springboot之集成Security(入门)

最新推荐文章于 2024-07-01 17:56:13 发布
最新推荐文章于 2024-07-01 17:56:13 发布
阅读量293 收藏
点赞数
分类专栏: 记录 学习 文章标签: 安全 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bernie_7/article/details/107563442
版权

springboot之集成Security,实现认证授权,权限控制

  • 搭建框架
    使用security之前,需要先搭建一个web框架。
    比如我的是这样的

    然后写一个路由转接器。
@Controller
public class RouterController {

    @RequestMapping({"/","/index"})
    public String index() {
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin() {
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id) {
        return "views/level1/" + id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id) {
        return "views/level2/" + id;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id) {
        return "views/level3/" + id;
    }

}

然后就可以开始重点的部分了。

  • 导包,需要一个security的包,和一个thymeleaf整合包,后面权限控制用
<!--thymeleaf整合包-->
<dependency>
	<groupId>org.thymeleaf.extras</groupId>
	<artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>
<!--boot-starter-security-->
     <dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>
  • 用户认证和授权
    我们需要有有一个配置类,继承WebSecurityConfigurerAdapter,然后重写里面的方法。我的习惯,Talking is cheap~~ 还是先上代码吧
//认证
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()//任何人都可以访问
                .antMatchers("/index").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")//需要vip?权限,下同
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

          http.formLogin();//开启登录页面
    }
    
}

 认证步骤:
1. 继承 WebSecurityConfigurerAdapter 类
2. 重写 configure(HttpSecurity http) 方法,
3. 方法里面写你需要的配置
4. 开启注释 @EnableWebSecurity,托管给springboot。

一旦给页面写了权限认证,在新版的security框架中,进入需要权限的页面,会自动判断跳转一个登录页面,自带的。然后要求你登录。

 //授权
 @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("fang").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1", "vip2", "vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1", "vip2")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1");

    }

授权步骤:
1. 重写 configure(AuthenticationManagerBuilder auth) 方法
2. 方法里面写你需要的配置

说明一下
方法中的auth.inMemoryAuthentication()表示在内存中认证,.passwordEncoder(new BCryptPasswordEncoder())是密码加密。roles()授权

如果需要用数据库认证,看下面官网的例子

@Autowired
private DataSource dataSource;

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
	auth
		.jdbcAuthentication()
			.dataSource(dataSource)
			.withDefaultSchema()
			.withUser("user").password("password").roles("USER")
			.and()
			.withUser("admin").password("password").roles("USER", "ADMIN");
}

这样一来,用户的授权和认证都可以啦。运行测试一下。

或者用我们自己写的方法

    @Autowired
    private UserDetailsService userDetailsService;//自己写的

    // 授权
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }
    
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

import com.fang.blogsystem.mapper.UserMapper;
import com.fang.blogsystem.pojo.DO.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

/**
 * @author Bernie_xin
 * @create 2020/12/4 16:16
 **/
@Service("userDetailsService")//注意一定要加
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UserMapper loginUserMapper;

    //在这里返回用户名和密码以及权限
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //根据用户名做查询
        User user = loginUserMapper.findUser(s);
        if (user == null){
            throw new UsernameNotFoundException("用户名不存在");
        }

        List<GrantedAuthority> auth = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin");//这里本来也应该是数据库连表查询的
        return new org.springframework.security.core.userdetails.User(user.getUsername(),//这里返回的user一定要是springframework.security的,由于我上面自己的user重名了,只能这么写。建议自己的用户类不需要写user,用sys_user之类的
                new BCryptPasswordEncoder().encode(user.getPassword()),
                auth);
    }

}

没问题则继续

  • 登录页面,退出登录以及首页配置

我们上面用的是security自带的首页页面,但是我想用我自己的页面。怎么设置呢?
很简单,在 http.formLogin() 后面继续 .loginPage("/toLogin")。toLogin是我们前面写的去登录页面的请求。

我们在登录之后,首页就不应该再有什么登录的按钮啦,应该是注销按钮。

			<!--登录注销-->
            <div class="right menu">
                <!--未登录-->
                <div sec:authorize="!isAuthenticated()">
                    <a  th:href="@{/toLogin}">
                        登录
                    </a>
                </div>
                <!--注销-->
                <div sec:authorize="isAuthenticated()">
                    <a th:href="@{/toLogin}">
                         注销
                    </a>
                </div>

通过sec:authorize="!isAuthenticated()判断是否登录。使用这个之前,需要导入命名空间。不导入也可以使用,但是会飘红报错。
导入方法:
页面顶部的html标签里面加上

<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">

然后要开启注销。一行代码搞定

http.logout().logoutSuccessUrl("/");//logoutSuccessUrl("退出成功后跳转的页面")

最后就是把那些没有访问权限的页面隐藏。
也不难。就是在链接外面写一个div,里面sec:authorize="hasRole('权限')",看下面的例子

<div sec:authorize="hasRole('vip1')">
	<a th:href="@{/level1/1}">Level-1-1</a>
</div>

然后测试,发现没有vip1,我都看不到Level-1-1。完成!

security学习的简单记录。如果这个篇博客对你有帮助。麻烦点个赞!

凉白开º
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
狂神说SpringBoot18:集成SpringSecurity
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
Spring boot项目集成security
AnNanDu的博客
06-30 1100
在进行框架选型时最常用的选择就是在Spring security 和Shiro中进行抉择,Spring security 和 shiro 一样,都具有认证、授权、加密等用于权限管理的功能。但是对于Springboot而言,Spring Security比Shiro更合适一些,他们都是Spring生态里的内容,并且在使用上Spring boot只需要引入Security就可以实现基础的登陆验证。spring boot的依赖版本:2.7.1 添加Security的依赖版本为:2.6.7 这样就简单集成了secu
从零开始学Spring Boot系列-集成Spring Security实现用户认证与授权
最新发布
kfashfasf的博客
07-01 986
在Web应用程序中,安全性是一个至关重要的方面。Spring SecuritySpring框架的一个子项目,用于提供安全访问控制的功能。通过集成Spring Security,我们可以轻松实现用户认证、授权、加密、会话管理等安全功能。本篇文章将指导大家从零开始,在Spring Boot项目中集成Spring Security,并通过MyBatis-Plus从数据库中获取用户信息,实现用户认证与授权。
SpringBoot集成Security
Chen_1999的博客
11-02 416
1.授权流程分析 授权一定是在认证通过之后,授权流程是通过FilterSecurityInterceptor拦截器来完成,FilterSecurityInterceptor通过调用SecurityMetadataSource来获取当前访问的资源所需要的权限,然后通过调用AccessDecisionManager投票决定当前用户是否有权限访问当前资源。授权流程如下 用户第一次访问是需要加载用户权限以及用户信息的,再访问成功后,在UserService中会返回当前登录成功的对象到SecurityContext
spring boot集成security
a18792721831的博客
03-20 315
1.security介绍 2.security如何使用 3.security方法保护 4.security与jpa访问oracle
SecuritySpringBoot集成Security
m0_71171865的博客
03-26 253
Spring Security一个安全框架,底层是通过一系列的过滤器链(filter)实现的。使用时通过一些配置即可实现用户的身份认证及资源的安全访问。框架提供了一系列的接口可以实现自定义的安全控制和访问拦截。
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库】
02-16
通过以上步骤,我们可以构建一个基本的SpringBoot + Spring Security入门程序,实现用户登录和自动登录功能。这个程序结合了数据库集成安全配置以及IDEA的使用,为开发者提供了一个完整的实践案例。在实际开发中,...
SpringBoot开发之Spring Boot入门
10-15
在测试方面,Spring Boot支持单元测试和集成测试,`@SpringBootTest`注解可以帮助快速启动一个完整的应用上下文,进行端到端的测试。 总之,Spring Boot以其简洁的配置、开箱即用的功能,大大降低了Spring框架的...
springboot入门实例
08-03
7. **Spring Data JPA**:对于数据库操作,SpringBoot集成Spring Data JPA,它可以简化ORM(对象关系映射)操作,支持多种数据库,如MySQL、PostgreSQL等。 8. **RESTful API**:SpringBoot非常适用于构建RESTful...
SpringBoot入门基础.ppt
11-17
SpringBoot入门基础 一、SpringBoot的简介 SpringBoot是由Pivotal团队开发的一个全新框架,旨在简化Spring应用的初始搭建以及开发过程。它不是为了替代Spring IO平台中的任何现有项目,而是为了提供一种更简便的...
入门到精通:SpringBoot2和SpringSecurity5视频教程
06-11
入门到精通:SpringBoot2和SpringSecurity5视频教程》是一个全面涵盖这两个核心Java技术的教育资源,旨在帮助初学者和有一定经验的开发者深入理解和掌握SpringBoot 2和Spring Security 5的使用。SpringBoot是...
springboot集成security
09-03
springboot集成spring Security ,MyAuthenticationFailHandler.java 自定义登录失败处理器,如果登录认证失败,会跳到这个类上来处理。 MyAuthenticationSuccessHandler 自定义登录成功处理器,如果登录认证成功,会运行这个类。
SpringBoot Security 入门
weixin_42555971的博客
10-20 548
init
SpringBootSpringSecurity 快速入门
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-17 462
文章目录一、简介二、使用SpringSecurity1、导入依赖2、基础环境搭建3、编写SecurityConfig配置类①、重写configure(HttpSecurity http)方法②、重写configure(AuthenticationManagerBuilder auth)方法 一、简介 Spring Security一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。 Spring Security一个专注于为 Java 应用程序
springboot 集成security
zhl_BeginLife的博客
08-17 207
版本 : 最好对应一下,如果自己版本不一致的话,可以去下面的地址找。因为版本不一样导致的坑实在是太多。 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.2</version> ...
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1462
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量级可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全
简单入门SpringBootSpringSecurity
L_xs_123的博客
09-08 539
SpringSecurity 安全应该在最开始的地方就考虑 功能权限 , 访问权限 , 菜单权限 这些都是需要有一定的规则去配置安全规则的 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity:开启WebSecurity模式 Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。 “认证”(Authenticati
SpringBoot整合springsecurity
Guizy
05-03 730
一、pom文件 <dependencies> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </d...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值