@EnableGlobalMethodSecurity(prePostEnabled = true)

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

2401_84254343
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值