Spring-Security权限控制以及登录注销的使用以及相关的问题

最新推荐文章于 2023-02-02 14:51:51 发布
最新推荐文章于 2023-02-02 14:51:51 发布
阅读量269 收藏 3
点赞数 1
分类专栏: spring相关 文章标签: spring boot java spring idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AAXXWX/article/details/118828764
版权
本文介绍了Spring Security的初步使用,包括配置安全设置、处理404错误、用户认证与授权,以及集成Thymeleaf实现页面权限控制。在使用Spring Security的logout功能时,发现必须禁用csrf保护才能正常工作。项目结构清晰,配置文件展示了如何设置首页、不同权限页面的访问控制,以及登录、注销和记住我功能。文章还展示了部分前端页面和登录效果。
摘要由CSDN通过智能技术生成

废话不多说,开始总结学习的Spring-Security以及在使用过程中遇到的一些问题,使用过程中用到的有thymeleaf

1.遇到的问题(尚未解决)

就是在使用spring-security里面内置的logout的时候会提示404,只有http.csrf().disable();//关闭csrf功能才能正常使用,不关闭无法使用内置的logout注销。
在这里插入图片描述

下面开始进入正题!Spring-Security初使用~

2.导入依赖

<!--相关依赖-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

3.项目结构

在这里插入图片描述

4.Security相关配置以及使用

  • SecurityConfig.java
@EnableWebSecurity
public class SecurityConfig  extends WebSecurityConfigurerAdapter {
    //链式编程
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问,但是功能页只有对应有权限的人才能访问
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

    //    没有权限默认会到登录页面
        http.formLogin().loginPage("/toLogin");
    //    防止网站攻击
    //     http.csrf().disable();//关闭csrf功能
    //    开启注销功能
        http.logout().logoutSuccessUrl("/");

    //    开启记住我功能
        http.rememberMe().rememberMeParameter("remember");
    }

    //认证,在springboot 2.1.x中可以直接使用
    //密码编码passwordEncoder
    //在spring Security 5.0+ 新增了很多加密方式
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //这些数据正常应该从数据库中获取
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
        //配置用户权限
                .withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip1","vip3")
                .and()
                .withUser("vip1").password(new BCryptPasswordEncoder().encode("vip1")).roles("vip1");
    }
}
  • controller.java
    @RequestMapping({"/","/index"})
    public String index(){
        return "index";
    }
    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }
    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
        return "views/level1/"+id;
    }
    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
        return "views/level2/"+id;
    }
    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
        return "views/level3/"+id;
    }

前端页面就不过多的展示了,只展示部分

index.html(thymeleaf跟security有很好的支持)
在这里插入图片描述

5. 效果展示

  • 1.未登录
    在这里插入图片描述
  • 2.登录admin用户
    在这里插入图片描述
  • 3.登录vip用户
    在这里插入图片描述
Springboot+Spring-Security+JWT 实现用户登录权限认证
congge
06-08 27万+
如今,互联网项目对于安全的要求越来越严格,这就是对后端开发提出了更多的要求,目前比较成熟的几种大家比较熟悉的模式,像RBAC 基于角色权限的验证,shiro框架专门用于处理权限方面的,另一个比较流行的后端框架是Spring-Security,该框架提供了一整套比较成熟,也很完整的机制用于处理各类场景下的可以基于权限,资源路径,以及授权方面的解决方案,部分模块支持定制化,而且在和oauth2.0进...
Spring security下csrf token的认证
热门推荐
On Road ...
02-14 1万+
spring security csrf token 认证
SpringBoot之----SpringSecurity注销权限控制、记住我、以及首页定制
aaa123_456aaa的博客
11-30 2948
1、首先我们来看注销功能: 源码地址,免费:https://download.csdn.net/download/aaa123_456aaa/52716529 我们只需要加入: 然后在页面中编写相对应的请求即可: 在运行界面,点击标签既可以注销: 其他的我们完全可以看他的源码,点击到logout里面去看,模仿着来就行了嘛: 例如我们不想返回登录页,那我们就按照他的来,返回首页: 2、我们再来看权限控制: 首先导入包: <dependency>
详解springboot springsecurity中的注销权限控制问题
weixin_53630942的博客
04-14 1416
这篇文章主要介绍了springboot-springsecuroty注销权限控制,账户注销需要在SecurityConfig中加入开启注销功能的代码,权限控制要导入springsecurity和thymeleaf的整合依赖,本文通过实例代码给大家介绍的非常详细,需要的朋友参考下吧 目录 1 账户注销 1.1 在SecurityConfig中加入开启注销功能的代码 1.2 在index.html 添加注销的按钮 1.3 启动项目测试 2 权限控制 2.1 导入springsecuri...
06 SpringSecurity-注销登录功能
01-20 1419
退出登录登录很类似,我们也是修改配置,指定退出登录请求的URL,用户通过访问该路由可以安全地注销登录状态,包括使 HttpSession失效、清空已配置的Remember-me验证,以及清空SecurityContextHolder,并在注销成功之 后重定向到/login?logout页面。 如有必要,还可以重新配置。 一、修改配置类 logoutUrl:退出登录功能前端请求的URL。(SpringSecurity实现服务端逻辑) logoutSuccessUrl: 退出登录后要跳转的URL(
Spring Security CSRF
诗人不写诗
09-15 520
Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。 CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。 需要站点受到CSRF的保护,同时可以对外提供的REST服务,就需要开出一个隧道来。 1)如果这个http请求是通过get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没...
Java基础学习总结(10)—— Cookie/Session机制详解
helongzhong的博客
11-23 535
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。 1.1  Cookie机制 在程序中,会话
SpringBoot--- SpringSecurity进行注销权限控制的配置方法
08-24
在本文中,我们将详细介绍如何使用 SpringBootSpringSecurity 实现注销权限控制的配置方法。 一、注销配置 在 SpringSecurity 中,默认的注销 URL 是 /logout,用户可以通过 POST 方法访问该 URL 来实现注销。...
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录权限角色控制。首先,确保你正在使用Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
使用Spring Security和Redis实现用户登录以及权限控制,介绍下细节
weixin_35752122的博客
01-09 431
好的,这是使用 Spring Security 和 Redis 实现用户登录以及权限控制的一个简单示例。 在你的项目中引入 Spring Security 和 Redis 的依赖。 配置 Redis 的连接工厂和 Redis 的模板。 在 Spring Security 中配置 Redis 的相关 bean,用于缓存权限信息。 实现自定义的 UserDetailsService 来加载用户...
ggj-spring-security
07-29
"三根"可能是开发者为了方便记忆或理解而设定的一个代号,这个项目可能涵盖了Spring Security的基础设置、登录注销功能、角色权限管理、拦截器配置等关键点。 4. **核心概念** - **认证**:确认用户的身份,通常...
SpringSecurity 定制登录注销登录
你今天真好看呀
08-21 928
mylogin.html 和前面的 login.html 基本类似,前面的login.html是静态页面,这里是模板页面,mylogin.html 页面中加了一个div,用来展示登录失败的异常信息,登录失败的异常信息会放在request中返回给前端。输入用户名和密码进行登录登录成功后,会自动跳转到登录访问的 http://localhost:8080/index 页面,经过上面的配置,已经成功的自定义了一个登录页面出来,用户在登录成功之后,就可以访问受保护的资源了。
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1994
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
SpringSecurity配置及使用
最新发布
qq_52183856的博客
02-02 628
SpringSecurity配置及使用
Spring Security中防护CSRF功能
花&败
07-18 2678
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想:
springsecurity依赖删除后,依然起作用
weixin_42180169的博客
08-28 715
pom文件取消依赖,记得reload,要不不生效
SpringBootSecurity(四)网页版登录其它授权和登录处理
Alex
05-18 504
其它授权配置 security的配置类中,对所有路径进行了统一授权配置。但是有的内容我们也需要让未登录游客有权限访问,比如js,css等静态文件,还有一些宣传页面等等。这些路径可以单独配置: 我们来试验一些,springboot项目的试图页面一般放在resource文件夹下面的templates文件夹下。而静态文件一般放在resource文件夹下面的static文件夹下。我们来建立一个test.css文件, 随便写点内容,启动项目看看效果: 可以看到在未登录的情况下是可以访问的。也可以弄
SpringSecurity:登录
拒绝熬夜啊的博客
11-30 1915
文章目录SpringSecurity:登录一、登录处理器1.1 自定义AuthenticationSuccessHandler1.2 自定义AuthenticationFailureHandler1.3 DelegatingAuthenticationFailureHandler二、设置登录成功页和失败页2.1 默认情况下2.2 指定URL处理2.3 自定义认证成功、失败处理CustomAuthenticationSuccessHandler:CustomAuthenticationFailureHandl
Spring BootSpring Security登录认证及权限问题
Alanx的博客
06-28 1371
Spring BootSpring Security、登录验证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值