SpringSecurity简单实用

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量211 收藏
点赞数
分类专栏: Spring-Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Burgess_Lee/article/details/95944231
版权

很早之前就学习了解过Spring-Security框架,但是因为做项目使用的是Apache-Shiro框架,所以时间久了也就忘了。这里针对此次学习和总结到的框架的基本知识点进行重点总结,方便以后开发,也希望给你遇到的问题提供一定的帮助。

应用场景

企业级角色权限控制
授权认证Oauth2.0协议
安全防护(防止跨站点请求)
Session攻击
容易整合SpringMVC使用等

首先感谢教给我干活的老师以及网上的朋友们,没有你们,我也不可能好多东西整合那么顺利,谢谢你们的干货。话不多少, 直接上代码。

环境是jdk1.8+springboot2.x进行整合的。

SecuriyConfig

这里是Spring-Security的配置类

package com.burgess.net.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.stereotype.Component;

import com.burgess.net.handler.MyAuthenticationFailureHandler;
import com.burgess.net.handler.MyAuthenticationSuccessHandler;

/**
 * 配置类
 * @ClassName:   SecuriyCOnfig  
 * @Description: TODO
 * @author       BurgessLee
 * @date         2019年7月15日  
 *
 */
@SuppressWarnings("deprecation")
@Component
@EnableWebSecurity//必须有
public class SecuriyConfig extends WebSecurityConfigurerAdapter {
	
	//登录认证失败处理的类
	@Autowired
	private MyAuthenticationFailureHandler failureHandler;
	//登录认证成功处理使用的类
	@Autowired
	private MyAuthenticationSuccessHandler successHandler;
	
	//配置认证用户信息权限
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		//对某一个请求针对某一个用户指定权限
		//添加admin用户
		auth.inMemoryAuthentication().withUser("admin").password("123456")
			.authorities("addOrder","showOrder","updateOrder","deleteOrder");
		//添加另外一个用户
		auth.inMemoryAuthentication().withUser("userAdd").password("123456")
			.authorities("showOrder", "addOrder");
		//如果想实现动态账号与数据库进行关联,那么查询数据库就可以了
	}
	
	/**
	 * 实现原理:
	 * 	如何控制权限
	 * 	给每一个请求路径,分配一个权限名称,然后账号只要关联该名称,就可以有访问权限
	 * <p>Title: configure</p>  
	 * <p>Description: </p>  
	 * @param http
	 * @throws Exception  
	 * @see org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter#configure(org.springframework.security.config.annotation.web.builders.HttpSecurity)
	 */
	//配置拦截请求资源
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		//配置使用httpBasic模式拦截所有请求
//		http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();
		//配置使用formLogin模式拦截所有请求
//		http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().formLogin();
		
		//权限控制
		http.authorizeRequests()
			.antMatchers("/showOrder").hasAuthority("showOrder")
			.antMatchers("/addOrder").hasAuthority("addOrder")
			.antMatchers("/updateOrder").hasAuthority("updateOrder")
			.antMatchers("/deleteOrder").hasAuthority("deleteOrder")
			//登录所有请求都可以
			.antMatchers("/login").permitAll()
			.antMatchers("/**").fullyAuthenticated().and().formLogin()
			//自定义更改登录页面
			.loginPage("/login")
			//处理成功或者失败的自定义的handler
			.successHandler(successHandler).failureHandler(failureHandler)
			//禁用csrf攻击,要不然需要token才可以
			.and().csrf().disable();
	}
	
	//!!!!httpBasic模式下需要有下面bean的注入,否则启动项目登录会报错
	@Bean
	public static NoOpPasswordEncoder passwordEncoder() {
		return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
	}
}

MyAuthenticationFailureHandler 

这里是认证失败的时候,会调用方法,具体是通过spring容器注入到对应的拦截方法中的。 

package com.burgess.net.handler;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.stereotype.Component;

/**
 * 用户登录成功还是失败判断,这个是认证失败的时候的处理类
 * @ClassName:   MyAuthenticationFailureHandler  
 * @Description: TODO
 * @author       BurgessLee
 * @date         2019年7月15日  
 *
 */
//认证失败
@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

	public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse res, AuthenticationException auth)
			throws IOException, ServletException {
		System.out.println("登陆失败!");
		res.sendRedirect("http://mayikt.com");

	}

}

MyAuthenticationSuccessHandler

这里是认证成功,然后调用处理的类,这里也是通过Spring容器注入到对应的拦截方法中的。

package com.burgess.net.handler;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

/**
 * 用户登录成功还是失败判断,这个是认证成功的时候的处理类
 * @ClassName:   MyAuthenticationSuccessHandler  
 * @Description: 认证成功
 * @author       BurgessLee
 * @date         2019年7月15日  
 *
 */
// 认证成功
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

	public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse res, Authentication arg2)
			throws IOException, ServletException {
		System.out.println("用户认证成功");
		res.sendRedirect("/");
	}

}

错误处理页面

比如当出现用户权限不足的时候,那么怎么自定义界面的呢?请看下面代码。

WebServerAutoConfiguration 

这个一个配置类,用来重写一些/error页面出现错误的时候具体怎么处理请求,跳转到那个RequestMapping。

package com.burgess.net.config;

import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.server.ErrorPage;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;

/**
 * 自定义 WEB 服务器参数 可以配置默认错误页面
 * @ClassName:   WebServerAutoConfiguration  
 * @Description: TODO
 * @author       BurgessLee
 * @date         2019年7月15日  
 *
 */
@Configuration
public class WebServerAutoConfiguration {
	@Bean
	public ConfigurableServletWebServerFactory webServerFactory() {
		TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
		ErrorPage errorPage400 = new ErrorPage(HttpStatus.BAD_REQUEST, "/error/400");
		ErrorPage errorPage401 = new ErrorPage(HttpStatus.UNAUTHORIZED, "/error/401");
		ErrorPage errorPage403 = new ErrorPage(HttpStatus.FORBIDDEN, "/error/403");
		ErrorPage errorPage404 = new ErrorPage(HttpStatus.NOT_FOUND, "/error/404");
		ErrorPage errorPage415 = new ErrorPage(HttpStatus.UNSUPPORTED_MEDIA_TYPE, "/error/415");
		ErrorPage errorPage500 = new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error/500");
		factory.addErrorPages(errorPage400, errorPage401, errorPage403, errorPage404, errorPage415, errorPage500);
		return factory;
	}
}

ErrorController

这里是自定义一个Error处理的Controller,里面主要写了一个错误请求的处理,也就是当http状态码为403的时候对应的RequestMapping的处理方法。 

package com.burgess.net.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * 跳转错误403页面
 * @ClassName:   ErrorController  
 * @Description: TODO
 * @author       BurgessLee
 * @date         2019年7月15日  
 *
 */
@Controller
public class ErrorController {

	// 403权限不足页面
	@RequestMapping("/error/403")
	public String error() {
		return "/error/403";
	}

}

以上就是针对此次Spring-Security基本使用的一些知识点的整理和总结。

最后再次感谢给予我良好引导网友们以及讲师。对于上面整理的内容,如果有什么问题,欢迎留言。

 

Burgess_Lee
关注
专栏目录
SpringBoot系列教程:集成MyBatis,SpringSecurity
程序员光剑
07-30 1106
Spring Boot是一种新的开源Java开发框架,它极大地简化了基于Java的应用配置,自动装配,消息处理等流程,并提供了运行时的健康检查、外部化配置等功能,因此在实际项目开发中扮演着越来越重要的角色。本系列教程将详细介绍如何利用Spring Boot框架,整合Mybatis和Spring Security,实现对数据库的增删改查及安全管理。Spring Boot介绍MyBatis介绍Spring Security介绍如何整合Mybatis和Spring Security
Spring Security实战实用
admin1973的专栏
12-28 1950
Spring Security安全框架实战单点登陆
关于springSecurity简易入门使用
u010689849的博客
10-11 412
简介 springSecurity是一个安全框架,基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安...
Spring Security 详解
最新发布
As_Yua的博客
07-31 2977
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
Springboot框架的Spring Security简单实用说明
weixin_43704720的博客
03-26 138
由于Springboot使用自动化配置,所以减少了繁琐的XML配置,使用起来更加方便和简单,所以这次简单探索下Springboot中,Spring Security的使用方法。 1. 创建Springboot项目,引入依赖,,选择web和Security依赖 <dependency> <groupId>org.springframework.boot</gr...
spring Security简单使用
ALearrring的博客
06-21 258
简单使用下springsecurity 使用包括以下三个部分: 1.springSecurity本身的配置文件(当然这里可以改为配置类,目前我使用的是配置文件;配置需要拦截的url以及用户需要哪些权限才能访问,配置认证管理器,注入自定义认证类等) 2.自定义认证类(实现用户的认证和授权,编码者自己书写业务流程) 3.密码加密类(用户密码加密使用的类,在登录和注册的时候都需要使用) 下面...
Springsecurity简单使用
weixin_54355264的博客
10-16 420
目录Spring Security介绍Spring Security 简单应用1 创建Security配置类1.1 重写configure(AuthenticationManagerBuilder auth)方法1.2 重写加密PasswordEncoder passwordEncoder()1.3 生成token1.4重写configure(HttpSecurity http)1.4.1路径权限访问设置2 创建MyUserDetailsService类重写loadUserByUsername(Strin
Spring Security 强制退出指定用户的方法
08-27
Spring Security 是一个功能强大且广泛使用的身份验证和授权框架,它提供了许多实用的功能来保护我们的应用程序。但是,在某些情况下,我们需要强制退出指定的用户,例如,某个用户违反了社区规则,或者某个用户的...
SpringSecurity 自定义表单登录的实现
08-25
SpringSecurity 自定义表单登录的实现 SpringSecurity 是一个功能强大且灵活的安全框架,用于保护基于 Spring 的应用程序。其中,自定义表单登录是SpringSecurity 中的一个重要组件,本文将详细介绍如何在 Spring...
单点登录SSO解决方案之SpringSecurity+JWT实现.docx
10-26
### 单点登录SSO解决方案之SpringSecurity+JWT实现 #### 一、单点登录(SSO)概述 单点登录(Single Sign-On,简称SSO)是一种认证机制,允许用户仅通过一次登录就能访问同一域下的多个应用程序和服务。这种机制...
Spring Boot中使用Spring Security实现权限控制
04-15
Spring Boot中,可以通过简单的注解配置来实现这两部分功能。 1. **配置Spring Security** - 首先,需要在项目中引入Spring Security依赖。 - 创建一个自定义的`WebSecurityConfigurerAdapter`子类,重写`...
spring security总结 太有用了!!
weixin_30448603的博客
09-09 153
转至:http://www.cnblogs.com/yl2755/archive/2012/04/19/2456823.html 谢谢作者!!! 首先导入spring security所需要的jar包 spring-security-core-2.0.5.RELEASE.jar spring-security-core-tiger-2.0.5.RELEASE.jar...
Spring Security简单使用
weixin_45894305的博客
07-15 287
一、Spring Security是什么(百度百科) Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 二、初使用 Sp
springSecurity简单使用
qq_32865713的博客
09-10 375
目录 传统用户名登录流程 使用SpringSecurity的流程 一.maven导入依赖 二.在web.xml中配置过滤器(固定写法) 三.编写spring-security.xml文件 1.无数据库情况下使用spring-security 2.有数据库情况下的springSecurity.xml 四.创建对应的页面文件 五.创建业务类存入ioc容器,按上方配置的userSer...
spring security
qq_45382931的博客
11-07 329
认证,授权,鉴权,权限控制 认证:你是谁 授权:你能做什么 鉴权:你能不能做(你可以用钱买房子,但是你的钱不够) 权限控制:同意/不同意做 Authorization,Authentication的记法 Authorization的or抽象成author,是人做的事,即授权,Authentication是认证 3.SpringSecurity和shiro springsecurity .功能全面 .专为web开发设计 .旧版本不能脱离web使用 .重量级框架 .是构建oauth的基础 shi..
Spring Security 3.0.5配置实战指南
"SPRINGSECURITY3.0.5安全配置实用手册" Spring Security是一个强大的安全框架,用于保护基于Spring的应用程序。在3.0.5版本中,它提供了两种配置方式:传统的Acegi风格配置和自2.0版本引入的命名空间配置。尽管...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值